在這一星期的漏洞消息方面,包含微軟、SAP、Adobe、西門子、施耐德電機等每月例行安全更新修補釋出,Rust開發團隊修補CVSS滿分10分的重大漏洞,以及LG修補智慧電視多個漏洞,而且,傳出5個漏洞已遭利用的消息。

(一)微軟修補了兩個已經遭利用的零時差漏洞,分別是涉及SmartScreen繞過的漏洞CVE-2024-29988,以及關於Proxy Driver欺騙的漏洞CVE-2024-26234。
(二)臺廠D-Link停止維護的多款NAS機型被發現多個新漏洞,其中2個已遭利用,除了本周資安日報提及的漏洞CVE-2024-3273,還有CVE-2024-3272也已經遭到利用。D-Link呼籲用戶應儘速淘汰這些設備。
(三)另一個本周資安日報尚未提及的漏洞,是Palo Alto Networks週五揭露旗下防火牆產品的零時差漏洞CVE-2024-3400,並計畫於14日釋出修補,然而,發現漏洞被利用於攻擊活動的情形最早在3月下旬。

還有兩項漏洞的揭露也值得留意,一是影響多個專案的新型態HTTP/2漏洞遭揭露,已登記9個CVE編號,另一是有研究人員發現網頁伺服器元件Lighttpd漏洞曾在2018年被默默修補,不只影響AMI MegaRAC的BMC韌體,進而影響Intel、聯想伺服器廠商。

在資安事件焦點方面,國內上市櫃接連遭遇資安事件的狀況備受矚目,等於短短一週內,就有5家公司發布資安重訊,涵蓋生技、旅遊、塑化、食品與光電等不同產業,我們整理如下:

●4月7日,上櫃生技醫療業佰研說明旗下電商「無毒的家」會員資料外洩事件。
●4月8日,上櫃觀光餐旅業富野說明旗下分公司資訊系統遭受網路攻擊。
●4月9日,上市塑膠工業聯成說明發生網路資安事件。
●4月9日,上市食品工業聯華說明發生網路資安事件。
●4月11日,上市光電業聯合再生公告有部分系統遭受駭客攻擊,導致工廠停工。

值得注意的是,聯華實業、聯成化科均屬於聯華神通集團(MiTAC-Synnex Group),而我們在今年2月也曾注意到該集團的通路大廠聯強有疑似遭駭的消息在流傳,是否有更多災情尚不得而知;富野是近兩個月第二度遭遇事件,該公司表示上次事件後已規畫資安強化作為,但需要更多時間建置,因此未能阻擋這次攻擊。關於聯合再生的後續狀況,我們在此補充,該公司隔日已對此事件發布重訊更新近況,表示在確認工廠產線設備未受影響後,已於11日當日下午復工生產。

綜觀這些事件的公告,我們認為,由於主管機關證交所對於資安事故揭露要求越來越嚴格,因此不只是資料外洩開始出現在上市櫃公司的重訊,企業對於事件後續狀況的揭露,也比過往要積極,雖然短期內會讓大家產生資安問題似乎發生得比過去密集的印象,然而,隨著企業資安威脅態勢越來越透明,這些攤在陽光底下的亂象才是真正反映現況,有助於大家正視問題!

在關注臺灣資安事件之餘,國際間也有一些重大事件,包括:日本光學設備製造商Hoya傳出遭勒索軟體駭客組織Hunters International攻擊,遭索討1,000萬美元贖金,越南石油公司PV Oil遭到勒索軟體攻擊,以及智利資料中心IxMetro Powerhost遭遇勒索軟體SEXi攻擊。

此外,全球還有多個資安威脅的最新態勢,我們特別注意到在金融業、媒體政要領域,各有一項需要慎防的威脅。

●對於金融業而言,國際信用卡組織Visa發布資安通報,說明最近一波的惡意軟體JsOutProx攻擊,並呼籲發卡銀行、處理機構及相關單位需嚴加防範;
●對於手持iPhone的記者、官員或政治人物而言,蘋果最近發現部分用戶遭到傭兵間諜軟體(Mercenary Spyware)鎖定,已通知可能遭鎖定的92國用戶,並建議依照步驟來提升裝置防護層級。

在其他惡意活動的揭露方面,我們認為可留意下列消息,例如,語音網釣威脅又一例,LastPass示警,說明該公司員工收到一連串的電話、簡訊、語音郵件,並指出對方透過WhatsApp冒充公司執行長傳送Deepfake的語音訊息;過去曾攻擊Canon、全錄、LG的勒索軟體組織Maze,最近有資安業者揭露其成員可能東山再起,以名為Red CryptoApp的勒索軟體駭客組織重新出發,再度危害企業。

 

【4月8日】勒索軟體駭客組織Red CryptoApp聲稱入侵超過10個企業組織引起研究人員關注

勒索軟體駭客組織更換名稱捲土重來的情況,迄今已有數起,最近有個名為Red CryptoApp的駭客團體,宣稱已攻擊超過10個企業組織。察覺該組織行動的資安業者Netenrich推測,很有可能是2020年收手的Maze成員組成。

 

值得留意的是,Red CryptoApp的做法較為激進,因為他們直接公布受害組織的資料,企圖藉此形成壓力讓受害組織乖乖付錢。

【4月9日】惡意軟體JsOutProx鎖定亞太地區、中東及北非而來

鎖定金融機構的惡意程式攻擊事故頻傳,一旦這些惡意軟體入侵受害者的裝置,便會試圖將他們的銀行帳戶洗劫一空,但如今,有一支名為JsOutProx的惡意程式引起國際信用卡組織注意,並對發卡銀行及相關單位提出警告。

 

資安業者Resecurity也公布調查結果,並指出這起攻擊行動最大的特色之一,就是對方大肆濫用程式碼儲存庫GitLab。

【4月10日】微軟在本月例行更新揭露近150個漏洞,數量創近年新高

昨天(9日)有許多廠商發布本月份的漏洞例行更新,微軟、Adobe、SAP、西門子、施耐德電機皆公布相關資安公告及修補程式,用戶應留意相關資訊,並儘速安排、部署相關更新軟體。

其中最值得留意的部分,是微軟這次公告的內容,他們總共緩解了149個漏洞,數量再創新高,一舉超越去年7月揭露與緩解132個漏洞的紀錄。

【4月11日】臉書出現提供生成式AI服務桌面軟體的詐騙粉絲頁,目的是誘使大家安裝惡意程式

散布竊資軟體的攻擊行動頻傳,其中結合時下熱門的生成式AI服務為誘餌的情況,相當值得留意。最近就有一起假借提供桌面版程式的攻擊行動,駭客透過臉書廣告來從事攻擊行動,使用者若是依照指示取得對方提供的桌面版軟體,電腦就有可能被植入竊資軟體。

 

特別的是,攻擊者其中一個臉書粉絲頁竟維持長達一年,累積120萬用戶追蹤,但為何此粉絲頁這麼久才被發現,研究人員並未說明。

【4月12日】蘋果一口氣對92個國家發出間諜軟體攻擊警報,要求受影響用戶應儘速採取保護措施

這兩天蘋果大動作發出警告,而受到全球關注,他們向部分疑似遭到傭兵間諜軟體(Mercenary Spyware)鎖定的用戶發出通知,提醒這些用戶應提高自己使用的裝置防護層級,並尋求專家協助及進行後續調查。

 

而這並非該公司首度針對間諜軟體呼籲用戶提高詧覺,去年10月,他們就曾對國家級駭客的竊密攻擊提出警告。

 

熱門新聞

Advertisement