在2024年7月資安新聞中,雖然CrowdStrike引發全球電腦大當機事故的消息不斷,佔據不少新聞版面,但其實還有不少重要消息需要大家共同關注,因此我們特別選出下列7大焦點,幫助大家快速回顧本月發生的重要事件。
焦點1:震撼全世界的IT大當機,罪魁禍首竟是資安廠商的產品更新。臺灣時間7月19日下午1點多,包含臺灣與全球都傳出Windows電腦大當機的情形,預估有850萬臺電腦受波及。這起事故的後續消息不斷傳出,涵蓋災情影響、事故原因、企業應對的報導,甚至還有許多衍生問題的討論。
因此我們預期,接下來8月還會有更多討論,持續關注該如何避免這樣的問題發生。畢竟,這次事件衝擊許多民生關鍵基礎的服務提供,造成的影響甚至比許多網路攻擊事件還要嚴重。
焦點2:臺灣上市櫃公司資安重訊的新聞在7月明顯增加,幾乎每隔幾天的資安日報中就有相關報導。值得注意的是,這些資安重訊揭露的事件創下單月數量新高,共有10起,包括驊訊、東元、宅配通、聖暉系統集成集團(聖暉代子公司公告),宏盛、助群營造(宏盛代子公司公告)、燦坤、燦星網、光寶科、華經。
特別的是,以東元的事故而言,當時有網友表示報修冷氣時,自己無法連上報修網站,前來維修的人員也指出領料系統有狀況。以燦坤的事故而言,其線上購物網站至今仍未能復原。
焦點3:國際有多起重大資安事故。7月有AT&T、日本夏普、Twilio、TeamViewer等多起資安事故,美國洛杉磯高等法院也傳出遭勒索軟體攻擊,而被迫關閉網路系統。
先前揭露的polyfill易主後的供應鏈攻擊事件,後續消息也不斷傳出。較特別的是,這個月還有在特定區域之內發生的軟體供應鏈攻擊,7月初我們看到兩起事故的揭露,包括印度軟體開發業者Conceptworld遭遇軟體供應鏈攻擊,以及韓國ERP系統更新伺服器遭軟體供應鏈攻擊,顯示駭客鎖定這些國家,動機不單純。
焦點4:APT駭客組織的最新攻擊活動揭露,也讓許多資安事故曝光。例如,以中國駭客組織APT40而言,多國網路安全機構聯手對該組織的攻擊行動提出警告,同時公布2起澳洲遭遇攻擊的案例,讓外界了解其手法;以北韓駭客組織APT45而言,多家資安大廠與美國司法部相繼揭露該組織的威脅現況,尤其是美國司法部指出有多個重要組織遇害,不只是美國國防承包商、兩個美國空軍基地、NASA監察長辦公室,臺灣的國防承包商同樣是受害者,這也成為國內需要關切的事件。
焦點5:涵蓋範圍廣泛的高風險漏洞。OpenSSH在7月1日修補了一個RCE重大漏洞CVE-2024-6387,發現與通報這項漏洞的資安業者Qualys,將該漏洞稱為regreSSHion,Qualys特別指出,這是OpenSSH問世以來,首次出現可授予完全Root權限的未經授權RCE漏洞。
還有一個漏洞消息值得留意,就是Blast RADIUS(CVE-2024-3596),因為揭露這項漏洞的微軟、Cloudflare及加州大學聖地牙哥分校的研究人員指出,這不僅會導致RADIUS通訊協定被攻擊者用來發動中間人(MitM)攻擊,甚至認為設備廠商應汰除RADIUS over UDP,使用更安全的傳輸技術,或是標準組織IETF應翻新此協定的設計。
至於最新漏洞利用態勢,本月有14個被CISA列入已知漏洞利用清單,包括:Acronis、Adobe、Cisco、微軟、OSGeo、Rejetto、ServiceNow、SolarWinds、Twilio、VMware的漏洞,我們在每期資安週報已經不斷強調其嚴重性,需要儘速因應。特別的是,從數量上來看,這次7月有14個算是多的月份,之前6月是9個,5月是14個,4月是10個。
