文/羅正漢 | 2023-12-04發表

在這一星期的漏洞消息中,有4起漏洞利用情況須優先關注,其中以Google修補瀏覽器漏洞的影響需要特別重視:

(一)Google在28日修補已遭利用的Chrome瀏覽器零時差漏洞CVE-2023-6345,值得關注的是,該漏洞存在於Skia繪圖引擎,又是涉及底層,因此可能影響範圍還包括了Android、ChromeOS、Firefox OS、Firefox/Thunderbird、Flutter、Avalonia及LibreOffice等。
(二)蘋果在30日修補兩個已遭到攻擊的零時差漏洞,分別是CVE-2023-42916、CVE-2023-42917),由於這些漏洞是Google威脅分析團隊(TAG)通報,且Google前兩日才修補Chrome零時差漏洞,這些漏洞是否可能同一起攻擊活動所利用,有待後續更多消息揭露。
(三)檔案共享平臺ownCloud在11月21日修補3個重大漏洞,其中CVSS滿分的漏洞CVE-2023-49103,本身並不複雜,修補發布後已快速遭攻擊者用於攻擊行動,用戶需盡速進行緩解或補強。
(四)資料分析系統Qlik Sense有3個已知重大漏洞(CVE-2023-41266、CVE-2023-41265和CVE-2023-48365)被用於攻擊行動,駭客鎖定這些漏洞進而發動勒索軟體Cactus攻擊。

其他可留意的漏洞消息,包括:兆勤修補旗下NAS設備的6個重大漏洞,以及AI框架Ray被揭露存在重大漏洞,但開發商Anyscale目前未有修補打算。

在國內,有兩大事件成為焦點,都與上市公司有關,首先是上海商銀發生1.4萬客戶資料外洩事件,由於事件發生後竟缺乏相關資訊可追查,成為金管會開罰重點,依據銀行法開罰1千萬元;關於中石化在11月中旬發布資安事件重大訊息,說明遭受駭客網路攻擊事件,近期有後續消息傳出,疑為勒索軟體駭客組織BlackCat所為,該組織聲稱取得41.9 GB資料。

另一起事件也與臺灣有關,是即時通訊軟體Line的母公司發布資安通告,說明發生44萬用戶、合作夥伴、員工個資恐外洩事件,而當中有100筆資料屬於臺灣用戶,而目前Line已說明初步調查結果,是承包商員工的電腦感染惡意軟體。

在資安威脅與事件方面,我們認為有下列4起事件值得留意:

●先前10月身分驗證管理業者Okta資料外洩事故有新的調查結果,該公司指出所有曾經存取客戶支援系統的用戶都受波及,影響範圍比之前公布的更大。
●荷蘭半導體業者恩智浦(NXP)驚傳前幾年遭駭,當地新聞媒體NRC報導指出,中國駭客組織Chimera自2017年到2020年初滲透該公司網路環境,並竊得與晶片設計相關的智慧財產。而臺灣資安業者奧義智慧之前也曾揭露,臺灣在2018年及2019年至少7家半導體業者曾遭到中國駭客集團Group Chimera鎖定。
●北韓駭客發動供應鏈攻擊的事件,英國NCSC與韓國NIS提出警告,駭客先挖掘出韓國資安業者Dream Security開發的身分驗證系統MagicLine4NX的零時差漏洞,作為攻擊跳板,再利用另一連網系統的零時差漏洞來入侵特定目標。韓國資安業者AhnLab指出,這起事件是駭客組織Lazarus所為。
●財星500大企業中有數百個曝露了Kubernetes機敏資料,揭露此事的資安業者指出,他們主要針對dockercfg、dockerconfigjson這兩種類型的機敏資料進行調查所發現。

此外,我們還看到,近日國際間持續有多家大型業者遭遇網路攻擊的消息,受害企業與組織遍及研究單位、醫療、關鍵CI等領域,包括:日本航太研究機構JAXA的AD伺服器遭非法存取,美國醫療保健業者Henry Schein傳出遭遇勒索軟體BlackCat攻擊,以及美國賓州自來水公司的工業控制系統傳出遭駭客劫持,斯洛維尼亞大型能源供應商HSE遭遇勒索軟體攻擊等。還有駭客聲稱竊取了奇異(General Electric)的資料,當中並包含大量美國DARPA的軍事資料。

