這一周的漏洞消息中,最受關注的是有應用程式漏洞檢測業者警告,已出現針對程式庫XStream CVE-2021-39144漏洞的攻擊行動,而在漏洞修補消息上,以Jenkins,Fortinet與Veeam的漏洞修補與揭露值得留意。另外我們要提醒的是,關於最新的漏洞利用情形,除了上述XStream的漏洞,還有4個是前兩年的已知漏洞,雖然本周iThome資安新聞尚未提到,但近期都已確認出現鎖定利用情形,同樣需要優先重視,包括:Plex Media Server(CVE-2020-5741),Zoho ManageEngine(CVE-2022-28810),Apache Spark(CVE-2022-33891),以及Teclib GLPI(CVE-2022-35914)的漏洞。
資安防護態勢上,零信任(Zero Trust)網路安全防護策略持續受到全球重視,最近有調查機構指出開始制定相關策略的歐洲組織,從兩年前的比例是四分之一,到2022年,比例已提升至三分之二,顯現更積極且普遍的態勢。
在資安威脅焦點方面,首先是ChatGPT仍是主要話題,因此近來仍持續被發現有冒牌平臺的惡意活動,還有三個威脅態勢可以留意,包括:以規避而言,有資安業者持續對惡意軟體QBot透過微軟筆記軟體OneNote檔案散布的活動提出警告,木馬程式Remcos RAT的攻擊可規避系統內建UAC機制的揭露;以漏洞攻擊而言,有HiatusRAT的木馬程式鎖定居易Vigor 2960、3900路由器攻擊,上百企業受害的狀況曝光;以安全實作而言,Booking.com在登入OAuth實作上被資安業者發現有不安全的設計缺陷。
在資安事件中,有宏碁與Acronis遇駭的事件。我們在周二報導資安業者Gridinsoft揭露宏碁在2月中疑發生資料外洩事故,隔日傍晚,宏碁以說明媒體報導方式發布重大訊息,指出是該公司提供當地商業夥伴下載產品文件的伺服器,因某廠商密碼保存與管理不當造成資料外洩。另外,備份解決方案業者Acronis也有遭駭的消息,並傳出上述兩起事件外洩資料的可能是同一人。
【3月6日】研究人員找出濫用微軟搜尋引擎AI機器人騙取使用者個資的方法、組態配置不佳的Redis伺服器被用於挖礦
AI機器人被用於攻擊的情況,已有駭客將其拿來產生變種的惡意程式碼或是多樣的釣魚郵件,但最近有研究人員發現新的手法,他們在機器人可能會引用的網頁上埋入提示訊息,一旦使用者詢問相關問題,聊天機器人就可能藉著這類資訊向使用者套出多種個資。研究人員指出,駭客有可能自行架設網頁,或是搭配電子郵件來發動攻擊。
又是Redis資料庫系統被用於挖礦攻擊的情況,與過往不同的是,駭客濫用了指令碼共享服務transfer.sh規避偵測,而且,還企圖榨取更多的記憶體資源來挖礦。
有研究人員揭露針對上萬個網站而來的攻擊行動,駭客企圖將使用者導向成人或賭博網站牟利。但究竟駭客入侵這些網站的手法為何?仍有待進一步釐清。
【3月7日】宏碁再傳資料外洩事故、一百多家組織的居易路由器遭木馬程式HiatusRAT入侵
宏碁曾在2021年兩度遭到駭客入侵的事故,但最近傳出有人聲稱成功入侵並竊得內部資料兜售的情況。根據賣家在暗網網路犯罪論壇上的廣告內容,駭客主要取得的資料,大多與筆電、桌上型電腦產品有關,像是產品簡報、BIOS檔案,或是部署Windows作業系統的相關工具。
有駭客使用名為HiatusRAT的木馬程式針對兩款居易路由器設備下手,進而將路由器當作竊取內部環境資料的管道。研究人員發現駭客從2022年7月開始發動相關攻擊,但他們推測,這起攻擊行動很可能在2022年以前就出現。
針對工控系統(ICS)漏洞提出警告的資訊也值得留意。德國、美國先後針對數個漏洞提出警告,其中部分漏洞的CVSS風險評分接近滿分,而有可能被用於執行任意程式碼,或是導致系統無法運作。
【3月8日】ChatGPT被用於投資詐騙攻擊、Windows信任的資料夾被用於繞過使用者帳號控制防護措施
又是假借ChatGPT來發起的攻擊行動了!繼之前有人用於產生惡意程式碼、製作釣魚郵件內容,也有宣稱提供相關軟體來散布惡意程式的情況,現在有人聲稱採用ChatGPT架設AI對話機器人,目的是要對使用者進行投資詐騙。
有駭客在木馬程式攻擊行動裡企圖繞過使用者帳號控制(UAC)機制,他們假造了Windows作業系統預設信任的資料夾,藉此在不受管制的情況下執行木馬程式。而這樣的手法是資安人員在2020年發現,如今已被用於實際攻擊行動。
面對廠商已不再支援的產品,仍有可能被公布漏洞,若企業與組織仍在使用,IT人員千萬別以為可以放著不管,因為這些漏洞很可能成為駭客鎖定的目標。有資安業者發現,VMware於2022年10月修補的重大漏洞CVE-2021-39144,在12月出現大規模攻擊行動。
【3月9日】惡意軟體QBot以微軟OneNote檔案散播攻擊的態勢升溫、Fortinet防火牆與網頁安全閘道存在重大漏洞
資安業者Trellix針對惡意軟體QBot的攻擊提出警告,值得留意的是,他們並非首度揭露相關攻擊行動的資安業者──上個月就有兩家資安業者Cyble、Sophos提出警告,其共通點就是駭客的作案過程運用了OneNote檔案來進行。但不同的是,這次研究人員提及了駭客在QBot與相關惡意程式上,採用相當隱密的迴避偵測手法,而使得資安系統難以察覺異狀。
昨天(3月8日)傳出有人在駭客論壇兜售宏碁2月遭駭而外洩資料一事,引起各界媒體報導。對此,宏碁晚間在股市公開觀測站發布重大訊息證實此事,並認為起因是有合作廠商密碼管理不當引起。
3月7日資安廠商Fortinet公布重大漏洞CVE-2023-25610,影響的產品包括防火牆作業系統FortiOS、網頁安全閘道FortiProxy,有可能導致服務中斷,或是讓駭客能執行任意程式碼的情況。
【3月10日】SonicWall的SSL VPN設備遭到中國駭客鎖定、Oracle Weblogic Server被用於挖礦
隨著遠距辦公成為常態,針對Foritnet、Pulse Secure等廠牌的SSL VPN設備而來的攻擊行動不時出現。最近有資安業者發現鎖定SonicWall旗下SSL VPN設備而來的惡意軟體攻擊,其目的就是要竊取連線的使用者帳密資料。
鎖定Oracle Weblogic Server的攻擊行動也相當值得留意,有駭客組織專門將這種伺服器拿來挖礦,根據提供惡意程式的賣家指出,他們已納入數種迴避Windows系統內建惡意軟體偵測的機制,並提供進階功能讓買家選用。但特別的是,Oracle Weblogic Server可架設於Windows、Linux主機,但駭客專門鎖定前者,顯示這起攻擊行動可能有高度針對性。
中國遠端桌面軟體的漏洞又再度被用於攻擊行動!這次是用於部署惡意軟體PlugX,在此之前,已有駭客用於散布滲透測試工具、木馬程式,以及挖礦軟體。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15