思科上週揭露已被用於攻擊行動的零時差漏洞CVE-2023-20198,隨後情況急速惡化,多家資安業者發現受害的IOS XE設備,數量一度達到4萬,甚至6萬的高峰,但特別的是,他們在週末觀察到的遭駭設備數量,竟然只剩下一千多臺。難道是IT人員都很配合、及時套用更新程式嗎?研究人員普遍認為,這些看似「已修補」的狀態,可能是駭客隱匿攻擊行動的作為。
對於上述推測,資安業者Fox-IT公開證實,並指出駭客在近4萬臺具有這個弱點的設備,部署了新版後門程式,繼續進行控制。
【攻擊與威脅】
遭植入後門的思科IOS XE設備數量出現異常銳減狀現象,有資安廠商證實攻擊者其實是滅除遭駭痕跡,並植入新後門
思科先後揭露2個已被用於攻擊行動的網路作業系統IOS XE漏洞CVE-2023-20198、CVE-2023-20273,駭客於受害系統植入Lua開發的後門程式,隨後有資安業者揭露受害情形,但近期再度出現新的變化引起關注。
根據10月22日資安新聞網站Bleeping Computer報導,有許多研究人員發現,感染後門程式的思科設備數量呈現不合理的劇烈減少現象,10月21日達到6萬臺的高峰,隔天卻突然降到只剩1,200臺。針對這樣的現象,資安業者Onyphe首席技術長Patrice Auffret認為,這是因為駭客企圖埋藏攻擊意圖,而幫受害設備部署更新程式修補漏洞。資安組織Shadowserver基金會也觀察到類似狀況,他們看到在21日之後,感染此後門程式的設備僅剩下186臺,研判後門程式可能被移除或更新。Orange Cyberdefense CERT、研究人員Daniel Card也對受害裝置突然減少的現象提出類似的看法。
到了23日,資安業者Fox-IT證實上述推測成真,他們表示上述現象是因為駭客在受害裝置部署新版後門程式,這些後門程式會在回應之前,檢查HTTP標頭進行驗證。根據他們的調查,目前約有37,980臺裝置遭到感染。
資料來源
1. https://twitter.com/onyphe/status/1715633541264900217
2. https://dashboard.shadowserver.org/statistics/combined/time-series/?date_range=7&source=compromised_website&source=compromised_website6&tag=device-implant%2B&group_by=geo&style=stacked
3. https://twitter.com/CERTCyberdef/status/1715787627800969374
4. https://twitter.com/uk_daniel_card/status/1716131549945430356?s=46
5. https://www.linkedin.com/feed/update/urn:li:activity:7122238350849150976/
威聯通聯手雲端服務業者Digital Ocean,攔阻鎖定NAS設備的暴力破解攻擊
10月19日臺灣NAS廠商威聯通(QNAP)發布資安通告,表示他們在10月14日下午6時偵測到大規模暴力破解攻擊,鎖定曝露在網際網路上的NAS設備而來,威聯產品資安事件應變團隊(QNAP PSIRT)後續花了7小時,利用該廠牌設備的專屬防火牆系統QuFirewall,封鎖數百個殭屍網路的IP位址,兩天後找到C2伺服器,該伺服器由雲端服務業者Digital Ocean代管。
威聯通尋求Digital Ocean協助,阻斷此伺服器運作,以免災情擴散。該公司也呼籲NAS用戶應儘速採取資安防護行動,避免自己成為暴力破解攻擊的受害者。
密碼管理平臺1Password證實因Okta資料外洩遭遇網路攻擊
