在本周資安新聞中,有多項漏洞修補消息受關注,包括微軟本周釋出12月Patch Tuesday,當中修補一項的零時差漏洞CVE-2022-44698,以及Citrix在13日公告修補ADC與網路閘道器產品的零時差漏洞CVE-2022-27518,都已有攻擊行動鎖定,必續盡快修補。
同時,Fortinet於11月修補SSL VPN漏洞CVE-2022-42475,後續該公司也發布資安通告說明已有攻擊行動鎖定利用的情形。還有要注意的是,iPhone的WebKit零時差漏洞CVE-2022-42856被鎖定,其中iOS 15.1手機用戶須特別注意。另外,本周新聞尚未提到的Veeam Backup & Replication的CVE-2022-26500與CVE-2022-26501漏洞修補,我們認為同樣須要留意。
關於新漏洞揭露上,亦有兩大焦點,其影響層面不小。研究人員發現多款WAF產品因無法識別JSON格式、恐被發動SQL注入攻擊,多家廠牌都受影響,已有5家廠商釋出修補,其他產品用戶也應設法了解;還有數款防毒軟體與EDR系統也被研究人員發現零時差漏洞,受關注的是,這些漏洞可能被用於打造資料破壞軟體(Wiper),多家廠商也紛紛釋出修補。
關於攻擊新趨勢方面,資安業者發現惡意軟體QBot有新的散布手法,攻擊者會在惡意郵件中的HTML附件中挾帶包含惡意JavaScript的SVG圖片;另外針對開源套件庫的方面,資安業者發現有網路攻擊者在NuGet、NPM、PyPI套件庫,透過自動化方式,打造並上傳了超過14萬個惡意套件。此外,還有一個值得留意的威脅態勢,是近來有勒索軟體攻擊濫用微軟簽章的驅動程式的情形,微軟獲報後發現數名開發人員計畫帳號被濫用。
而在國內方面,關於2022年臺灣APT攻擊現況,資安業者TeamT5揭露這方面資訊,他們觀察到全年有109起APT攻擊行動,以阿米巴Amoeba與畫皮Hupai這兩個駭客組織為大宗,政府與軍方是主要遭受攻擊目標。
至於安全防護面向上,本周Google新推的OSV-Scanner,是開發人員與資安人員重視的焦點,該機制可讓專案相依項目與已知漏洞列表,提供自動化比對的幫助。
【12月12日】數款端點防護系統漏洞可用於破壞電腦資料、4千個存在漏洞的Pulse Connect SSL VPN曝險
防毒軟體與EDR系統有可能成為駭客破壞電腦資料的幫兇!有資安業者揭露微軟、趨勢科技、Avast、AVG、SentinelOne等廠牌的端點防護產品漏洞,其共通點是可被用來抹除電腦裡的資料。研究人員指出,有別於過往駭客使用的資料破壞軟體(Wiper),這種漏洞讓攻擊者無須取得高權限就能發動攻擊,且檔案更難復原。
存在漏洞的SSL VPN系統也是駭客用於入侵組織的管道,過往有人收集Fortinet SSL VPN系統的IP位址並在暗網兜售,但目前大量曝險的並非只有這個廠牌的設備,有資安業者公布Pulse Connect曝險的情況,值得留意的是,臺灣約有188臺VPN設備存在已知漏洞。
惡意軟體轉換入侵管道並增加攻擊力道的情況也相當值得留意。駭客自今年8月改變散布惡意軟體TrueBot的手法,先是濫用特定的資產管理工具,但隔了2個月他們改用另一款惡意軟體進行攻擊。
【12月13日】車輛共享業者Uber因第三方廠商遭駭資料外洩、VMware ESXi伺服器遭到Python後門程式鎖定
車輛共享業者Uber再度傳出資料外洩事故,但與過往不同的是,這次並非該公司本身遭到攻擊,而是他們的IT資產管理軟體的供應商成為目標,使得Uber、Uber Eats受到牽連。
有後門程式針對VMware虛擬化平臺下手,並利用已知漏洞入侵,值得留意的是,該後門程式其實也能用於攻擊其他執行Linux作業系統的電腦。
提供網路應用程式系統防護的應用程式防火牆(WAF),竟然出現了能被用於SQL注入的漏洞,而且,至少有5家知名的解決方案都存在相關漏洞(Palo Alto Networks、AWS、Cloudflare、F5、Imperva)。
【12月14日】Citrix ADC的零時差漏洞已被用於攻擊行動、WordPress網站遭到殭屍網路GoTrim鎖定
昨日是本月的第二個星期二,許多廠商發布了12月份的例行修補程式,值得留意的是,所針對的資安弱點,有不少是已經出現攻擊行動的零時差漏洞。
例如,Citrix為旗下的Citrix ADC、Citrix Gateway發出資安通告,有人正利用CVE-2022-27518發動攻擊。美國國家安全局指出攻擊者的身分是中國駭客組織APT5。
另一個也相當值得留意的是與Safari瀏覽器有關,排版引擎WebKit被人發現有漏洞CVE-2022-42856。蘋果原先在11月底為iOS 16提供修補,但該公司現在也擴大對Mac電腦、Apple TV修補,原因是已出現攻擊行動。
殭屍網路針對WordPress網站而來的攻擊行動也值得關注,但這起事故透過暴力破解來挾持網站,而非利用WordPress網站或外掛程式的漏洞。
【12月15日】SAP修補4項CVSS風險等級近乎滿分重大漏洞、勒索軟體攻擊濫用微軟簽章的驅動程式
在12月份的例行修補當中,SAP、VMware也針對旗下產品緩解重大漏洞,用戶應提高警覺並儘速安裝修補程式。其中,SAP本次修補了4項重大漏洞,值得留意的是,當中有兩項與他們採用的元件有關,一項是Business Client所採用的Chrome網頁瀏覽器元件,另一個則是SAP Commerce的Apache Commons Text元件。
駭客在攻擊行動濫用驅動程式的情況也出現了新手法,在最近的一波攻擊行動中,駭客開始採用帶有微軟簽章的惡意驅動程式,以此發起勒索軟體攻擊,從而繞過資安系統偵測。微軟也證實有數名開發人員的帳號遭到濫用。
針對醫療機構的勒索軟體攻擊升溫也引起美國政府的關注,繼11月美國衛生與公共服務部對於4種勒索軟體提出警告後,他們本月針對惡名昭彰的BlackCat和LockBit發布相關警告,並指出這2種勒索軟體的攻擊手法更難以防範。
【12月16日】向量圖檔SVG被駭客用於偷渡惡意軟體QBot、臉書貼文被用於網釣攻擊鏈
駭客利用PNG、JPG、GIF等圖片檔案挾帶惡意軟體的手法,不時有事故傳出,但現在有研究人員發現,駭客開始運用SVG格式的向量圖片檔案做為媒介。與前述幾種檔案格式有所不同,SVG採用XML語言為基礎並支援嵌入JavaScript,而使得駭客更容易透過惡意JavaScript指令碼發動攻擊。
竊取臉書帳號的攻擊行動近期越來越頻繁,然而最近有新的手法出現,不僅幾可亂真,也能騙過大多數資安系統的檢查。研究人員揭露濫用臉書貼文的網釣攻擊,這些貼文號稱是臉書的技術支援中心,並誘導受害者到釣魚網站。
Mozilla基金會近期推出Firefox 108、Thunderbird 102.6,美國CISA提出警告,該基金會甫修補的漏洞已出現攻擊行動,使用者應儘速更新。
熱門新聞
2024-11-20
2024-11-15
2024-11-15
2024-11-18
2024-11-12
2024-11-14
2024-11-12