前幾天ActiveMQ漏洞修補消息一出,當時有研究人員認為後續可能會引發危機,因為此軟體在企業環境做為訊息代理的角色,一旦漏洞遭到利用,將有可能導致訊息遭到攔截、工作流程中斷、資料外流,甚至能讓攻擊者在內部網路環境進行橫向移動。
現在有資安業者證實這樣的情況,並指出駭客想要發動勒索軟體攻擊,來向企業組織進行勒索。
值得留意的是,駭客在修補程式發布的兩天後就開始進行漏洞利用,這也代表組織緩解漏洞的態勢相當險峻。
【攻擊與威脅】
勒索軟體HelloKitty傳出正在利用Apache ActiveMQ的重大漏洞
訊息導向中介軟體ActiveMQ在10月25日公告修補漏洞CVE-2023-46604,因CVSS風險高達10分而引發大家注意,ShadowServer基金會指出全球有超過3千臺伺服器曝險,如今有研究人員警告已有攻擊行動出現。
27日資安業者Rapid7發現,他們有2個客戶存在此漏洞的利用攻擊行動,駭客企圖部署勒索軟體並向組織勒索,研究人員根據勒索訊息及手上掌握的證據,指出是勒索軟體HelloKitty(亦稱Five Hand)的攻擊行動。
他們看到駭客在成功利用上述漏洞後,試圖透過ActiveMQ的處理程序載入Java.exe,然後利用MSIExec執行2個偽裝成PNG圖檔的MSI檔案,進而於目標伺服器部署勒索軟體。在其中一起攻擊裡,他們看到對方嘗試執行至少6次檔案加密,所幸沒得逞。
身分驗證解決方案業者Okta再傳資料外洩,起因是第三方供應商遭駭
根據資安新聞網站Bleeping Computer的報導,身分驗證解決方案業者Okta近期向緬因州總檢察長辦公室通報,他們因醫療保險業者Rightway Healthcare在9月23日遭遇網路攻擊,導致他們對保戶提供的保險及保障權益所彙整的調查資料,遭到異常存取,這個檔案包含現有及離職的Okta員工,以及家屬的姓名、社會安全碼(SSN)、醫療保險號碼,總共有4,961名員工受到影響,但目前這些個資尚未出現遭到濫用的跡象。
Rightway Healthcare於10月12日公開表示自己遭遇資安事故之後,Okta著手調查確認受影響範圍,他們向Bleeping Computer透露,這些流出的資料起迄時間,為2019年4月至2020年。
10月底勒索軟體駭客LockBit聲稱,他們利用零時差漏洞入侵航太龍頭波音(Boeing),取得大量敏感資料,並揚言要求該公司在11月2日前進行聯繫,當時波音表示正在設法了解狀況,這幾天終於有新進展。
11月2日波音向Bleeping Computer、The Register等新聞網站提出新的說明,指出他們遭遇網路攻擊事故,影響他們的零件物料及配送業務,但飛航安全不受影響,已通報主管機關並展開調查,也通知客戶及供應商。目前該公司的零件及配送網站為離線狀態,並公告因技術問題而無法提供服務。不過,波音並未進一步說明攻擊事故的細節,也沒有透露受害範圍。
資料來源
1. https://www.bleepingcomputer.com/news/security/boeing-confirms-cyberattack-amid-lockbit-ransomware-claims/
2. https://www.theregister.com/2023/11/02/boeing_cyber_incident/
美國國防部逾63萬封電子郵件外洩,又是因為服務廠商遭MOVEit Transfaer零時差攻擊所致
5月底發生的MFT檔案共享系統MOVEit Transfer零時差漏洞大規模攻擊行動,最近又有新的受害情形傳出。
根據彭博社的報導,美國司法部因這起攻擊事故導致員工資料外流,約有63.2萬名員工的電子郵件信箱曝光。該媒體取得美國人事管理局(OPM)的文件指出,這些資料是來自資料管理業者Westat設置的MOVEit Transfer系統。
【漏洞與修補】
34款Windows驅動程式存在弱點,有可能讓攻擊者挾持電腦、抹除韌體
VMware旗下的威脅情報團隊近期發現34個Windows驅動程式存在漏洞,攻擊者一旦加以利用,有可能完全控制裝置,並在作業系統底層執行任意程式碼,甚至能竄改或破壞韌體,或是用於提升權限。
值得一提的是,過往對於驅動程式研究,聚焦在透過「視窗驅動程式模型(Windows Driver Model,WDM)」打造的驅動程式,而這次研究人員也對於採用「視窗驅動程式框架(Windows Driver Framework,WDF)」開發的驅動程式進行調查。
