文/羅正漢 | 2023-11-06發表

在這一週漏洞利用消息中,有兩個新揭露的已知漏洞隨即遭攻擊者鎖定的消息,持續提醒企業及時修補的重要性。

(一)Apache軟體基金會的訊息導向中介軟體ActiveMQ,在10月25日釋出新版修補CVSS風險高達10分的漏洞CVE-2023-46604。相隔兩日,資安業者發現勒索軟體HelloKitty的駭客開始鎖定此一已知漏洞,針對尚未修補該漏洞的企業發起攻擊行動。
(二)F5在10月27日針對應用程式交付平臺BIG-IP修補兩個漏洞,分別是CVE-2023-46747與CVE-2023-46748,到了10月30日,F5更新公告指出,修補釋出後發現開始有攻擊者在攻擊行動中利用這兩個已知漏洞。

其他重要漏洞修補消息中,包括適用於K8s環境的Nginx Ingress控制器有多個漏洞修補,以及Atlassian針對DevOps協作平臺Confluence的重大漏洞修補,已有研究人員與業者示警應盡速修補。

在資安防禦進展上,本週我們關注到有多個焦點,統整為以下五大範疇:漏洞評分標準、攻擊手法解析、勒索軟體防範、AI安全法規推動,以及科技大廠宣布調整資安應對策略。
●FIRST推出新版漏洞風險評分系統CVSS 4.0:這是2019年6月CVSS 3.1版推出後的重大改版,新版分數呈現上不只有列出基本分數的CVSS-B,還加上威脅評分的CVSS-BT、加上環境評分的CVSS-BE,以及統合3種分數的CVSS-BTE。
●MITRE發布第14版ATT&CK:當中指出隨著攻擊者不斷發展對人性弱點(human vulnerabilities)的利用,因此這次版本擴大到這類非技術攻擊面,例如:T1657的金融竊盜、T1656的模擬冒充、T1598.004的魚叉式網路釣魚語音。
●AI安全持續受全球政府關切:10月30日美國總統拜登簽署首個AI行政命令,11月1日英國號召的首屆AI安全高峰會(AI Safety Summit)舉行,多國簽署布萊切利宣言,並就人工智慧最前線(Frontier AI)所帶來的機會與風險達成共識。
●對抗勒索軟體威脅仰賴全球合作:美國主導的國際反勒索軟體高峰會(CRI)今年邁入第3屆,制訂首個CRI聯合政策聲明,成員數目亦達到50個,新增國際刑警組織,以及埃及、希臘、約旦等12國。
●面對持續升溫的網路威脅,微軟宣布即日起將採新應對措施:該公司提出Secure Future Initiative(SFI)的未來安全倡議,將從三大方面著手,發展基於AI的安全防禦、落實安全軟體開發,以及呼籲制定更全面性的國際資安規範。

在威脅事件焦點方面,近日有兩起受關注,一是航空製造業龍頭波音證實遭遇網路攻擊,導致零件配送網站服務中斷,另一是身分驗證解決方案業者Okta再傳資料外洩,起因為第三方供應商遭駭。

我們也特別注意到一個新的威脅態勢,近期有資安業者揭露網路犯罪供應鏈的分工是越來越細緻,不只是前幾年常提到的「初始入侵管道掮客(Initial Access Broker)」,就連攻擊者使用的短網址也有專門供應商服務,並指出這樣的組織至少已存在4年之久,註冊上萬網域來提供攻擊行動的短網址服務。

另一個無法忽略的狀況是,今年早先發生的資安事件,至今仍持續有相關消息傳出,顯示後續影響仍大。例如,近期有多家業者傳出的資安事件,起因公布是先前MOVEit Transfer零時差漏洞攻擊所導致;有加密貨幣竊盜事故,研究人員指出起因疑與先前密碼管理解決方案LastPass資料外洩有關;此外,針對2020年SolarWinds供應鏈攻擊事故,美國證券交易委員指控該公司蓄意隱瞞。

 

【10月30日】有人在2016年就利用永恆之藍漏洞,打造惡意軟體StripedFly,迄今仍有數萬臺電腦遭到感染

由美國國家安全局(NSA)掌握的SMB v1漏洞「永恆之藍(EternalBlue)」、於2017年4月被駭客組織影子掮客(The Shadow Brokers)公布,1個月內引發勒索軟體WannaCry大規模感染的事故,但有研究人員指出,有其他駭客也利用這項漏洞打造惡意程式,並暗中活動超過5年,直到今年都還有數萬臺電腦受害。

值得留意的是,這些駭客發起惡意軟體攻擊的時間最早可能在2016年4月,比影子掮客聲稱於同年8月竊得相關資料的時間還要早。

【10月31日】曝露於GitHub程式庫的帳密資料成為駭客下手的對象!有人從中收集AWS的帳密,將EC2實體拿來挖礦

過往不斷有研究人員對開發者提出警告,將專案所需存取的帳密資料寫入程式碼,將有可能帶來危害。而最近研究人員發現的挖礦攻擊行動EleKtra-Leak,就是這樣的典型例子,攻擊者從公開的GitHub儲存庫收集AWS帳密資料,再趁機奪取這些用戶花錢租用的EC2執行個體服務進行挖礦。

特別的是,駭客利用這些帳號挖礦之後,竟然把它們列入黑名單,這樣的手法可說是相當少見。

【11月1日】研究人員揭露專門供應網路罪犯使用的短網址服務供應商Prolific Puma,駭客經營超過4年未被發現

網路攻擊分工越來越精細,這兩年常出現「初始入侵管道掮客(Initial Access Broker)」,就是專門收集可存取特定組織的帳密資料的角色。但如今,就連攻擊者所使用的短網址,也有專門提供服務的供應商。

近期有研究人員揭露名為Prolific Puma的惡意轉址服務供應商,並指出該組織至少經營超過4年未被發現。

【11月2日】伊朗駭客組織利用後門程式Liontail攻擊Windows伺服器,鎖定中東地區的政府機關與金融單位而來

伊朗駭客攻擊中東國家的情況越來越頻繁,最近出現了新的駭客Scarred Manticore,他們主要針對目標組織的Windows伺服器而來。

但值得留意的是,這些駭客的惡意程式與C2連線的管道相當特別,竟是透過作業系統底層的驅動程式來進行,這種手法使得受害組織難以察覺他們的攻擊行動。

【11月3日】訊息導向中介軟體ActiveMQ重大漏洞出現攻擊行動,駭客用於投放勒索軟體HelloKitty

前幾天ActiveMQ漏洞修補消息一出,當時有研究人員認為後續可能會引發危機,因為此軟體在企業環境做為訊息代理的角色,一旦漏洞遭到利用,將有可能導致訊息遭到攔截、工作流程中斷、資料外流,甚至能讓攻擊者在內部網路環境進行橫向移動。

現在有資安業者證實這樣的情況,並指出駭客想要發動勒索軟體攻擊,來向企業組織進行勒索。

值得留意的是,駭客在修補程式發布的兩天後就開始進行漏洞利用,這也代表組織緩解漏洞的態勢相當險峻。

 

 

iThome Security

熱門新聞

Advertisement