焦點6:電腦與伺服器韌體安全層出現重大危機。韌體安全公司Binarly在7月25日揭露名為「PKfail」的漏洞,指出這是韌體供應鏈在加密金鑰管理實務上的問題,從Binarly公布的受影響產品列表來看,這個問題有9家電腦、主機板與伺服器品牌業者、將近850款產品受影響,恐影響數百萬臺裝置。
值得我們注意的是,當中以臺廠技嘉的651款最多,其次為 Supermicro的72款、Dell的48款。這些廠商受影響的數量落差相當懸殊,尤其是技嘉,他們應該要對此提出說明,並盡快解決相關問題。若細部檢視PKfail漏洞影響的產品型號,以技嘉而言,涉及的產品類型相當廣泛,例如,包括多種類型伺服器(協同運算伺服器、機架式伺服器、高密度伺服器、邊緣運算伺服器、儲存伺服器、資料中心伺服器)、主機板,以及迷你準系統電腦、嵌入式電腦、筆電等。
焦點7:有國家推動更進階的MFA機制,要求不要使用OTP碼(One-Time Passwords)。新加坡金融管理局在7月9日宣布,要求當地銀行強化抵禦網釣攻擊的能力,需在3個月內逐步淘汰使用OTP碼,改用安全性更高的應用程式驗證。
OTP碼易遭攔截的問題也存在很長一段時間,有國家以政府力量積極採取行動,此舉別具意義,可望帶動臺灣與更多國家跟進。
【資安週報】2024年7月1日到7月5日
在這一星期的漏洞利用消息中,最優先要關注的漏洞利用情形,是Cisco針對NX-OS零時差漏洞CVE-2024-20399提出警告,多款Nexus系列交換器與MDS 9000系列產品線受影響,雖然思科已釋出新版修補程式,但也提醒該漏洞在今年4月已有被駭客用於攻擊行動的跡象。通報這項漏洞的資安業者Sygnia同時揭露此攻擊活動的調查結果,並指出是中國駭客組織Velvet Ant所為。
還有兩個重要漏洞修補,需要特別關注,一是開源加密程式庫OpenSSH的RCE漏洞,一是蘋果應用程式相依性管理套件CocoaPods存在重大缺陷,揭露的不同研究人員均提醒應須盡速修補。
(一)7月1日OpenSSH修補RCE重大漏洞CVE-2024-6387(regreSSHion),Qualys指出這是OpenSSH首次出現可授予完全Root權限的未經授權RCE漏洞,研究人員發現至少70萬個曝露於公開網路的OpenSSH實體含有這項漏洞。
(二)Swift和Objective-C專案的開源相依性管理套件CocoaPods被揭露存在3大漏洞,包括:CVE-2024-38366、CVE-2024-38367與CVE-2024-38368,都與驗證伺服器Trunk有關。特別的是,這些漏洞去年已修補,今年7月CVE編號才公開。
至於其他漏洞修補動向,包括:GitLab、Splunk、Juniper Networks發布漏洞修補,還有新型態Intel處理器漏洞Indirector的揭露。
在資安威脅態勢方面,軟體供應鏈攻擊的狀況再次出現,這一星期我們甚至看到國際間有兩起這方面的消息,一是印度軟體開發業者Conceptworld遭遇軟體供應鏈攻擊,攻擊者在其產品安裝檔(便箋應用程式Notezilla、剪貼簿管理程式RecentX、檔案複製工具Copywhiz)植入竊資軟體,一是韓國ERP系統更新伺服器遭軟體供應鏈攻擊,當地資安業者AhnLab調查出後門程式Xctdoor,並指出攻擊者是透過Regsvr32.exe的處理程序載入執行,推測為北韓駭客Andariel所為。