前幾天,身分存取管理業者BeyondTrust、雲端服務業者Cloudflare發出公告,表明因Okta客戶技術支援系統遭駭,導致他們架設的Okta實體受到影響,今天傳出新的受害組織。 10月23日密碼管理系統1Password發出聲明,表示他們在9月29日,察覺提供員工使用的Okta實體出現異常行為,隨即阻止其行為並著手調查,,並與Okta聯手確認入侵來源,10月20日後,他們確定與Okta的客戶支援系統事故有關。
1Password指出,他們的IT團隊成員曾向Okta請求技術支援,並上傳由Chrome瀏覽器的開發工具建立的HAR檔案以供診斷,攻擊者竊得HAR檔案,企圖存取1Password的主控臺儀表板(但遭Okta封鎖)、更新與Google環境有關的Okta身分驗證提供者(IDP)、啟用IDP、要求管理員使用者的報告。對此,該公司輪調所有IT員工的帳密資料、修改Okta組態,來因應這起事故。
資料來源
1. https://blog.1password.com/okta-incident/
2. https://blog.1password.com/files/okta-incident/okta-incident-report.pdf
Citrix警告NetScaler重大漏洞的攻擊行動仍持續進行
10月10日Citrix修補NetScaler設備資訊洩露漏洞CVE-2023-4966(CVSS風險評分為9.4),之後資安業者Mandiant提出警告,駭客從8月下旬就利用這項零時差漏洞,已有政府機關與科技業者受害,如今Citrix也證實該漏洞被用於攻擊行動的情形。
10月23日Citrix發出公告,坦承他們接獲連線階段(Session)挾持的事故通報,並確認攻擊者在過程當中利用這項漏洞。他們呼籲將NetScaler ADC設置為閘道組態(即VPN虛擬伺服器、ICA代理伺服器、CVPN、RDP代理伺服器),或是AAA虛擬伺服器的IT人員,應儘速套用相關更新,然後下達命令清除所有的活動與連線階段,以防已有攻擊者利用漏洞進行破壞的情況。
【資安防禦措施】
18國資安專家匯聚臺灣,展開跨國資安攻防演練CODE 2023,臺灣奪得冠軍
10月18日至20日,數位發展部資通安全署舉辦今年度跨國網路攻防演練(Cyber Offensive and Defensive Exercise,CODE 2023),吸引18個國家的資安組織參與,本次的CODE活動,選定與民生相關的水資源領域建置仿真的場域,由臺灣自來水公司擔任藍軍,紅軍則由國內外攻擊隊伍分別扮演,共有八隊進行實戰的演練及切磋,充分地模擬多方駭客針對關鍵基礎設施(CI)進行攻擊,而防禦組演練面對多方攻擊,他們展現如何快速應變及處置。結果我國參與團隊在比賽表現出色,獲得第1名的佳績。
此外,有別於過往的CODE攻防演練,這次活動也同時舉辦前瞻資安探索會議(Advanced Cybersecurity Exploration Conference),邀集世界各地學者、業界及政府代表,共同聚焦兩大資安議題:關鍵基礎設施安全、新興技術風險管理,探索相關因應策略或方案。
為防堵假冒政府機關的簡訊詐騙,數位發展部推出專屬短碼簡訊平臺111
為防堵詐騙,去年數位發展部推出政府專用的短網址服務,現在他們進一步推出新的111政府專屬短碼簡訊平臺,並於今日舉行啟動記者會,總統蔡英文也親自到場,宣布正式啟動這項服務。
數位部表示,政府機關必須透過專屬平臺,才能發送111短碼簡訊,達到只此一家、別無分號的效果,民眾更容易辨識簡訊來自公部門,部長唐鳳表示,在首波內部測試期間,參與單位涵蓋中央與地方政府單位,包括:行政院的衛生福利部、法務部、經濟部、勞動部、數位部,中央研究院,以及臺南市政府,現在將開放更多中央與地方政府機關申請參與使用。
【其他新聞】
巴基斯坦和阿富汗遭到駭客組織DoNot Team鎖定,散布名為Firebird的後門程式
密西根大學針對8月遭遇的網路攻擊公布調查結果,證實學生、教職員的個資外洩
近期資安日報
【10月23日】 思科網路設備作業系統IOS XE攻擊升溫,駭客串連兩個零時差漏洞散布惡意程式,近4.2萬臺設備受害
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20