在漏洞相關消息中,這個禮拜最受重視的是以色列自動化控制業者Unitronics的PLC漏洞,因為自11月底開始,美國賓州水利單位的工控系統傳遭駭客劫持的相關消息,持續成為各大資安新聞媒體的焦點,甚至美國佛羅里達州自來水公司、愛爾蘭自來水公司也傳遭攻擊,近期又有更多新消息。對於防守端而言,已祭出更多因應機制,包括Unitronics發布VisiLogic 9.9.00版釋出,將要求變更預設密碼、要求複雜密碼,以及增加保護Vision與Samba控制器的新功能,而且,12月初還有揭露Unitronics的Vision PLC and HMI存在不安全預設密碼漏洞CVE-2023-6448,美國CISA在12月11日更是將此漏洞加入已知漏洞利用清單,是本周資安日報尚未提及,在此補上。

此時也適逢微軟、Adobe等每月例行安全更新釋出,需要大家關注與儘快修補,我們整理如下:
●微軟本月修補30多個漏洞,有4個屬於重大漏洞,同時針對一個8月已公開的AMD漏洞(CVE-2023-20588)修補。
●Adobe本月修補207個漏洞,以網站內容管理平臺Adobe Experience Manager受關注,因為有185個漏洞與之相關。
●研究人員揭露macOS/iOS裝置與多家Linux作業系統存在藍牙鍵盤注入漏洞,目前僅ChromeOS修補。
●Apache基金會修補Java應用框架Struts的RCE漏洞,編號為CVE-2023-50164。

其他可留意的漏洞消息,包括:SAP、開源防火牆系統pfSense,以及WordPress外掛程式Backup Migration的漏洞修補釋出,還有高通、聯發科5G晶片存在5Ghoul漏洞的揭露(其中10個漏洞已公開,4個尚未公開),以及去年Sophos修補CVE-2022-3236漏洞,近日該公司針對EOL產品提供破例修補程式。

在威脅態勢上,近期地下論壇時常傳出兜售我國政府、企業資料的情形,這類消息明顯比過往頻繁,原因很有可能是我國即將舉行的2024總統大選。例如:有賣家在地下論壇BreachForums聲稱兜售中華電信帳務資料,中華電信後續表示查無遭駭,研判是利用欠費查詢功能取得不具個人識別性的帳務資料,還有日前法務部調查局在12月7日示警附圖),指出有不明人士於暗網販售不明資料,並散布不實網路文章「國人遭監控!暗網驚見高價出售情治機關偵控數據!」,是意圖製造對立衝突的認知作戰。

在國際威脅焦點方面,有4項消息我們認為最值得關切,其中兩件與電信業相關:
(一)關於今年中國駭客組織Volt Typhoon持續鎖定小型路由器攻擊的狀況,有資安業者揭露最新調查,指出該集團正利用殭屍網路KV-botnet,在今年8月、11月擴大鎖定Netgear、思科、居易路由器與Axis的IP網路攝影機等設備入侵。
(二)注意濫用各種OAuth應用程式的自動化攻擊!微軟MSRC警告,有駭客盜用具有OAuth應用程式權限的使用者帳號,接著濫用這些權限來隱藏惡意活動。
(三)多家資安業者聯手指出,駭客組織Sandman不僅鎖定電信業者攻擊,同時與中國駭客互通有無,研究人員推測,這兩組人馬很可能共用惡意程式開發資源。
(四)烏克蘭當地最大電信業者Kyivstar遭大規模網路攻擊,導致其行動通訊與網路服務中斷。

其他可留意的消息,包括,AMD處理器新型態攻擊手法SLAM的揭露,俄羅斯駭客組織Star Blizzard新型態帳密竊盜手法的揭露,語音網釣攻擊BazarCall濫用Google表單的揭露。

在資安防禦態勢上,將生成式AI用於幫助資安工作已蔚為風潮,最近Google更是搶先宣布這方面的技術應用特色,Duet AI in Security Operations功能正式上線。

 

【12月11日】北韓駭客組織Lazarus利用兩年前的重大漏洞Log4Shell,攻擊VMware桌面虛擬化平臺入侵受害組織

電腦、行動裝置搭配各式藍牙配備,已是相當普遍,但這種裝置配對機制存在弱點的情況,近期有多名研究人員公布相關研究,希望敦促裝置開發者儘速改善這類問題。

最近有研究人員公布新的漏洞CVE-2023-45866,並指出攻擊者可藉此配對「假鍵盤」,從而操作目標裝置,影響macOS、iOS、Linux、安卓作業系統的電腦或行動裝置,值得留意的是,研究人員今年8月通報後,蘋果目前尚未對此漏洞進行修補。

【12月12日】美國航太組織遭到駭客組織AeroBlade鎖定,對其發動兩波攻擊,採用隱匿手法從事網路間諜行動

隨著南北韓的關係越來越緊張,北韓駭客組織的動作頻頻,其中又以駭客組織Lazarus的攻擊行動相當受到研究人員的關注。

例如,在其中一起名為Operation Blacksmith的攻擊行動裡,這些駭客使用了兩種相當罕見的手法,首先,他們在入侵受害組織的管道裡,利用了近期鮮少駭客利用的重大漏洞Log4Shell,再者,則是在打造作案工具的程式語言,他們採用的是D語言,目前幾乎沒有其他駭客以此開發惡意程式。

【12月13日】逾1,400臺開源防火牆系統pfSense存在高風險漏洞,有可能被攻擊者串連,遠端在防火牆上執行任意程式碼

12月12日有許多軟體開發商推出本月的例行更新,而其中相當值得留意的部分,是有關防火牆漏洞的細節揭露。其中,包含了開源防火牆系統pfSense的漏洞,以及Sophos破例提供已屆生命週期終止(EOL)修補程式的情況。

其中,比較值得留意的是pfSense的漏洞,原因是研究人員揭露的3個漏洞可被串連,而有機會讓攻擊者在防火牆上執行任意程式碼。

【12月14日】OAuth應用程式身分驗證流程遭到濫用,駭客將其用於發動挖礦攻擊、商業郵件詐騙、散布大量垃圾郵件

鎖定OAuth身分驗證機制的攻擊行動不時傳出,而這樣的情況也有越來越氾濫的現象,駭客很可能在多種型態的攻擊行動,運用這種身分驗證機制達到目的。

例如,近期微軟揭露針對自家雲端環境進行的OAuth攻擊行動裡,駭客不只建置大量的OAuth應用程式來從事對手中間人攻擊(AiTM),挾持電子郵件信箱來進行下一階段行動,特別的是,也有駭客藉由OAuth挾持Azure用戶帳號,並租用虛擬機器來進行挖礦。

【12月15日】小型路由器成中國駭客組織Volt Typhoon下手目標,駭客植入殭屍網路病毒,入侵受害組織進行間諜行動

半年前美國警示大家要注意中國駭客組織Volt Typhoon的攻擊行動,並指出下一波駭客攻擊的目標不再只是美國,還會擴及亞洲地區的關鍵基礎設施。但究竟駭客如何入侵這些環境?如今有研究人員揭露相關細節。

資安業者Lumen指出,這些駭客也同時運用殭屍網路KV-botnet來從事攻擊行動,其重要的環節便是先對家用路由器、SOHO辦公室防火牆等網路設備下手,再存取受害組織的內部環境。

 

熱門新聞

Advertisement