另一項政府與關鍵CI需重視的議題是網路間諜攻擊,若遇到資安事故,不要以為這只是基於經濟動機而來的勒索軟體攻擊。最近資安業者SentinelOne、Recorded Future聯手調查的結果,指出現在針對全球政府機關及關鍵基礎設施下手的網路間諜攻擊行動,APT攻擊者為了模糊焦點,因此通常會在最後階段使用勒索軟體加密攻擊,來分散防守方的注意力,以誤導事故調查方向並清除跡證,他們並以中國駭客組織ChamelGang的攻擊行動為例來說明。特別的是,他們也感謝臺灣資安業者TeamT5研究人員Still Hsu提供對於ChamelGang組織的見解,讓他們能將其與CatB勒索軟體、BeaconLoader聯繫起來。
在其他資安事件與威脅揭露方面,臺灣再度傳出半導體業者遭網路攻擊的情況,國際間也有Twilio、TeamViewer等的資安事故引發關注,我們整理如下:
●上櫃的半導體公司驊訊7月3日發布資安事件重大訊息,說明偵測到部份資訊系統遭受駭客網路攻擊。
●Authy用戶注意!雲端通訊平臺Twilio發布資安事故公告,說明他們發現有駭客可經由未經身分認證的節點,辨識出Authy用戶的帳戶資料,同時他們也要求所有用戶儘速更新Authy App。
●遠端桌面程式供應商TeamViewer發布資安公告,說明6月底偵測一名員工帳號遭未經授權人士存取,調查顯示與APT 29(或稱Midnight Blizzard)的俄羅斯駭客有關,7月4日他們再次更新消息,確認影響僅限於該公司內部企業IT環境。
●資安業者揭露有駭客為了散布竊資軟體Vidar Stealer,其方法很特別,竟是藉由蓄意打造IT技術支援網站,假借提供PowerShell指令碼「解決」Windows更新錯誤,欺騙使用者下載惡意程式載入工具並被植入竊資軟體。
此外,先前發生的重大資安事件,現在有更多後續消息傳出,包括:前一星期傳出的Polyfill供應鏈攻擊事故,已有多個資安業者示警受害規模擴大;去年底俄羅斯駭客Midnight Blizzard入侵微軟郵件系統事件也延燒至今,近期傳出微軟正通知一些美國政府機構,說明可能部分資料遭竊,包括美國國際媒體署、美政府資助的和平部隊,以及維吉尼亞州,都受到該次事件的影響。
【資安週報】2024年7月8日到7月12日
在7月第2個星期,適逢多家廠商釋出每月例行安全更新,包含微軟、SAP、Adobe、西門子、施耐德電機,Citrix、VMware也在這段期間發布漏洞修補公告,需要大家關注與儘快修補,而漏洞已遭利用的消息更需密切關注。
(一)微軟修補4個零時差漏洞,有2個已遭駭客利用,包括:MSHTML平臺漏洞CVE-2024-38112,以及Hyper-V漏洞CVE-2024-38080。另兩個漏洞則是已被公開。
(二)Rejetto檔案伺服器系統HTTP File Server(HFS)在5月底修補的漏洞CVE-2024-23692,近期已有一些資安業者示警,發現有駭客鎖定並用於攻擊行動。
(三)文件轉換程式庫Ghostscript在5月初修補的RCE漏洞CVE-2024-29510,該漏洞CVE編號於7月初公開,並有研究人員公布相關細節,同時警告該漏洞已被用於實際攻擊行動。
還有一個名為Blast RADIUS(CVE-2024-3596)的漏洞揭露要留意,微軟、Cloudflare及加州大學聖地牙哥分校的研究人員認為,設備廠商與標準組織IETF都應汰除RADIUS over UDP,考慮使用更安全的傳輸技術,或翻新此協定的設計。
在資安威脅焦點方面,有2則新聞我們認為值得優先關注,一是多國網路安全機構聯手針對中國駭客組織APT40的攻擊行動提出警告,同時揭露了鎖定澳洲發動攻擊的2起案例,供外界了解該組織的作案手法;一是資安業者揭露中國駭客組織SneakyChef的最新攻擊行動,指出該組織從2023年8月開始針對歐洲、中東、非洲、亞洲,散布名為SugarGh0st的惡意程式,並常利用政府機關掃描文件作誘餌。