而在這個團隊找出的有漏洞驅動程式,風險都很高,因為攻擊者都能透過不具管理員權限的使用者帳號,進行完全控制。其中,有6個可被用於存取核心記憶體、6個可抹除韌體。此外,有2個WDF驅動程式WDTKernel.sys、H2OFFT64.sys,雖然在存取控制方面不易被利用,但攻擊者可將其用於自帶驅動程式(BYOVD)攻擊。
Microsoft 365應用程式的SketchUp 3D程式庫存在117個漏洞
資安業者Zscaler指出,微軟2022年6月在Microsoft 365支援SketchUp檔案(SKP),但也因此引入許多漏洞。
研究人員指出,Microsoft 365處理SKP檔案的過程裡,此辦公室生產力軟體會呼叫多個SketchUp的API及功能,他們透過模糊測試找出了20個安全漏洞,涵蓋記憶體堆疊緩衝區溢位、整數溢位、越界寫入(OBW)、類型混淆、記憶體釋放後濫用(UAF)等類型。另一方面,若是SketchUp檔案嵌入了圖片,Microsoft 365還會呼叫名為FreeImage的第三方程式碼進行處理,為此研究人員也繼續利用模糊測試,結果從該程式庫元件中找出97個漏洞。
對此,微軟對於上述117個漏洞登記了3個CVE編號CVE-2023-28285、CVE-2023-29344、CVE-2023-33146(CVSS風險評分皆為7.8),並於今年4月至6月,發布Windows版、macOS版Microsoft 365更新,然而,研究人員仍能繞過修補程式利用這些漏洞,因此微軟最終決定停用SketchUp檔案的支援。
【資安防禦措施】
6月的國際資安事件緊急應變小組論壇(FIRST)年度大會,公布新的4.0版通用漏洞評分系統(CVSS),經過兩個月的公開討論、兩個月做出回應、調整,11月1日FIRST宣布新版評分系統正式上路,這是2019年6月CVSS 3.1版推出後的重大改版。
FIRST指出,新的評分標準提供了更細致的基本指標,並簡化威脅指標、提高特定環境的安全要求評估。這版增加漏洞評估的補充指標,例如:能否自動化利用(蠕蟲化)、復原難易度(韌性)等。另一個重要的改進面向,則是對於操作科技(OT)、工業控制系統(ICS)、物聯網(IoT)新增與安全相關的指標與參數。
值得留意的是,CVSS 4.0不只列出基本分數,將有4種呈現問題嚴重性狀態的方式,包含了基本評分CVSS-B、加上威脅評分的CVSS-BT、加上環境評分的CVSS-BE,以及統合3種分數的CVSS-BTE。
MITRE發布第14版ATT&CK,強化社交工程、工業控制系統、行動裝置領域攻防敘述
11月1日MITRE Engenuity發布資安攻防框架MITRE ATT&CK第14版,總共涵蓋760種軟體、143個駭客組織,以及24種橫跨企業、行動裝置、工業控制系統(ICS)的攻擊行為。此新版框架對於偵測的註解及分析,提供更多的延伸,也在偵測、資料來源、緩解措施之間的關聯,進行強化。
其中,對於企業的攻擊手法,這次特別納入了社交工程,以及與資訊技術無直接相關的詐欺手段,例如:金融詐騙、語音網路釣魚等。針對工業控制系統的部分,新版攻防框架新增此種場域的主要元件,而讓相關部門更能透過該框架描述資安風險及威脅。
本次新版框架也擴大行動裝置類別的範圍,涵蓋多種新型態的網路釣魚手法,如:簡訊釣魚(smishing)、QR code釣魚(quishing)、電話釣魚(vishing)。
【其他新聞】
醫療保健業者Henry Schein傳出遭到勒索軟體BlackCat攻擊,35 TB內部資料外流
伊朗駭客組織MuddyWater鎖定以色列組織,透過N-able遠端管理工具控制受害電腦
Atlassian證實有人公布DevOps協作平臺Confluence重大漏洞CVE-2023-22518細節,呼籲用戶防範相關攻擊行動
Excel擴充套件檔案XLL成駭客2023年第三季散布惡意程式愛用的十大檔案類型
為協助資源缺乏的組織強化資安,美國CISA推出免費事件記錄工具Logging Made Easy
近期資安日報
【11月2日】 伊朗駭客組織利用後門程式Liontail攻擊Windows伺服器,鎖定中東地區的政府機關與金融單位而來
熱門新聞
2024-05-16
2024-05-14
2024-05-14
2024-05-15
2024-05-12
2024-05-13