這一星期的漏洞修補動向,以PHP程式語言修補CGI參數注入弱點CVE-2024-4577的RCE漏洞最受關注,所有Windows版本的PHP都存在這項漏洞,XAMPP也受影響。特別的是,這項弱點是由臺灣資安業者戴夫寇爾通報與揭露,以PHP搭配Apache HTTP Server的情境為例,當Windows作業系統執行正體中文、簡體中文或日文,攻擊者就有機會觸發上述漏洞,該公司資安研究人員Orange Tsai另也指出,誰會想到12年前已證明妥善修補的漏洞CVE-2012-1823,會因為Windows的一個小功能而被繞過。
其他重要漏洞消息,包括兆勤針對產品生命周期已經結束的NAS設備提供緊急更新;還有一個已知漏洞利用情形值得留意,是多年前Oracle WebLogic Server就修補的CVE-2017-3506,最近被美CISA列入已知漏洞利用清單。
在資安事件焦點方面,以國內而言,特別要注意的是,上市公司資安事件揭露範圍擴大,臺灣證券交易所在5月底有新規範,現在不論是否涉及核心、機密都要發布重訊,而6月初就有3起上市公司發布資安重訊。
●防詐公司Gogolook發布資安事件重訊,網站部分服務遭非法存取,雖然這次事件看似只涉及靜態網站服務遭非法存取,但該公司也依證交所新規範如實公布。
●記憶體大廠華邦電子發布重大訊息,說明合作廠商資訊系統遭不明人士入侵,導致華邦與該公司合作的相關資料疑似有部分資料外洩情形。
●老牌筆電廠藍天電腦傳出遭駭,勒索軟體駭客RansomHub聲稱竊得200 GB資料,該公司直到國外媒體曝光消息2日後才發布重大訊息,但僅說明資安單位偵測到網路傳輸異常,隨即啟動資安防禦及復原機制。
國際間也有多起重要事件,主要涉及醫療供應商、政府機關、礦業,以及ML應用代管平臺等不同層面,我們整理如下:
●英國倫敦多家醫院因服務供應商Synnovis遭網路攻擊而中斷部分服務,該國NCSC指出,這次事件是經濟動機的俄羅斯勒索軟體駭客組織Qilin所為。
●臺灣邦交國帛琉傳出遭遇網路攻擊,紐約時報報導指出遭竊資料涉及當地美國雷達部署、日本海軍造訪該國的成員名單,以及臺灣與帛琉關係的數百份文件,該國政府已證實2萬份政府文件遭竊,並指出此事是中國出於政治動機所謀劃。
●澳洲礦業公司Northern Minerals在澳洲證交所公布遭網路攻擊,勒索軟體「變臉」(BianLian)組織宣稱是他們所為,此事引起澳洲金融媒體關注,因為澳洲政府日前才要求中資減持Northern Minerals股份。
●南韓資安業者揭露北韓駭客組織Andariel近期攻擊行動目標,是當地教育機構、製造業、營造業,鎖定虛擬化平臺VMware Horizon的Log4Shell漏洞下手,意圖散布後門程式Dora RAT。
●Hugging Face在5月底揭露發生秘密洩露事件,說明偵測到ML應用代管平臺Spaces有未經授權存取的活動,該公司呼籲用戶重設密碼或Token等登入憑證。
還有2項威脅態勢,我們認為值得重視,包括:多個中國駭客組織聯手發起網路間諜攻擊行動,以及駭客持續濫用生成式AI以發動輿論操弄的影響力行動(Influence Operations)。
(一)資安業者Sophos揭露最新研究報告指出,中國政府資助的多個駭客組織自2022年開始聯手,針對東南亞知名的政府機關,發動網路間諜攻擊行動Operation Crimson Palace,這些組織包括了Backdoor Diplomatic、REF5961、Worok、TA428,以及APT41旗下的團隊Earth Longzhi。