商業電子郵件(BEC)詐騙的威脅仍不容輕忽,本星期有兩則這方面的新聞,首先,臺灣近期有崴寶精密科技與其客戶遭BEC詐騙,其客戶依指示將3000萬元款項匯至另一個不屬於崴寶精密科技的帳戶,所幸及時發現,特別的是,這是國內上市櫃企業資安重訊發布,首次有企業主動揭露遭遇BEC詐騙;另一起事件是與惡意軟體沙箱服務業者有關,他們揭露自身遭遇網釣與BEC詐騙活動,並進一步指出郵件備份應用程式PerfectData有郵件外洩的問題。
在資安事件方面,有3起與國內上市櫃公司有關,有2起是國際間資料外洩的消息,包括:
●上市公司東元電機說明發生網路資安事件
●上市公司宅配通說明部份資訊系統遭受駭客網路攻擊
●上櫃公司聖暉系統工程代子公司公告,揭露聖暉系統集成集團發生資安事件。
●駭客論壇流傳一份近100億帳號密碼的「rockyou2024.txt」檔案,較2021曝光的版本多出15億組資料。
●網路犯罪論壇傳出有人公布Nokia的7千多名員工個資,以及微軟的2千多名員工個資,並宣稱這些資料來自兩家公司的第三方合作夥伴。
值得注意的是,上述發布資安重訊的東元電機、宅配通,均屬於東元集團,他們在證交所發布資安公告之後,後續在網路論壇有人討論東元電機的空調及家電產品服務,似乎也受到資安事故的影響而停擺,例如,有網友在PTT上指出,東元冷氣報修的安欣科技服務網站在遭駭前就連不上,領料系統也有狀況,在TECO東元家電的臉書粉絲專頁上,也有網友詢問服務連不上的狀況,小編則回應官網維修中。由於安欣科技也隸屬於東元集團,TECO東元家電也是其事業部之一,這樣的狀況也不禁令人產生更多聯想。
此外,先前其他國家發生的重大資安事件,最近有更多後續消息。包括:今年3月富士通揭露IT系統遭入侵,如今調查結果出爐,說明發現一個進階偽裝技術的蠕蟲程式,從一臺公司電腦進而感染49臺電腦,並研判部分客戶姓名和公司資訊外洩,已通知受影響客戶;今年5月美國最大售票平臺Ticketmaster遭駭,近期傳出駭客為了提高勒索該公司的贖金,不僅公開17萬張Taylor Swift演唱會的行動門票條碼,還有Ticketfast服務的門票條碼檔案連結。
【資安週報】2024年7月15日到7月19日
這一星期最重大的資安消息,當屬7月19日(週五)資安業者CrowdStrike旗下的EDR系統更新後,引起全球大量微軟Windows電腦出現藍色當機畫面(BSoD)的事故。由於本該幫助電腦能偵測與應變威脅的資安工具,卻因為一次更新問題導致大規模公司電腦當機、服務癱瘓的狀況,引發全球高度重視。
事實上,當日發生了兩起事件,首先是微軟,在19日臺灣清晨6點,美國中部區域一座Azure資料中心出現故障問題,導致包含M365在內等雲端服務大中斷,影響線上版SharePoint、商用版OneDrive、Teams等眾多服務。
到了下午1點,我們注意到國內社群網站的資安群組開始討論Windows電腦出現藍色當機畫面,並點出問題可能出在資安業者CrowdStrike,當下我們查詢更多資訊,發現美國社群網站Reddit已經指出CrowdStrike更新造成當機的情形,在此同時,筆者身邊友人也通報其公司電腦1點多發生當機,同樣確認原因出在CrowdStrike。
兩點後,大規模電腦當機消息開始在全球新聞媒體傳開,國內傳出桃園機場、臺大醫院、臺北榮總營運受影響,全球各國也有大量藍色當機畫面情形的報導。後續,CrowdStrike發布相關公告,說明發生EDR更新檔案與Windows系統衝突造成電腦當機,並指出C-00000291.sys是有問題的版本,同時指出這次事件並非遭遇網路攻擊,微軟在Azure Status服務狀態頁面也指出,他們在臺灣時間中午12點09分同樣受到CrowdStrike的影響(事件編號為1VT1-LX0),並表示這次事件與已解決的美國中部Azure資料中心中斷事件無關(該事件編號為1K80-N_8)。
