一般而言,殭屍網路攻擊行動,往往針對多種類型的設備而來,或是對於多個漏洞發動攻擊,但最近資安業者Fortinet揭露的攻擊行動,駭客竟只針對單一型號的路由器,以及完成修補的已知漏洞下手。
這起攻擊行動的特殊之處,在於對方專門對於家用路由器DIR-645而來,且利用已知漏洞CVE-2015-2051發動攻擊,而這個漏洞早在9年前就被修補,由此可見,仍有不少該型號設備尚未套用新版韌體而曝險。
【攻擊與威脅】
D-Link家用路由器DIR-645老舊漏洞遭殭屍網路Goldoon鎖定,遭綁架的設備被用來發動DDoS攻擊
資安業者Fortinet於上個月發現殭屍網路Goldoon攻擊行動,對方鎖定存在已知漏洞CVE-2015-2051的無線路由器DIR-645,並指出這些設備一旦因為具有這些漏洞而遭到入侵,攻擊者可得到完整的控制權,並取得系統資訊,與C2伺服器建立通訊,然後發動DDoS攻擊。研究人員指出,根據他們的遙測資料,此殭屍網路的活動頻率於4月顯著增加,為之前的2倍。
究竟攻擊者入侵路由器的過程與手法細節,研究人員並未特別說明,但指出一旦對方成功存取這些設備,就會從特定IP位址惡意程式下載工具(Dropper)指令碼,執行後會自動根據目標裝置的系統架構,下載對應的Goldoon程式,而該檔案執行後,就會下載名為i686-linux-gnu的檔案,並將自己刪除,以防留下證據。針對i686-linux-gnu的功能,就是下載殭屍網路病毒檔案。
雲端檔案共享服務Dropbox證實電子簽章服務遭駭,對方竊得身分驗證機密資料
5月2日雲端硬碟業者Dropbox通報主管機關美國證券交易委員會(SEC),旗下數位簽章服務Dropbox Sign(原名HelloSign)遭駭,部分用戶的金鑰及多因素驗證(MFA)資訊遭到駭客存取,接收過其簽章文件用戶的電子郵件信箱恐遭外洩。但他們並未透露受影響人數,以及事故發生的原因。
該公司於4月24日得知Dropbox Sign的營運環境發生未經授權的存取活動,資安事件回應部門隨即著手處理,並終止相關存取。經調查該服務的相關資訊遭到對方存取,所有用戶都受到影響,包括電子郵件信箱、使用者名稱、帳號設定資訊等。
值得留意的是,曾經收到並以Dropbox Sign簽收文件的使用者,即使他們沒有Dropbox帳號,電子郵件信箱及使用者名稱還是會曝光。根據該公司初步的調查結果,相關文件、合約、範本、付款資訊並未遭到存取,研判這起事故影響範圍局限於Dropbox Sign的基礎架構,不影響其他產品。
俄羅斯駭客正在尋找水力設施工控系統的遠端存取破口,美國、加拿大、英國發布警告
5月1日美國網路安全暨基礎設施安全局(CISA)聯合該國7個機關、加拿大網路安全中心(CCCS)、英國國家網路安全中心(NCSC-UK)提出警告,俄羅斯駭客為了破壞關鍵基礎設施的運作,正在尋找、入侵不安全的操作科技(OT)環境。
對此,這些機構也對於駭客的攻擊手法進行歸納,指出對方利用VNC通訊協定,並藉由5900埠存取人機互動介面(HMI),從而對OT環境的底層進行竄改,而且,往往是利用預設帳密或弱密碼,且缺乏雙因素驗證(MFA)防護機制的情況下而能得逞。再者,對方也濫用VNC的遠端框架緩衝協定(Remote Frame Buffer Protocol),登入HMI來控制整個OT環境。
其他攻擊與威脅
◆澳洲航空將旅客敏感資訊及登機證曝露給他人,起因是應用程式配置錯誤
◆北約新會員國瑞典遭遇大規模DDoS攻擊,在正式加入前達到高峰
【漏洞與修補】
HPE Aruba Networking修補網路設備作業系統重大漏洞,若不處理恐被用於RCE攻擊
4月30日HPE Aruba Networking發布4月份資安公告,指出其網路設備作業系統ArubaOS存在10個漏洞,影響Mobility Conductor(原Mobility Master)、Mobility Controller,以及由Aruba Central雲端控管的WLAN閘道、SD-WAN閘道等設備,且皆與透過PAPI通訊協定存取有關,攻擊者無須通過身分驗證就有機會觸發。
其中,有4個漏洞:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512被列為重大等級,皆為未經身分驗證的記憶體緩衝區溢位漏洞,CVSS風險評分都達到了9.8分。一旦遭到利用,攻擊者就有機會以特權使用者的身分,於作業系統底層執行任意程式碼。
資安研究人員Pierre Barre在Brocade儲存區域網路(SAN)管理軟體SANnav發現多個漏洞,可能被用來攻擊光纖通道(Fibre Channel)交換器與SAN基礎設施。對此,該公司在今年4月發布2.3.1版修補相關弱點,當中共有18個漏洞,影響2.3.0版以前的所有SANnav版本,其中有15個漏洞已被指派CVE識別碼。
值得留意的是,這些漏洞研究人員早在2022年9月透過Dell向Brocade通報,只因為研究人員對於2.1.1版SANnav進行調查,但當時該公司已推出2.2.2版而並未受理。直到去年5月研究人員確認新版也存在這些漏洞,Brocade才正式承認此事。
其他漏洞與修補
◆研究人員揭露可針對小米檔案管理工具、WPS Office等安卓應用程式的攻擊手法Dirty Stream
其他資安產業動態
◆美國針對路徑穿越漏洞提出警告,呼籲軟體供應商出貨前應進行清查
◆街口、全支付等4家電子支付業者用戶突破250萬,10月底前將設資安專責部門
近期資安日報
【5月2日】Docker Hub遭濫用,被用來散播惡意程式與架設釣魚網站的映像儲存庫比例高達2成
熱門新聞
2024-05-16
2024-05-14
2024-05-14
2024-05-15
2024-05-12
2024-05-13
