在漏洞利用相關消息中,這個星期最受關切的是,Ivanti再度成為駭客發動Zero-day攻擊的目標,該公司旗下SSL VPN、NAC產品線的零時差漏洞CVE-2024-21893已遭成功利用。這已是Ivanti本月要修補的第3個零時差漏洞。

已知漏洞被成功利用的情形,同樣引發重視,最近有3起這樣的情形,而且駭客都是針對1月才剛釋出修補的漏洞。

首先,是持續整合開發工具Jenkins的重大漏洞CVE-2024-23897,開發團隊1月24日釋出修補,但駭客很快就鎖定這個漏洞,兩日後外部已有成功濫用情形。

另一是WordPress網域遷移輔助外掛程式Better Search Replace的重大漏洞CVE-2023-6933,開發商WP Engine在兩週前釋出1.4.5版修補,資安業者Wordfence則等到1月24日才揭露這個漏洞,但公布後就已偵測到2,500起漏洞利用攻擊。

最後,是蘋果在本月上旬修補的漏洞CVE-2022-48618,月底發現已遭成功利用,由於漏洞存在於WebKit,不只iPhone、iPad、Mac電腦Apple TV受影響,後續蘋果也針對最近剛出爐的混合實境裝置Vision Pro發布修補。

還有一個漏洞修補情形,其嚴重性我們認為也要多加留意,最近Fortra揭露GoAnywhere漏洞CVE-2024-0204,該公司表示,已在12月7日釋出新版修補,但一個月後的此刻才公告這項消息。

其他重要漏洞消息,包括:Juniper Networks修補網路設備作業系統高風險漏洞,Google Cloud修補GKE的重大漏洞,以及多個Linux發行版本修補glibc程式庫的3個漏洞。

在資安事件焦點上,這半個月來,所有資安媒體都在關注微軟公司電子郵件遭入侵的事故,因為該公司持續向外界揭露更多資訊。微軟自1月17日向美國證券交易所(SEC)提交資安事件報告後,19日更是明確指出攻擊者是Midnight Blizzard(APT29),25日他們公布更多細節,包括彙整出他們發現攻擊者的行動與手法,並說明攻擊者是如何避過偵測。

在資安威脅態勢上,這段期間以資料外洩與勒索軟體的消息最多,我們整理如下:
●被視為OpenAI有力競爭者的AI新創Anthropic,最近通知客戶坦承他們發生資料外洩,原因是外包商不慎將客戶資料傳給第三方組織。
●施耐德電機傳出遭勒索軟體Cactus攻擊,導致Resource Advisor能源監測雲端平臺服務中斷,數TB公司內部資料遭竊。該公司在網站公告發生資安事件,說明僅影響其永續發展業務部門,正採取復原的補救措施。
●英國美容保養品牌業者Lush在官方網站發布資安事件公告,先於1月11日揭露事件,30日證實成為勒索軟體受害者。另一方面,勒索軟體組織Akira宣稱是他們所為,並竊取了110 GB資料。
●有勒索軟體諮詢服務業者Coveware揭露最新勒索軟體的季度報告,我們看到幾個重點,例如,2023第四季前4大勒索軟體為Akira、BlackCat、Lockbit、Play,5到8名均為新入榜,分別是Silent、Medusa、NoEscape、Phobos。報告中也提到受害者付贖金的比例已不到3成,再創新低。

在資安防禦態勢上,有兩則新聞備受關注,分別是反制國家級駭客攻擊,以及車聯網安全的進展。

例如,針對去年攻擊美方關鍵基礎設施的中國駭客組織Volt Typhoon,最近美國司法部宣布已採取行動,成功破壞該組織打造的殭屍網路與掌控的網路設備,也就是針對受感染的網路裝置,刪除當中的KV Botnet殭屍網路病毒,並將通知裝置所有者,以及給予防護建議,另也針對SOHO裝置製造商給予Secure by Design的指引;第一屆Pwn2Own Automotive汽車駭客大賽在東京舉辦,透過獎勵機制,來鼓勵資安研究人員發現並且負責任地揭露安全漏洞,漏洞競賽類別涵蓋Tesla、車載資訊娛樂(IVI)系統、電動車充電器與作業系統,這場活動共找出49個漏洞。

 

【1月29日】微軟公布俄羅斯駭客APT29的攻擊流程並指出還有其他公司也被鎖定

一週前微軟、HPE向美國證券交易委員會(SEC)坦承,他們的電子郵件系統遭到俄羅斯駭客APT29入侵,由於採用了相同的雲端郵件系統,又是相同的駭客組織所為,當時外界懷疑可能有其他公司受害,如今微軟證實了這項說法。

微軟在25日針對資安事故的發生過程提出進一步的說明,並根據他們後續的調查結果指出,這些駭客也同時對其他公司發動攻擊,呼籲Exchange Online用戶應採取相關措施防範。

【1月30日】逾7萬臺Jenkins伺服器尚未修補的重大RCE漏洞出現攻擊行動

有多組研究人員本週針對持續整合開發工具Jenkins的重大漏洞CVE-2024-23897提出警告,先是有人於程式碼儲存庫GitHub公開濫用此漏洞的概念性驗證程式碼(PoC),隨後,有些蜜罐陷阱也出現遭到駭客嘗試利用漏洞發動攻擊的情況。

但在此同時,仍有許多IT人員尚未部署相關更新軟體,目前已知有多達7萬臺Jenkins伺服器曝險,可能成為駭客下手的目標。

【1月31日】美國傳出針對中國駭客Volt Typhoon的攻擊行動採取反制並破壞其基礎設施

中國駭客組織Volt Typhoon於去年上半被揭露,當時美國政府發出警告,指出這些駭客針對當地的關鍵基礎設施發動攻擊,後來有多家資安業者對於該組織的攻擊手法進行分析,指出駭客利用生命週期已經結束的路由器、防火牆、VPN設備來充當代理伺服器,而且,英國和澳洲也是這些駭客攻擊目標。

但到了最近,傳出美國政府已採取了反制,背後原因很有可能和臺海局勢的軍力佈局有關。

【2月1日】Ivanti旗下SSL VPN解決方案的零時差漏洞在修補前傳出第2波攻擊行動

1月上旬Ivanti公布的零時差漏洞引起多家資安業者的高度關注,原因是這項漏洞公布時該公司並未提供修補軟體,接著便傳出駭客大規模利用的情況。

但在一週後,又出現新型態的攻擊手法,駭客將其部署以Rust打造的惡意程式,而使得行蹤更難以捉摸,直到最近才有研究人員確定其攻擊手法,但對於駭客的目的,研究人員並未進一步說明。

【2月2日】美國下令聯邦機構限時切斷Ivanti Connect Secure與內部網路環境之間的連線並著手清查

Ivanti Connect Secure零時差漏洞CVE-2023-46805、CVE-2024-21887公布至今,已出現大規模的漏洞利用攻擊行動,並引起多家資安業者高度關注,Ivanti對上述漏洞進行調查,又發現另一個也被利用的零時差漏洞。

而這樣的威脅態勢,美國網路安全暨基礎設施安全局(CISA)罕見發出緊急命令,聯邦機構必須先切斷這類系統與內部網路環境的連線,再著手清查受害情形。

 

 

熱門新聞

Advertisement