至於何起事件是影響航班管理系統服務供應商Navitaire的主因,有待後續釐清。
周末期間又有新的消息曝光,首先,微軟表示這次CrowdStrike引發的事件估計影響全球850萬臺的Windows電腦,另也發布因應這次事件的手動安裝更新KB5042421,此外,有研究人員在社群平臺X上指出,分析CrowdStrike當機資料後找出是有段C++程式存在記憶體安全錯誤,詳情有待後續CrowdStrike說明。
在其他重要資安事件與威脅態勢方面,國內有建設公司與人力銀行的消息,國際間也有不少資料外洩、攻擊行動的揭露,我們整理如下:
●國內上市公司宏盛建設發布資安重訊,設說明該公司發生網路資安事件,另也代子公司助群營造公告發生網路資安事件。
●國內檢調單位接獲104人力銀行通報,有人企圖透過公司名義收集求職者個資,新北地檢署已在17日搜索涉案公司並查扣物證。
●專案管理工具Trello有逾1,500萬用戶個資遭人公開於Breach Forums地下論壇,對方並聲稱是透過公開的API取得。
●美國電信公司AT&T通報美SEC,說明發生資料洩事故,有駭客在今年4月存取AT&T在第三方雲端平臺的工作區,導致所有客戶的通話與簡訊歷程記錄被竊。
●義大利資安業者TG Soft揭露一起攻擊行動,他們在6月24日、7月2日偵測到中國駭客組織APT17針對當地企業及政府機關下手,意圖散布9002 RAT惡意程式。
●日本JPCERT/CC警告,當地企業組織遭到攻擊行動MirrorFace鎖定,攻擊者入侵企業後的目的是散布後門程式NoopDoor。
在漏洞消息方面,我們注意到有4個已知漏洞首次被發現遭駭客利用的情形,近期已被美國CISA列入限時修補名單,包括:3月底VMware vCenter Server已修補的漏洞CVE-2022-22948,6月初SolarWinds Serv-U已修補的漏洞CVE-2022-22948,6月中Adobe Commerce及Magento Open Source已修補的CosmicSting漏洞(CVE-2024-34102),以及7月1日GeoServer已修補的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意,有資安業者指出這是該電商平臺歷年來最嚴重的漏洞之一。
在資安防禦與產業動向上,各有一則重要消息,首先,是關於OTP碼容易遭攔截與網釣的問題,談了很多年,最近國際間有政府積極行動,近日新加坡金融管理局宣布,要求當地金融業者在限期3個月內,汰除以簡訊提供OTP碼供客戶網銀登入,並要求改成安全性更高的應用程式驗證;另一項消息,是Google母公司Alphabet傳出將以230億美元收購雲端資安新創Wiz,藉此強化該公司的雲端安全業務,如收購成功將成Google最大併購案。
【資安週報】2024年7月22日到7月26日
在這一星期的資安新聞中,資安業者CrowdStrike旗下的EDR系統更新引發Windows電腦大當機的事故,後續消息是持續不斷地傳出,佔據資安日報的大量新聞版面。
首先,關於影響層面的後續新聞就有不少,例如,微軟說明全球850萬臺電腦受影響,雖然數量不到全球Windows電腦總數的百分之一,但微軟自己也指出這已造成對全球社會與經濟的廣泛影響。
