這一週的漏洞利用消息,最重要的就是行動裝置管理平臺Ivanti Endpoint Manager Mobile(原名MobileIron Core)的漏洞又有新消息,繼前一周挪威12個政府遭入侵,發現是利用CVE-2023-35078零時差漏洞攻擊,後續查出同一起攻擊還利用了CVE-2023-35081的零時差漏洞。該公司與美國CISA均呼籲用戶應儘速套用修補更新程式。另外,Citrix在6月修補檔案共享系統ShareFile的CVE-2023-24489漏洞,近期發現針對未修補該漏洞系統的攻擊行動。
另一值得企業警惕的消息是,Canon PSIRT發布產品安全公告,指出初始化過程不會清除印表機Wi-Fi連線設定的漏洞問題,建議用戶在淘汰或送修產品前,應清除這方面的資訊。而3個月前ESET也指出企業淘汰的不同品牌路由器設備,存在未徹底銷毀企業網路組態資訊、企業帳密與應用程式資料的情形。
在最新國際威脅焦點方面,有三大消息值得關注,首先是IDOR這類漏洞導致「Web應用程式存取控制濫用」的風險,值得優先關注;其次是微軟今年5月揭露中國駭客組織Volt Typhoon鎖定關島及其他地區的電信系統,近期傳出美國政府有相關後續因應行動的消息;第三是中國駭客APT31鎖定東歐的揭露。
●澳洲ACSC、美國CISA、NSA聯手發布安全公告,呼籲注意不安全直接物件參照(IDOR)這類漏洞,導致「Web應用程序存取控制濫用」的風險,當中說明了相關技術細節與影響,並且提供具體的開發防護建議。
●近期紐約時報指出美國政府官員透露,美國政府正在針對各種軍事防禦系統進行清查,主要就是針對微軟5月揭露的事件而來,同時美國白宮也針對此惡意程式召開一系列會議,討論更多因應方式。
●卡巴斯基揭露中國駭客組織APT31從去年4月開始,針對東歐ICS及關鍵CI的受隔離網路環境發動攻擊,初期藉由植入惡意軟體以遠端存取與偵察,接著散布透過USB裝置入侵隔離網路的工具,最後將收集到的資料回傳至C2伺服器。
其他值得注意的消息,包括蠕蟲程式P2PInfect有新的揭露,不僅會竄改伺服器的OpenSSH設定,還會透過Redis的複寫(replication)功能來達到自我散布;竊資軟體NodeStealer 2.0的攻擊揭露中,新版具有盜取企業的臉書帳號等更多能力,並使用FodHelper UAC繞過的技術。
關於資安防護焦點方面,在國內以AI與後量子的消息受注目。資安院與工研院在7月31日簽訂MOU,預計今年底正式成立「AI產品與系統評測中心」;池安量子資安在8月1日成立量子安全遷移中心,看好相關商機並期望結合學術機構等能量。
【7月31日】Ivanti再度修補行動裝置管理平臺的零時差漏洞,並指出其危險之處在於與另一個漏洞串連使用
上週挪威政府的資訊系統遭到攻擊,並點名駭客鎖定第三方軟體Ivanti Endpoint Manager Mobile的零時差漏洞CVE-2023-35078而來,呼籲所有用戶應儘速套用更新程式修補。但事隔數日,Ivanti再度修補另一個高風險漏洞CVE-2023-35081,並強調在前述的漏洞攻擊行動裡,駭客也同時運用了這個漏洞。是否還有其他可被攻擊濫用的漏洞?有待進一步觀察。
利用Windows搜尋功能網路釣魚攻擊行動,也相當值得留意,有研究人員發現駭客利用Windows搜尋存取遠端伺服器上的惡意檔案,目的是讓使用者誤以為開啟存放於自己電腦的PDF文件,降低戒心而導致電腦被植入木馬程式。
Google威脅情報小組(TAG)針對2022年零時差漏洞公布其觀察的結果,最引人注目的部分,就是點名自家行動裝置作業系統的N-day漏洞現象,因為駭客不需自行尋找零時差漏洞,就能進行這類濫用弱點的攻擊行動。
【8月1日】Google彙整2022年零時差漏洞攻擊態勢,並指出駭客透過已知漏洞找出新漏洞的現象變得更加氾濫
漏洞修補不全、安卓生態圈修補時程漫長,已是長久已來的現象,但這樣的情況去年變得更加嚴重。Google近日在針對2022年零時差漏洞的分析當中,特別提及上述情形,其中,對於漏洞修補不全的而衍生的零時差漏洞,過往僅約占2成,但到了去年一舉增加到4成的比例。研究人員認為,這有兩種情況,一是駭客找到了更多的漏洞變形,另一種就是礙於發布更新程式的時間壓力,產生修補不完整的現象。
針對安卓裝置的惡意軟體攻擊,近期變得更加氾濫,在今天的資安新聞裡,惡意軟體CherryBlos的攻擊行動特別值得留意,因為,該竊資軟體能對受害裝置裡存放的圖片進行搜括,找出使用者拍下的加密貨幣錢包帳密資料、通關密語,再回傳給駭客。
專門鎖定Redis伺服器的惡意軟體P2PInfect攻擊行動,有研究人員公布新的調查結果,並指出該惡意軟體橫向感染的方式,竟是透過Redis的複寫(replication)功能來進行。
【8月2日】美國針對軍事補給相關系統進行清查,中國駭客埋入可能干擾軍事行動的惡意軟體
中國駭客滲透美國政府的情況,在先前有美國政府向微軟通報逾20個組織電子郵件遭竊的情況,最近傳出當局對軍事設施進行調查的消息,原因是他們發現中國駭客2022年部署的惡意軟體,可能會在臺海未來發生戰爭時,防礙美國出兵援助臺灣。美國政府官員認為,這樣的惡意軟體不只影響軍事行動,還有可能波及民間企業及民眾,造成社會恐慌。
專門竊取臉書企業帳號的竊資軟體NodeStealer,其動態也相當值得留意。研究人員發現,有人以Python語言重新改寫,使得這個惡意軟體不僅功能變得更加強大,也更難進行反組譯。
連網設備恢復原廠初始設定,竟然會遺留部分機敏資料而曝險!Canon上週發布資安通告,指出旗下逾200款噴墨印表機在恢復原廠設定之後,Wi-Fi無線網路組態仍留存,而這些資訊有可能被用來入侵家庭或企業的內部網路環境。
【8月4日】駭客利用Salesforce零時差漏洞發動網釣攻擊,目的是竊取企業的臉書帳號
近期駭客挾持企業的臉書帳號的攻擊行動,有不少是透過臉書廣告、打著提供生成式AI機器人應用程式的名義,散布竊資軟體來進行,但最近出現了更為複雜的手法。有人透過雲端CRM平臺Salesforce的漏洞下手,並將釣魚網站架設於臉書臉書內嵌應用程式平臺的網域(Meta已停止提供相關服務)上,從而迴避資安系統的偵測,並騙取受害組織的臉書帳號。
雲端平臺的系統管理工具有可能遭到濫用,而成為駭客的「木馬程式」!研究人員揭露利用AWS EC2系統管理工具System Manager的攻擊手法,攻擊者有可能透過這項工具「管理」其他組織的AWS EC2實體。
已被用於攻擊Citrix NetScaler系統存在的零時差漏洞CVE-2023-3519,有研究人員揭露初步調查結果,他們找到640臺伺服器已被部署了後門,並強調這可能僅是受害範圍的冰山一角。
熱門新聞
2024-12-24
2024-12-22
2024-12-20
2024-08-14
2024-11-29