(二)OpenAI揭露最近3個月他們破壞了5個隱密操弄輿論的影響力行動,指出中俄等駭客組織試圖濫用GAI來達到操控輿論。這些攻擊行動主要針對烏克蘭戰爭、加薩衝突、印度選舉、歐美政治,以及異議人士對中國政府的批評等議題,並藉助OpenAI的語言模型來產生多種語言的簡短評論與長篇內容,為社交媒體編造姓名與簡介帳戶,以及進行開源研究、調校程式碼,還有翻譯與校對文字等。
在資安防禦態勢上,關於藉助AI來精進社交工程演練方面,我們注意到有國內企業提出新的方法:遠東新世紀在2024臺灣資安大會分享了他們在這方面的經驗,主要是善用AI提高演練和教育效率,例如,他們先是製作風險履歷、定義8種弱點特質,進而繪製成風險雷達圖,在實際社交工程演練上,他們也會設法盤點出高風險的郵件用戶,加上風險分析,並用AI來做到推播個人化的課程、輔助自動評分、給予考試內容輔導意見,甚至也打造釣魚郵件家教的應用來即時告知員工判斷要點。
【6月3日】美國證實Linux核心的網路元件Netfilter高風險漏洞已被用於攻擊行動
美國網路安全暨基礎設施安全局(CISA)上週發布資安公告,表示他們增列2個漏洞至已遭利用的漏洞目錄(KEV),這兩項漏洞分別是:Check Point安全閘道漏洞CVE-2024-24919、Linux核心元件漏洞CVE-2024-1086。
其中,CVE-2024-24919已有資安業者透露相關細節,但今年1月公布的CVE-2024-1086,目前尚未有研究人員或資安機構公布相關攻擊行動細節,後續的發展有待觀察。
【6月4日】帛琉政府資料流入暗網,指控是中國政府指使勒索軟體駭客組織所為
今年3月臺灣邦交國帛琉遭遇網路攻擊,導致數週後2萬份遭竊政府文件流入暗網,而這起事故直到昨日(6月3日)紐約時報報導,此事才曝光,並引起全球各界關注。
值得留意的是,雖然這起事故有勒索軟體駭客坦承犯行,聲稱目的是牟取經濟利益,但有帛琉官員表示,這些駭客並未對於贖金進行談判,認為如此說法顯然與事實不符。
【6月5日】針對烏克蘭政府恢復公營事業收費,俄羅斯駭客組織FlyingYeti策畫利用WinRAR漏洞的網釣攻擊
上週雲端服務業者Cloudflare公布由俄羅斯駭客組織FlyingYeti策畫的網釣攻擊行動,並指出對方架設架設冒牌公營事件網站,意圖在當地政府恢復收取、追討積欠公營事業費用的情況下,引誘烏克蘭民眾上當。
值得一提的是,這起攻擊行動駭客意圖濫用Cloudflare Workers與GitHub的服務隱匿行蹤,這兩家公司進行反制,讓對方難以繼續從事攻擊行動。
【6月6日】病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊導致倫敦醫院服務中斷,傳出是駭客組織Qilin所為
醫療院所及相關服務的供應商遭遇資安攻擊的情況,最近幾年越來越頻繁,一旦特定服務的供應商面臨攻擊,很有可能直接影響數家醫院的運作。
例如,病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊的事故,就是這樣的例子,導致英國倫敦兩家主要醫院的部分業務被迫中斷,病人必須轉院就醫的情況。
【6月7日】勒索軟體駭客RansomHub聲稱入侵老牌筆電製造廠藍天電腦,引起國際資安媒體高度關注
最近一個月勒索軟體駭客RansomHub犯下的資安事故頻頻,英國精品拍賣業者佳士得、美國醫療集團Change Healthcare皆傳出遭受攻擊而影響營運,而最近一起事故引起各界高度關注,駭客聲稱入侵臺灣老牌電腦製造商藍天電腦,並竊得200 GB內部資料。
值得留意的是,已有不少資安專家公布駭客提供的資料,但截至目前為止藍天電腦並未在重大訊息當中,對於資料遭竊做出說明,後續發展有待進一步觀察。
熱門新聞
2024-11-20
2024-12-06
2024-12-03
2024-11-15