關於臺灣受影響狀況的新聞,有兩則重要報導,一是iThome特別詢問多家臺灣企業資安長、資服業者等,了解到企業實際面對的狀況,不只金融業、資服業、傳統製造業與高科技製造業者都傳出災情,有資服業者更是以手動方式在3天復原3,000多臺個人電腦;另一是金管會公布針對國內金融業清查的結果,有2家期貨商、4家投信業、5家壽險業和2家產險業者受影響,其中保險業就有1千多臺伺服器與1千多臺個人電腦,遭到波及。
此外,在我們日前發布的最新Fintech週報中,也有指出國外金融領域受影響情形,包括摩根大通、瑞士銀行、德意志銀行、日本野村銀行,甚至倫敦證券交易所用來發布監管公告的新聞服務,也都受到影響。
關注災情之餘,對於事故原因的調查,更是大家亟欲了解的部分。CrowdStrike在7月24日的事故更新公布初步調查結果,指出說明問題發生在派送「Rapid Response Content」的環節,加上這個問題在驗證檢查期間未被檢測到,使得後續Falcon感應器更新、布署並載入這些內容,導致了越界記憶體讀取,進而引發Windows電腦當機。
當然,這次事件還有諸多衍生議題,一些新聞內容也未能全部涵蓋,像是從一開始大家質疑資安廠商部署前是否有測試、為何沒發現問題?後來討論延伸到為何程式開發人員會犯錯?也有人表示這是因為開發人員使用不具記憶體安全(non-memory-safe)的程式語言;也有人質疑作業系統核心為何要開放第三方軟體深度整合,就連該家資安廠商提供Uber Eats禮品卡賠罪,也引發眾人不滿,以及傳出有政府與企業要求賠償的狀況等,這些都值得我們繼續追蹤。
另一重要資安新聞是,資安業者KnowBe4揭露自身遭遇北韓駭客潛入公司內容成為軟體工程師,原因是對方使用AI深偽技術並通過線上面試。事實上,早在2022年美國政府就意識到這樣的問題,像是美國財政部就針對來自北韓的IT Workers示警,指出雖然他們主要從事合法的IT工作,但會濫用自身權限協助北韓進行惡意網路入侵,又或是賺錢來幫助北韓實施網路攻擊。而從這次對方使用AI深偽技術求職來看,並通過了4次KnowBe4的線上會議面試,幸好他們聘僱後及早發現異常。但這是否也意味著還有很多還沒發現的情形?
其他重要資安事件上,有多起消息與國內上市櫃公司有關,我們整理如下:
●燦坤與燦星網同日發布資安重訊,說明資訊系統遭受網路攻擊。
●光寶科發布重大訊息,說明偵測一部外網伺服器遭受駭客攻擊的因應。
●針對半導體矽晶圓廠環球晶圓6月遭駭事故,最近駭客組織Storm-1811突然聲稱是他們所為,並要脅7月底將公布竊得資料。
●移民署內部通訊錄驚傳流入駭客論壇,該單位表示疑為離職員工所為。
●美國洛杉機高等法院傳出遭到勒索軟體攻擊,被迫關閉網路系統。
在漏洞消息方面,有一個鎖定利用狀況需要留意,ServiceNow在7月10日修補的重大漏洞CVE-2024-4879,最近有資安業者察覺多個駭客組織蠢蠢欲動,因為出現嘗試掃描未修補上述漏洞的ServiceNow平臺的行為。
至於資安防禦及產業動向上,有3個重要的消息,首先,Google多年來表示將在Chrome中封鎖第三方Cookie,如今竟放棄計畫,其次是非營利組織OASIS Open宣布安全AI聯盟CoSAI(Coalition for Secure AI)成立,多家科技大廠參與,目標是在AI安全設計方面建立協作生態體系;第三是雲端安全公司Wiz傳出拒絕Google高價收購,將尋求在股票市場掛牌上市(IPO)。
2024年6月資安月報
2023年5月資安月報
2024年4月資安月報
2024年3月資安月報
2024年2月資安月報
2024年1月資安月報
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03