文/羅正漢 | 2023-12-11發表

在這一星期的漏洞消息中,以高通晶片的多個漏洞修補最受注目,該公司在12月4日修補了涉及多款晶片的3個零時差漏洞,都已遭到成功利用,包括CVE-2023-33107、CVE-2023-33106、CVE-2023-33063,在此同時,去年高通修補的CVE-2022-22071,近期也發現遭利用的情況,本期週報尚未提及,我們在此補上。

此外,在上一期的資安週報中,我們曾提到,蘋果修補2個零時差漏洞,以及資料分析系統Qlik Sense的漏洞,都出現已遭成功利用的情形,到了這一星期,CISA也將這些漏洞列入KEV清單,再次提醒用戶應盡速修補因應。

特別的是,我們看到一些新的漏洞研究公布,有3項消息值得資安圈的重視,整理如下:
(一)歐洲黑帽大會於12月4日到7日舉行,有研究人員揭露一項涉及UEFI開機、韌體圖像解析器的LogoFAIL漏洞,當中針對Insyde、AMI、Phoenix等韌體分析,指出開機啟動自訂商標圖案的客製功能出現破口,並找到29種攻擊手法。
(二)AI模型資源平臺Hugging Face存在API漏洞被揭露,一旦其API驗證Token被竊取,將引發企業資料外洩,或是訓練資料集被污染變成惡意的AI模型。研究人員警告,只要控制這些程式碼儲存庫,就能發動多種攻擊,尤其是供應鏈攻擊。
(三)藍牙技術底層漏洞CVE-2023-24023、新型態藍牙攻擊手法Bluffs的揭露,該漏洞與Session金鑰的解密、交換資料過程有關,將破壞藍牙連線的保密性,研究人員共公布6種攻擊手法。目前Bluetooth SIG已收到通報,並發布緩解措施。

在AI與資安方面的議題,本星期有兩大焦點消息,一方面是使用AI工具幫助資安管理,一方面是使用AI工具的安全議題。
●思科在12月6日開始舉行亞太區年度用戶大會Cisco Live!,並在大會上宣布推出全新AI助手(Cisco AI Assistant),首先公布的應用場景是簡化防火牆規則管理,讓用戶可透過自然語言提問,就能讓防火牆的查詢、設定等操作,變得更容易。
●資安業者Snyk發布2023年度AI程式碼安全報告,指出現在已有相當多軟體工程師及資安團隊使用AI程式碼工具,但多數開發人員並未因此在流程中,更積極採用多種安全掃描工具。而且,高達8成開發者為了使用AI工具,而無視公司資安政策。

對於Go開發者而言,有一項需要慎防的威脅要注意。有資安業者警告GitHub上有1.5萬個Go程式套件模組,恐存在遭到儲存庫挾持(Repojacking)攻擊的風險。原因在於原專案使用者名稱變更,或是GitHub、Bitbucket帳號刪除,導致帳號名稱因棄用而被釋放出,進而讓攻擊者得以註冊這樣的帳號並濫用。

還有一些惡意活動的揭露,我們認為可留意下列消息,包括:WordPress網站管理者也要注意,有駭客假借WordPress名義,聲稱偵測到網站存在漏洞要用戶套用修補程式,但其實是引誘用戶安裝由駭客提供的外掛程式,以在用戶網站植入後門程式;殭屍網路P2Pinfect的新一起攻擊行動,是鎖定採用MIPS架構的物聯網裝置,利用SSH連線存取目標裝置,再透過弱密碼嘗試入侵。其他還包括後門程式Agent Racoon、竊資軟體Lumma,也有最新攻擊行動,資安業者目前已揭露這類消息。

 

【12月4日】研究人員揭露竊資軟體Lumma攻擊行動,駭客佯裝金融服務業者寄送發票,將用戶導向不存在的網頁迴避偵測

使用竊資軟體Lumma的駭客組織近期動作相當頻繁,其攻擊行動經常會使用較為罕見的招式,例如:利用三角量測判斷所處的是真實使用者操作環境,或是研究人員分析用的沙箱;再者,這些駭客前陣子聲稱能恢復使用者的連線階段,挾持他們的Google帳號

而在新一波的攻擊行動中,駭客則是在網路釣魚攻擊運用了另一種不尋常的手法,他們寄送的郵件會提供吸引使用者容易點選的按鈕,卻是將他們導引到實際上不存在的URL網址,讓收信者點選另一個URL,希望能夠藉此避開只檢查第一次點選網址的資安防護措施。

【12月5日】美國航太組織遭到駭客組織AeroBlade鎖定,對其發動兩波攻擊,採用隱匿手法從事網路間諜行動

隨著國際局勢日益緊張,航太設施的重要性變得越來越重要,與這個領域有關的企業與組織也成為駭客竊取機密的重要目標,甚至有專門鎖定航太機構的駭客組織出現。

有資安業者揭露專門針對航太產業從事網路間諜行動的駭客組織AeroBlade,並指出這些駭客在1年內僅進行兩波攻擊,而且他們採用了多種手法藏匿行蹤,使得受害組織難以察覺有異。

【12月6日】駭客謊稱要修補實際並不存在的漏洞,對WordPress網站管理者進行詐騙,宣稱提供更新散布惡意軟體

鎖定WordPress網站的攻擊行動不時傳出,大多是針對外掛程式的漏洞而來,藉此入侵網站,並植入惡意程式進行控制,但最近有一起攻擊行動相當不同,駭客將計就計,反過來以此引誘管理者上當,他們謊稱網站有漏洞,要管理者儘快套用「修補程式」。

值得留意的是,雖然駭客煞有其事地指出網站漏洞CVE編號,但其實是完全不存在的漏洞,對方也未提供進一步的細節,留下破綻;然而若是網站管理者一時不察,還是很有可能落入圈套,被誘騙安裝惡意軟體。

【12月7日】研究人員揭露針對iPhone的新型態攻擊手法,啟動假的封閉模式,從而暗中偷渡惡意程式持續於背景執行

利用商業間諜軟體針對特定人士行動裝置下手的攻擊事件頻傳,蘋果後來也加入名為封閉模式(Lockdown Mode)的功能限制,降低用戶遭到攻擊的情形,然而,傳出可偽造類似此種保護模式的作法,導致用戶誤以為已啟動該模式。

有研究人員揭露讓iPhone呈現這樣狀態的手法,使得用戶啟動後,手機並未套用相關限制,而使得攻擊者照樣能從事有關攻擊行動。

【12月8日】五眼聯盟針對俄羅斯駭客Star Blizzard大規模網釣攻擊採取法律行動,祭出千萬美元獎金緝捕兩名駭客

俄羅斯國家級駭客鎖定歐美國家的攻擊行動頻傳,其中一個組織Star Blizzard最近被大國盯上,引發全球關注,因為近期五眼聯盟提出警告,並開始採取法律行動,通緝兩名該組織的成員。

值得注意的是,五眼聯盟握有相關情報,這些駭客聽令於俄羅斯軍情單位聯邦安全局(FSB),且曾經企圖干預選舉,危害不容小覷。參與調查的微軟也公布相關調查結果,呼籲使用者提高警覺。

 

 

iThome Security

熱門新聞

Advertisement