文/周峻佑 | 2024-05-03發表

一般而言,殭屍網路攻擊行動,往往針對多種類型的設備而來,或是對於多個漏洞發動攻擊,但最近資安業者Fortinet揭露的攻擊行動,駭客竟只針對單一型號的路由器,以及完成修補的已知漏洞下手。

這起攻擊行動的特殊之處,在於對方專門對於家用路由器DIR-645而來,且利用已知漏洞CVE-2015-2051發動攻擊,而這個漏洞早在9年前就被修補,由此可見,仍有不少該型號設備尚未套用新版韌體而曝險。

 

【攻擊與威脅】

D-Link家用路由器DIR-645老舊漏洞遭殭屍網路Goldoon鎖定,遭綁架的設備被用來發動DDoS攻擊

資安業者Fortinet於上個月發現殭屍網路Goldoon攻擊行動,對方鎖定存在已知漏洞CVE-2015-2051的無線路由器DIR-645,並指出這些設備一旦因為具有這些漏洞而遭到入侵,攻擊者可得到完整的控制權,並取得系統資訊,與C2伺服器建立通訊,然後發動DDoS攻擊。研究人員指出,根據他們的遙測資料,此殭屍網路的活動頻率於4月顯著增加,為之前的2倍。

究竟攻擊者入侵路由器的過程與手法細節,研究人員並未特別說明,但指出一旦對方成功存取這些設備,就會從特定IP位址惡意程式下載工具(Dropper)指令碼,執行後會自動根據目標裝置的系統架構,下載對應的Goldoon程式,而該檔案執行後,就會下載名為i686-linux-gnu的檔案,並將自己刪除,以防留下證據。針對i686-linux-gnu的功能,就是下載殭屍網路病毒檔案。

雲端檔案共享服務Dropbox證實電子簽章服務遭駭,對方竊得身分驗證機密資料

5月2日雲端硬碟業者Dropbox通報主管機關美國證券交易委員會(SEC),旗下數位簽章服務Dropbox Sign(原名HelloSign)遭駭,部分用戶的金鑰及多因素驗證(MFA)資訊遭到駭客存取,接收過其簽章文件用戶的電子郵件信箱恐遭外洩。但他們並未透露受影響人數,以及事故發生的原因。

該公司於4月24日得知Dropbox Sign的營運環境發生未經授權的存取活動,資安事件回應部門隨即著手處理,並終止相關存取。經調查該服務的相關資訊遭到對方存取,所有用戶都受到影響,包括電子郵件信箱、使用者名稱、帳號設定資訊等。

值得留意的是,曾經收到並以Dropbox Sign簽收文件的使用者,即使他們沒有Dropbox帳號,電子郵件信箱及使用者名稱還是會曝光。根據該公司初步的調查結果,相關文件、合約、範本、付款資訊並未遭到存取,研判這起事故影響範圍局限於Dropbox Sign的基礎架構,不影響其他產品。

俄羅斯駭客正在尋找水力設施工控系統的遠端存取破口,美國、加拿大、英國發布警告

5月1日美國網路安全暨基礎設施安全局(CISA)聯合該國7個機關、加拿大網路安全中心(CCCS)、英國國家網路安全中心(NCSC-UK)提出警告,俄羅斯駭客為了破壞關鍵基礎設施的運作,正在尋找、入侵不安全的操作科技(OT)環境。

對此,這些機構也對於駭客的攻擊手法進行歸納,指出對方利用VNC通訊協定,並藉由5900埠存取人機互動介面(HMI),從而對OT環境的底層進行竄改,而且,往往是利用預設帳密或弱密碼,且缺乏雙因素驗證(MFA)防護機制的情況下而能得逞。再者,對方也濫用VNC的遠端框架緩衝協定(Remote Frame Buffer Protocol),登入HMI來控制整個OT環境。

其他攻擊與威脅

澳洲航空將旅客敏感資訊及登機證曝露給他人,起因是應用程式配置錯誤

北約新會員國瑞典遭遇大規模DDoS攻擊,在正式加入前達到高峰

 

【漏洞與修補】

HPE Aruba Networking修補網路設備作業系統重大漏洞,若不處理恐被用於RCE攻擊

4月30日HPE Aruba Networking發布4月份資安公告,指出其網路設備作業系統ArubaOS存在10個漏洞,影響Mobility Conductor(原Mobility Master)、Mobility Controller,以及由Aruba Central雲端控管的WLAN閘道、SD-WAN閘道等設備,且皆與透過PAPI通訊協定存取有關,攻擊者無須通過身分驗證就有機會觸發。

其中,有4個漏洞:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512被列為重大等級,皆為未經身分驗證的記憶體緩衝區溢位漏洞,CVSS風險評分都達到了9.8分。一旦遭到利用,攻擊者就有機會以特權使用者的身分,於作業系統底層執行任意程式碼。

Brocade旗下SAN管理軟體揭露與修補18個漏洞

資安研究人員Pierre Barre在Brocade儲存區域網路(SAN)管理軟體SANnav發現多個漏洞,可能被用來攻擊光纖通道(Fibre Channel)交換器與SAN基礎設施。對此,該公司在今年4月發布2.3.1版修補相關弱點,當中共有18個漏洞,影響2.3.0版以前的所有SANnav版本,其中有15個漏洞已被指派CVE識別碼。

值得留意的是,這些漏洞研究人員早在2022年9月透過Dell向Brocade通報,只因為研究人員對於2.1.1版SANnav進行調查,但當時該公司已推出2.2.2版而並未受理。直到去年5月研究人員確認新版也存在這些漏洞,Brocade才正式承認此事。

其他漏洞與修補

研究人員揭露可針對小米檔案管理工具、WPS Office等安卓應用程式的攻擊手法Dirty Stream

其他資安產業動態

美國針對路徑穿越漏洞提出警告,呼籲軟體供應商出貨前應進行清查

街口、全支付等4家電子支付業者用戶突破250萬,10月底前將設資安專責部門

 

近期資安日報

【5月2日】Docker Hub遭濫用,被用來散播惡意程式與架設釣魚網站的映像儲存庫比例高達2成

【4月30日】安卓金融木馬Brokewell透過冒牌Chrome更新網頁散布

【4月29日】互動式BI系統Qlik Sense危急漏洞遭到鎖定,對方利用勒索軟體Cactus發動攻擊

iThome Security

熱門新聞

Advertisement