中秋假期間的資安威脅不容小覷,近期有多個攻擊行動被揭露,其中兩起消息值得留意,一是資安業者揭露中國駭客Earth Baxia今年7月曾針對臺灣某個政府機關發動攻擊,值得注意的是,該攻擊利用GeoServer已知漏洞發動攻擊,並植入後門程式EagleDoor;一是發現中國駭客鎖定代管企業網站的IIS伺服器入侵的情形,主要利用特定的網頁應用程式服務來部署Web Shell,而其針對的目標是歐亞地區的企業網站。
●臺灣政府機關遭中國駭客Earth Baxia攻擊,資安業者指出是其手法是藉由GeoServer已知漏洞發動攻擊。
●中國駭客DragonRank攻擊亞洲、歐洲IIS伺服器,還會利用惡意程式PlugX、BadIIS來操縱搜尋引擎的排名。
●惡意程式Amadey竊取帳密資料有新招,利用瀏覽器的Kiosk模式來提升憑證竊取的攻擊成功率。
●防毒業者Dr.Web驚傳遭入侵,暫時切斷所有伺服器的連線。
●臺美國防工業會議相關人士遭到鎖定,資安業者Cyble揭露發現相關誘餌檔案,是偽裝PDF檔案的Windows捷徑檔。
在漏洞消息方面,本周有多個漏洞利用狀況,我們注意到前不久修補的IE漏洞CVE-2024-43461,出現新的變化——當時微軟指出該漏洞並未被大規模利用,一星期後確認該漏洞在修補之前就被利用。
●微軟本月修補的Windows MSHTML平臺漏洞CVE-2024-43461,後續發現在修補前已遭Void Banshee駭客組織利用。
●Progress在8月底修補WhatsUp Gold的漏洞CVE-2024-6670,資安業者警告已出現實際攻擊行動。
●Ivanti修補Cloud Services Appliance已遭利用的2個零時差漏洞:CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修補的漏洞CVE-2024-27348,最近發現遭積極利用。
●多個舊漏洞被美CISA列入已知漏洞利用清單,包括微軟的漏洞(CVE-2020-0618)、Oracle的漏洞(CVE-2022-21445、CVE-2020-14644),以及Adobe的漏洞(CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502)。
還有多個漏洞修補消息需盡速因應,包括:GitLab修補CVSS滿分漏洞,以及OpenShift、VMware vCenter伺服器、新興AI系統AutoGPT、Docker、D-Link Wi-Fi路由器等的漏洞修補。
特別的是,本星期還有一類型資安新聞也成重要焦點,因為駭客攻擊家用連網設備的消息不斷,涵蓋家用路由器與Android電視機上盒。
例如,殭屍網路Quad7最新一波攻擊行動的揭露,繼先前TP-Link路由器發現被鎖定,如今攻擊範圍擴大,兆勤(Zyxel)、華碩、Ruckus等廠牌的路由器產品都成鎖定目標;還有美司法部宣布破獲中國駭客組織Flax Typhoon委由中國業者Integrity Technology Group建立的Raptor Train殭屍網路。
上百萬Android電視機上盒的韌體遭植入後門程式的狀況,亦受不少人關注,是本周資安新聞排行的焦點。研究人員指出這是在今年8月發現,受害裝置多為知名度較低的品牌,但尚不清楚感染途徑。
由於近年來駭客組織入侵家用路由器來建立自身的物聯網殭屍網路,其態勢是日益嚴峻,像是去年美國即拿下中國駭客Volt Typhoon使用的KV-botnet殭屍網路,因此如何持續緩解這方面的威脅,相當關鍵。
【9月16日】數發部公布親俄駭客發動大規模DDoS攻擊的影響範圍
上週四(12日)中租控股、兆豐金控、彰化銀行發布重大訊息,證實公司部分網站遭遇DDoS攻擊而面臨服務中斷的情況,臺灣證券交易所同日也傳出受害;親俄駭客組織NoName057、RipperSec聲稱是他們所為,但究竟有多少企業組織受害?數位發展部週末召開記者會提出說明。
他們指出這波攻擊行動在10日出現,總共至少有45起攻擊,大部分受害的企業組織皆能快速應變,短時間就能恢復網站運作。
【9月18日】新興AI系統AutoGPT漏洞恐波及44萬軟體程式碼專案
AI應用當紅,這類應用系統的漏洞也隨之引起關注。最近有研究人員針對新興AI系統AutoGPT揭露漏洞CVE-2024-6091,這項漏洞源自於過濾可用的Shell命令機制,一旦被利用,攻擊者就有機會執行任意命令。
值得留意的是,AutoGPT受到許多開發者關注,迄今已有超過44萬個分叉AutoGPT的軟體程式碼專案,這些專案很有可能也曝露於相關的資安風險。
【9月19日】FBI接管中國駭客架設的大型殭屍網路Raptor Train
針對中小企業、SOHO辦公室、家用網路設備而來的殭屍網路,近期有越來越多的情況,繼我們昨天報導殭屍網路Quad7最新一波的攻擊行動之後,這幾天美國政府採取取締這類行為的行動,接管由中國駭客組織Flax Typhoon經營的殭屍網路Raptor Train。
值得留意的是,這個殭屍網路由超過20個廠牌的網路設備組成,類型涵蓋相當廣泛,包括:數據機、路由器、IP攝影機、網路儲存設備等,遭到操控的連網設備數量也相當可觀。
【9月20日】中國駭客Earth Baxia利用GeoServer已知漏洞,攻擊臺灣政府機關
針對地理位置資訊伺服器GeoServer的重大層級漏洞CVE-2024-36401,自6月得到修補後,隔月便出現相關攻擊行動,並引起美國政府注意,將其列為已被利用的漏洞。
半個月前資安業者Fortinet揭露相關漏洞利用攻擊的情況,推測駭客很有可能來自中國,本週另一家業者趨勢科技也公布調查結果印證這項推測,值得留意的是,他們看到的攻擊行動,發生在臺灣公部門。
本星期漏洞利用狀況一覽表
零時差漏洞利用:3個
CVE-2024-43461 /微軟Windows MSHTML平臺的欺騙漏洞
CVE-2024-8190 /Ivanti Cloud Services Appliance的作業系統命令注入漏洞
CVE-2024-8963 /Ivanti Cloud Services Appliance的路徑穿越漏洞
本星期已知漏洞遭利用:8個
CVE-2024-6670 / Progress WhatsUp Gold的SQL注入漏洞(8月29日公開,9月12日警告8/30已遭利用)
CVE-2020-0618/微軟SQL Server報告服務的RCE漏洞(9月18日警告已遭利用)
CVE-2022-21445/Oracle ADF Faces的未受信任之資料反序列化漏洞(9月18日警告已遭利用)
CVE-2020-14644/Oracle WebLogic Server的RCE漏洞(9月18日警告已遭利用)
CVE-2013-0643/Adobe Flash Player的不正確的預設權限漏洞(9月17日警告已遭利用)
CVE-2013-0648/Adobe Flash Player的程式碼執行漏洞(9月17日警告已遭利用)
CVE-2014-0497/Adobe Flash Player的整數不足位漏洞(9月17日警告已遭利用)
CVE-2014-0502/Adobe Flash Player的雙重釋放漏洞(9月17日警告已遭利用)
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-01
2024-09-29
2024-09-30
2024-09-30