這一星期又有零時差漏洞攻擊出現,特別的是,Google在發現的一日之後就發布Chrome的緊急修補,基本上,這個漏洞CVE-2023-7024是由於WebRTC中的堆積緩衝區溢位造成,而我們也注意到,微軟也在同日修補了Edge瀏覽器上的這項漏洞。由於此漏洞在外部已有遭成功利用的情形,加上WebRTC的影響範圍不小,因此用戶與採用WebRTC的業者都要儘速因應。
還有兩個網路設備漏洞,包括:臺廠威聯通(QNAP)網路影像錄影系統VioStor 4.0的漏洞CVE-2023-47565,以及日廠FXC的AE1021/AE1021PE路由器漏洞。這是因為Amakai在11月21日曾透露在近期發現殭屍網路InfectedSlurs的攻擊行動,是利用NVR與路由器的零時差漏洞來散布,到了12月6日與14日終於有了答案,受害裝置包括日本FXC與臺廠威聯通。特別的是,威聯通其實早在2014年就已釋出5.0版修補此一漏洞問題,FXC的路由器則是在12月6日釋出新版修補,本星期的資安日報並未提及,在此補上。
另一方面,零時差漏洞修補很重要,但也不應該看到黑影就開槍,需認清消息來源與查證。最近就有這樣的例子,以色列國家網路管理局(INCD)就提出警告,有人假冒F5的名義,以cert@f5[.]support寄送零時差漏洞修補通知的釣魚信,但該寄件者網域就只是取類似名稱的混淆手法,企圖引誘不察的使用者上當,以散布資料破壞程式。
在最新威脅態勢方面,關於進入遠端伺服器通常仰賴的SSH連線加密機制,最近有資料傳輸安全問題要注意,有研究團隊揭露針對SSH協定的Terrapin攻擊手法,並指出SSH協定中的3個漏洞(CVE-2023-48795、CVE-2023-46445與CVE-2023-46446),說明遠端攻擊者將得以繞過完整性檢查。
另一個要注意的情形,有資安業者指出駭客為了持續規避惡意程式被偵測,濫用合法平臺的意向有所轉變,因為濫用程式碼管理平臺GitHub存放惡意程式的情形顯著增加,不像先前都是利用雲端檔案共享服務Dropbox、Google Drive、Discord等。
在資安威脅與事件方面,國際間持續有知名企業組織遇害的消息,受害產業遍及雲端服務、IT、電信及服務業,我們整理如下:
(一)義大利雲端服務業者Westpole遭網路攻擊,不僅波其到他們的客戶PA Digitale,並導致該國公部門及市政府的多項服務癱瘓。
(二)資料庫系統開發商MongoDB遭網路攻擊,部分系統遭未經授權存取。
(三)Sony旗下遊戲開發商Insomniac Games遭勒索軟體Rhysida攻擊
(四)旗下擁有Timberland、North Face等服裝品牌的威富(VF)集團,向美國SEC提交網路攻擊事件8-k表單,說明12月13日發現未經授權存取,關閉部分IT系統,導致營運被迫中斷。
(五)美國電信服務供應商揭露用戶資料外洩,原因是他們未及時修補Citrix Bleed漏洞(CVE-2023-4966),在修補後兩日的安全檢查時,發現內部系統在前幾天遭未經授權存取。
(六)針對勒索軟體Play威脅,美國多個安全機構聯手發布警告,指出已有300多個企業組織受害,並揭露入侵手法與防護建議。
此外,金融產業要注意的是,有資安業者揭露駭客今年利用JavaScript指令碼進行網頁注入攻擊的態勢,能源產業同樣要當心,近日伊朗傳出全國有7成加油站遭網路攻擊而服務中斷,被迫手動作業。
在臺灣,有兩起資安相關消息,一是金門租車業者金豐租車公告遭網路攻擊,並提醒民眾當心詐騙,另一事件非典型資安事件,金管會針對國泰世華銀行前理財專員涉挪用客戶款項的裁罰中,特別強調該銀行的缺失在於,雖然有報表記錄了理專與客戶在短期間內以相同IP位址及載具登入網銀的狀況,但卻沒有了解IP相同的原因或持續追蹤監控。
