在清明連假後的一周半中,共有10個已知漏洞遭利用的情形,包含蘋果緊急修補的CVE-2023-28205、CVE-2023-28206漏洞,以及微軟4月安全性更新所修補的CVE-2023-28252漏洞,發現遭攻擊者利用部署Nokoyawa勒索軟體,以及Veritas備份軟體2021年的3個已知漏洞去年底BlackCat勒索軟體利用,近期被資安業者揭露。
另有4個漏洞本期尚未報導,但亦確認遭攻擊者成功利用情形,值得注意,包含兩個今年揭露的漏洞:Novi Survey的漏洞(CVE-2023-29492 )、Android的漏洞(CVE-2023-20963) ,以及兩個早年的已知漏洞:微軟的漏洞(CVE-2019-1388)、Arm的漏洞(CVE-2019-1388)。在其他漏洞修補消息方面,包括威聯通、HP、SAP、西門子、施耐德、Adobe也發布安全更新,還有JavaScript沙箱程式庫VM2的漏洞值得留意。
關於威脅態勢的揭露方面,最受關注的是,勒索軟體Rorschach濫用Palo Alto Networks的XDR系統元件載入與執行的情形,以及駭客濫用Telegram的情況是越來越嚴重,其他可留意的是後門程式Balada Injector、竊資軟體Creal、Mirai變種RapperBot的動向,以及竊資軟體Typhon加入大量混淆反分析的揭露。
另外要特別一提的是,假ChatGPT、Google Bard名義的威脅也增加,同時,如同與員工擅自將公司資料上傳到個人雲端儲存空間存放情形類似,近期不少企業正關注員工是否可能將公司機密資訊,擅自輸入ChatGPT的問題。
至於國內焦點方面,包括假冒財經名人、主播名義的詐騙呈現持續橫行情形,甚至台積電創辦人的夫人張淑芬也遭冒名後,這類問題更受關注,因此,Meta與Google等平臺業者的自動審核廣告機制,顯然已被網路犯罪者找到容易突破的方式,業者再不設法解決,等於讓廣告成網路攻擊與詐騙發動溫床;Google Cloud近期揭露去年第四季報告中,提及中國駭客組織APT41當時鎖定目標是臺灣媒體。
【4月6日】網際網路上尚未修補已知漏洞的應用系統,超過1,500萬個
本日的資安新聞有不少與已知漏洞的攻擊行動有關,例如,之前出現的網路電話系統開發商3CX供應鏈攻擊事故,駭客於Windows版用戶端軟體利用了10年前的軟體簽章漏洞CVE-2013-3900,原因是微軟將相關更新程式列為選用,而有可能因為使用者的電腦沒有修補這項漏洞,讓駭客能夠得逞。
這種已知漏洞尚未修補,而能讓駭客隨意利用的情況究竟有多嚴重?有資安業者根據美國網路安全暨基礎設施安全局(CISA)列管的896個已被利用漏洞名單(KEV)著手調查,結果發現有1,500萬個應用系統曝露KEV列管的部分漏洞,值得留意的是,研究人員列出的10大漏洞裡,有一半以上存在5年以上。
上述的KEV名冊裡有不少是高風險漏洞,使得研究人員不斷呼籲要儘速修補,但低風險的漏洞也同樣值得留意。有資安業者針對威聯通NAS設備的零時差漏洞提出警告,並指出這些漏洞的CVSS風險評分雖然僅有2.7分,但在駭客時常針對該廠牌NAS下手的情況下仍應儘速修補。
【4月7日】英國數位ID驗證解決方案業者OCR Labs曝露開發環境組態,恐波及英國、澳洲金融業者
又是將開發環境組態公開於網站上引發的資料外洩事故!而且,這樣的情況還是發生在專門提供數位ID驗證服務的資安業者。研究人員指出,這起事故不只洩露該公司內部的資料,還牽連英國、澳洲多家大型金融機構。
使用者想要尋找VPN服務要留意!最近有人假借提供這類服務的名義散布竊資軟體OpcJacker,然後進一步於受害電腦部署木馬程式、遠端桌面連線程式,以便進行第2階段攻擊。
除了我們必須對駭客散布惡意程式的手法提高警覺,駭客企圖引誘新血投入的情況也值得留意。有資安業者發現駭客利用加密通訊軟體Telegram散布網釣工具包的情況越來越常見,但這麼做的目的,主要是吸引缺乏相關技能的新手投入網路犯罪。
【4月10日】特斯拉客戶關係管理系統TRT出現漏洞,前員工電子郵件信箱可註冊外部人員帳號,重新取得相關權限
近期特斯拉傳出幾起資安事故,格外引人注目。首先是該公司的客戶關係管理系統Tesla Retail Tool漏洞,引起研究人員關注,因為受到影響的不只是該公司本身,還包含合作的供應商、客戶。
