這一星期的漏洞消息中,GitLab在1月初修補的已知漏洞CVE-2023-7028最要留意,因為近期確定了攻擊者正開始鎖定利用的情況。
還有WordPress Automatic Plugin在兩個月前修補CVSS風險評分9.9分的漏洞CVE-2024-27956,由於近期發現攻擊者正試圖積極利用這項漏洞接管網站,也引發研究人員示警。
關於其他重要漏洞修補,包括:HPE Aruba Networking的4月資安公告中修補了4個重大漏洞,Brocade修補SAN管理軟體多個漏洞,以及程式語言R開發團隊修補1項高風險漏洞。
在資安事件方面,這一星期有多起資安事故成為焦點,不只Dropbox向美國證交所(SEC)通報重大資安事故受關注,還有加拿大藥局與瑞典物流業者遭勒索攻擊,導致服務或供應中斷的事件。
●Dropbox揭露旗下Dropbox Sign數位簽章方案(原為HelloSign)遭駭,有部分用戶的金鑰及MFA驗證資訊遭存取,曾接收簽章文件的電子郵件信箱恐也外洩。
●加拿大連鎖藥局London Drugs遭遇網路攻擊,導致門市被迫暫停營業。新的後續是,當地80多家門市受影響,並在關閉6天後正逐步開放重新營業。
●瑞典物流業者Skanlog傳出遭遇勒索軟體攻擊,由於該物流與當地國營酒類專賣局Systembolaget合作,因此衝擊到當地酒品的供應,預估影響15%銷售額。
●福斯汽車傳出資料外洩,駭客疑似竊得逾1.9萬份涉及智慧財產權的機密資料。
在威脅態勢上,我們認為有2項消息需要特別重視,當中涉及了關鍵CI的攻擊態勢,以及網釣威脅的現況。我們整理如下:
(一)前幾個月美國各地不時傳出水力設施等關鍵CI遭攻擊的情況,最近美、加、英等7國網路安全機構聯手發布這方面的警告,當中說明駭客使用3種技術手法以遠端存取HMI,並對底層OT進行更改,例如:透過VNC通訊協定,濫用VNC的RFB遠端框架緩衝協定登入,以及利用5900埠的VNC。另也呼籲這些關鍵CI組織,應限制OT系統曝光於網際網路,並對所有存取OT網路的途徑實施MFA。
(二)近期有資安業者揭露,近半年來假冒美國郵局的詐騙簡訊不斷,研究人員進而盤查仿冒美國郵件的網站,發現有68萬個網站帶有USPS字樣,顯然是為了混淆用戶而來,他們並從用戶的DNS查詢量發現,竟有49%都被導向釣魚網站,這突顯了網域名稱搶註、網釣攻擊仍泛濫的現象。
另一值得注意的是,思科一個多月前指出,發現7個廠牌的設備或服務遭大規模暴力破解攻擊,如今Okta也表示,發現針對客戶的帳號填充攻擊在4月底呈現大幅增加的情況,並且都是濫用基於合法裝置而成的代理伺服器來發起攻擊。
至於其他最新惡意活動的揭露,本星期的焦點還包括:殭屍網路Goldoon持續鎖定老舊無線路由器,惡意程式Cuttlefish鎖定小型路由器並具備零點擊攻擊能力,以及攻擊者濫用Docker Hub映像檔儲存庫出現新手法。
在資安防護方面,國際間有一個重要新聞,英國產品安全暨電信基礎設施法PSTI Act於4月29日正式施行,當中明訂消費性IoT產品在出廠時,不得採用弱密碼或常見預設密碼,此舉也使英國成為全球首個強制在全國境內推動這項要求的國家。
國內也有兩則消息,分別是:GiCS尋找資安女婕思的資安競賽活動今年第四度舉辦,以及金管會宣布對於設置資安長的要求將擴及電支機構,預計街口支付、一卡通、全支付、悠遊卡這4大業者將在首波範圍之內。
至於技術層面,誘餌檔案的應用也越來越常見於資安防護,最近也有儲存系統廠商宣布,針對勒索軟體保護功能新增誘餌檔案(Decoy files)方式,以偵測攻擊者的非法存取行為。
【4月29日】互動式BI系統Qlik Sense危急漏洞遭到鎖定,對方利用勒索軟體Cactus發動攻擊
去年互動式BI系統Qlik Sense修補多個已知漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365,事隔2個月傳出駭客組織鎖定尚未修補的伺服器下手,對其植入勒索軟體Cactus加密檔案。事隔5個月,這波攻擊的態勢並未趨緩,但仍有不少伺服器仍未套用更新軟體而曝險。
資安業者Fox-IT指出,截至今年4月17日,曝露於網際網路上的Qlik Sense伺服器超過6成存在前述漏洞,且已有超過100臺伺服器遭到入侵。
【4月30日】安卓金融木馬Brokewell透過冒牌Chrome更新網頁散布
鎖定手機的金融木馬攻擊不時傳出,最近研究人員揭露名為Brokewell的惡意程式,並指出該惡意程式能繞過Android 13的防護機制,進而透過側載的方式執行其他作案工具。
值得留意的是,Brokewell並非首款能繞過上述防護機制的安卓惡意軟體,但研究人員認為,攻擊者未來應該會透過租賃服務提供其他網路犯罪份子利用,使得該惡意軟體危害範圍進一步擴大。
【5月2日】Docker Hub遭濫用,被用來散播惡意程式與架設釣魚網站的映像儲存庫比例高達2成
在針對Kubernetes環境的攻擊行動當中,駭客最常用來傳送惡意程式的方式,就是藉由映像檔儲存庫Docker Hub,透過拉取惡意Docker映像檔來進行,但如今有另一批人馬透過完全不同的角度來濫用此映像檔儲存庫。
資安業者JFrog揭露最新一波攻擊行動,並指出其共通點,就是駭客建立的儲存庫都沒有Docker映像檔。
【5月3日】殭屍網路Goldoon鎖定D-Link家用路由器DIR-645老舊漏洞發動攻擊
一般而言,殭屍網路攻擊行動,往往針對多種類型的設備而來,或是對於多個漏洞發動攻擊,但最近資安業者Fortinet揭露的攻擊行動,駭客竟只針對單一型號的路由器,以及完成修補的已知漏洞下手。
這起攻擊行動的特殊之處,在於對方專門對於家用路由器DIR-645而來,且利用已知漏洞CVE-2015-2051發動攻擊,而這個漏洞早在9年前就被修補,由此可見,仍有不少該型號設備尚未套用新版韌體而曝險。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-12-23