最後我們補上一則消息是,關於我國參與國際資安標準制定的狀況與機會,在12月23日(周六)ISA國際自動化協會臺灣分會舉行成立大會,由於ISA所訂定的62443工控資安標準受IEC組織承認,而臺灣長期因政治因素無法直接參與ISO和IEC等國際標準組織的標準制定,因此臺灣分會成立的意義,不僅加強自動化技術在臺的應用與發展,也盼成為我們在參與國際標準制定的突破口。
【12月18日】新型態惡意軟體NKAbuse濫用區塊鏈進行傳輸資料、接收C2命令的工作,鎖定墨西哥、哥倫比亞、越南而來
為了讓攻擊源頭難以被找到,駭客無所不用其極改變遠端控制惡意程式的方法,其中最常見的手段,就是濫用各式各樣合法的雲端服務來充當C2伺服器,讓資安系統無法直接依據流量的來源,來識別是否為攻擊行動。
但最近有人使用更隱匿的手法,他們濫用名為New Kind of Network的區塊鏈網路,藉此傳送檔案及下達命令。
【12月19日】金融木馬威脅在2023年爆增,惡意程式家族較去年多出接近一倍,600款行動應用程式用戶成駭客鎖定的目標
使用手機操作網路銀行或進行線上交易,如今可說是相當普遍,越來越多駭客也受到這股潮流吸引而發動金融木馬程式攻擊,將其偽裝成知名的銀行應用程式、行動支付App、加密貨幣錢包,企圖將使用者帳戶裡的資產提領一空。
根據資安業者Zimperium的調查,這種惡意軟體的攻擊行動在2023年出現大幅增加的現象,研究人員提及,此類惡意程式現今普遍具備自動轉帳模組(Automated Transfer System,ATS),駭客也很有可能藉由電話客服作為散布的管道(Telephone-Based Attack Delivery,TBAD)。
【12月20日】FBI破獲勒索軟體BlackCat暗網網站,但駭客一天內奪回並揚言報復,預計攻擊醫院和核電廠
近期歐美國家取締網路犯罪組織的執法行動大有斬獲,例如,1月破壞勒索軟體Hive的基礎設施,8月摧毀70萬臺電腦組成的QBot殭屍網路等,駭客因此元氣大傷、消聲匿跡一段時日。
12月19日再度傳出美國FBI宣布奪下勒索軟體駭客組織BlackCat網站,但對方在一天內又取回網站,顯然這次執法行動受到阻礙。駭客表示,只要是在獨立國家國協以外的企業組織,都可能是他們的目標。
【12月21日】Sony旗下遊戲開發商遭勒索軟體Rhysida攻擊並導致開發中的遊戲資料外流
與勒索軟體駭客Rhysida有關的攻擊行動不斷發生,這樣的情況先後引起美國衛生與公眾服務部(HHS)、網路安全暨基礎設施安全局(CISA)提出警告,這些駭客上週再度犯案而引起關注,原因是受害組織是日本科技大廠Sony旗下的遊戲開發商Insomniac Games。
值得留意的是,這起事故並非該集團首度遭到攻擊。今年9月,有兩組駭客聲稱竊得Sony內部資料;隔月Sony證實遭遇MOVEit Transfer零時差漏洞攻擊,旗下遊戲主機開發商Sony Interactive Entertainment曝露約6,800人個資。
【12月22日】巴勒斯坦駭客對以色列組織聲稱提供F5 BIG-IP「零時差漏洞修補程式」來破壞電腦所有檔案
針對社會大眾的假消息相當氾濫,但現在也有針對IT人員而來的假漏洞資訊,若是未經查證很有可能上當。例如,有人針對WordPress網站的管理者而來,發送資安公告謊稱網站有特定CVE編號的漏洞,從而對網站部署後門。
而類似的手法,現在也被駭客用於對敵對國家企業組織發動攻擊。以色列組織收到聲稱F5 BIG-IP系列應用程式資安產品存在零時差漏洞的傳言,呼籲IT人員儘速套用他們提供的「更新程式」。但實際上,這是攻擊者捏造的消息,被鎖定的組織收到的資訊當中,僅提及要修補零時差漏洞,並未透露細節而形成破綻。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19