另一則與這家汽車製造商有關的新聞,則是前員工指控公司產品存在隱私保護爭議。據傳該廠牌汽車攝影機錄下的影片,員工竟拿來分享、取笑,內容包含交通事故與車主居家環境,極度無視車主的隱私,而老闆均為Elon Musk的特斯拉與網路社交媒體推特,均不願對此回應。
除了與電動車大廠特斯拉有關的事故,蘋果發布iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1修補的零時差漏洞也值得留意,這些漏洞已出現攻擊行動,使用者應儘速安裝更新程式。
【4月11日】惡意NPM套件被用於網釣攻擊,並癱瘓套件庫系統的運作
惡意NPM套件的攻擊行動不時傳出,但之前大部分的目的是向開發人員散布惡意程式,如今駭客採用新的手法,他們透過自動化的方式,上傳內含惡意連結的大量套件,將開發人員導向惡意網站,再進行第二階段攻擊。研究人員指出,駭客大量上傳套件的情況,使得短短一個月NPM代管的套件就爆增近8成,進而影響此套件庫的運作。
在NPM套件的攻擊行動之外,企業對於現行使用者的身分管理,也值得留意,很多企業對於離職員工的帳號清除並未落實。最近有調查發現,竟有接近半數的離職員工能夠存取公司內部環境,或是所訂閱的服務,甚至能猜到老闆所使用帳密資料。這樣的情況也突顯出,公司對於離職員工的帳號註銷、管理,亟需加強。
繼上週末蘋果發布iOS 16.4.1、iPadOS 16.4.1、macOS Ventura 13.3.1修補兩個零時差漏洞,10日蘋果公司對於執行舊版作業系統的行動裝置與電腦,也發布相關更新,用戶應儘速套用修補軟體。
【4月12日】微軟發布本月份例行修補,緩解已遭勒索軟體利用的CLFS零時差漏洞
11日多家廠商發布4月份例行修補,包含微軟、Adobe、SAP等軟體業者,以及西門子、施耐德電機等OT設備業者,其中最值得留意是微軟發出的公告,因為當中修補的零時差漏洞CVE-2023-28252,已有資安業者發現在2月被用於勒索軟體攻擊。
除了IT與OT大廠此刻齊發每個月例行修補,前一段時間經歷曝露用戶對話標題及帳號被盜等資安事故的ChatGPT,主導其發展的人工智慧實驗室OpenAI本週宣布推出漏洞懸賞專案,鼓勵研究人員對該實驗室的API及ChatGPT幫其抓漏。
三星半導體部門傳出因開放使用ChatGPT造成資料外洩的情況並非個案!有資料安全新創公司發現,平均每100位員工就有超過3位將企業機敏資料上傳ChatGPT,且這種資料外洩的情況有越來越嚴重的趨勢。
【4月13日】駭客挾持合法網站,向使用者宣稱需要更新Chrome瀏覽器的名義,散布挖礦程式
攻擊者利用合法網站做為攻擊媒介,並針對使用者散布惡意程式的情況,不時有事故傳出,但近期出現了新的攻擊手法。日本資安業者NTT Security Holdings揭露自去年底出現的攻擊行動,駭客製造了假的Chrome錯誤訊息,讓使用者不知不覺依照指示而中招。
除了針對電腦上網使用者而來的攻擊行動,鎖定安卓行動裝置的惡意軟體氾濫的情況也值得留意。最近資安業者卡巴斯基揭露了地下供應鏈,指出駭客可直接從暗網購得所需的各式服務來犯案──包括讓惡意程式上架Google Play市集。
在惡意軟體攻擊之餘,網路詐騙的事故也引起政府重視。美國聯邦調查局(FBI)針對當地華人提出警告,近日駭客聲稱是中國公安或是領事館人員行騙,呼籲他們遇到來路不明的電話要提高警覺,切勿透露自己的個資。
【4月14日】駭客透過臉書廣告贊助貼文,假借提供ChatGPT、Google Bard聊天機器人程式的名義,散布竊資軟體
採用大型語言模型(LLM)的人工智慧機器人是當今大熱門,駭客假借這類程式的名義也不時傳出,其中最常被利用的就是ChatGPT。但在最近一起散布竊資軟體RedLine的資安事故裡,駭客不只冒用ChatGPT,還有Google Bard的名義來發動攻擊。
雲端組態不設防的現象頻傳,其中又以採用弱密碼、甚至是沒有密碼保護的情況相當常見,而這樣的態勢也成為駭客發動攻擊的重要管道──雲端服務業者Google Cloud指出,他們分析用戶遭遇的攻擊行動裡,有近半數是鎖定弱密碼的環節而來。
視訊監控系統的儲存系統一旦曝露漏洞,很有可能導致錄下的影像外流。例如,海康威視(Hikvision)修補了SAN混合儲存設備與叢集儲存產品漏洞CVE-2023-28808,並表示若不修補駭客能用來取得管理員權限,對該系統為所欲為。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19