關於資安防護進展方面,有一項消息值得AI系統開發人員注意——英國NCSC與美國CISA在11月26日共同發布全球首份「安全AI系統開發指南」,當中將AI系統開發生命周期分四大階段,包括:安全設計、安全開發、安全部署及安全維運,主要提供AI系統開發的必要建議,確保每個階段都讓開發者有適當的安全措施可遵循。

 

【11月27日】荷蘭半導體業者NXP遭中國駭客攻擊,入侵時間超過2年,驚傳與晶片設計相關智慧財產資料被竊

隨著最近幾年中美之間的晶片戰,半導體產業的重要性與日俱增,美國禁止廠商對中國業者供應晶片,中國也盡舉國之力,無不想方設法取得相關的技術及資源,試圖在封裝、製程等層面具備更強的自主能力。

雖然檯面上因為美中對抗的關係,各國將相關技術輸出到中國受到越來越多管制,但最近有媒體報導曾出現國家級駭客滲透歐洲大型半導體業者,試圖取得相關智慧財產資料。

【11月28日】美國醫療保健服務業者Henry Schein傳出二度遭遇勒索軟體BlackCat攻擊,導致電子商務平臺遭到癱瘓

這幾年勒索軟體攻擊極為氾濫,一旦遭遇相關攻擊,企業組織就有可能必須與駭客交涉。但受害組織在談判的過程,也要同時採取相關的因應措施,來防範駭客翻臉不認人的情況。

例如,最近有一起大型資安事故當中,駭客疑似因不滿談判結果,再度對受害企業發動攻擊,癱瘓該公司包含電子商務平臺等多項應用系統,並打算公布竊得的資料。

【11月29日】上海商銀驚傳1.4萬客戶資料外洩,金管會公布調查結果列4大缺失,依銀行法重罰千萬,外洩管道仍有待釐清

金融業強化資安不遺餘力,從投入的資安預算高居臺灣各產業之冠可見一般。但最近一起資料外洩事故並非銀行主動揭露,竟是等到主管機關祭出處罰才曝光。

金管會最近針上海商銀資料外洩事故祭出高額裁罰引起舉國關注,上海商銀在事發後僅公告證實遭罰,但根據現在已知的資訊,仍難以判斷具體發生資料外洩的行為與過程,期昐上海商銀未來能提出更詳細的說明。而對於接下來要進行的檢討與改善,上海商銀也勢必要儘快公開這方面的資訊。

【11月30日】針對10月資料外洩事故,身分驗證管理業者Okta表示受害範圍擴大,所有使用客戶支援系統的用戶皆受影響

身分驗證解決方案業者Okta今年10月底發生資安事故,該公司11月初揭露此事時,只說低於1%比例的客戶受害,如今該公司推翻這樣的說法,他們改口表示,影響範圍擴大,涵蓋使用客戶支援系統的所有用戶。

這起資料外洩事故比較特別的是,雖然駭客取得所有曾經使用該支援系統的用戶名單,但大多數人只有填寫姓名與電子郵件信箱兩種資料,後續影響有待觀察。

【12月1日】美國賓州水利設施遭伊朗駭客攻擊,CISA呼籲管理者應修改設備預設密碼、採用雙因素驗證,強化基本防護力

美國賓州阿里奎帕市水務局證實增壓站遭到伊朗駭客入侵,因採用以色列廠牌工控設備而遭到鎖定。駭客也宣稱,他們正在對採用這類OT設備的水利設施發動攻擊。

值得留意的是,在美國網路安全暨基礎設施安全局(CISA)發布的資安公告當中,指出駭客可能是透過配置不當的情況發動攻擊,而非透過漏洞入侵受害組織。

10月身分驗證管理業者Okta資料外洩事故範圍擴大,存取該公司客戶支援系統的用戶皆受影響

 

 

iThome Security

熱門新聞

Advertisement