文/周峻佑 | 2024-06-12發表

昨(6月11日)微軟發布本月份例行更新,一共修補49個漏洞,相較於上個月公布多達60個漏洞,已減少一些,而且,稍微值得慶幸的是,這次公布的漏洞尚未發現遭到駭客利用的跡象。

但這次揭露還是有零時差漏洞,因為該漏洞的細節已在數個月前被公布,而這項漏洞與DNSSEC驗證機制有關,影響範圍可能會相當廣泛。

 

【攻擊與威脅】

勒索軟體駭客TellYouThePass鎖定近期公布的PHP重大漏洞

上週臺灣資安業者戴夫寇爾針對他們向PHP通報的重大層級漏洞CVE-2024-4577提出警告,呼籲網站管理者儘速套用新版PHP程式,或是採取緩解措施,由於全球有近八成網站採用PHP,這項漏洞很快就有駭客將其用於攻擊行動。

在PHP於6日發布新版軟體修補上述漏洞,隔日Shadowserver基金會就發現密罐陷阱出現漏洞嘗試利用的情況。接著在6月8日,資安業者Imperva發現勒索軟體駭客組織TellYouThePass利用這項漏洞從事攻擊,他們看到對方成功觸發漏洞後,於受害伺服器上執行PHP程式碼,利用名為system的功能進行寄生攻擊,透過執行檔mshta.exe執行攻擊者網頁伺服器上的HTML應用程式檔案,從而部署勒索軟體並加密檔案。

華邦電發布重訊說明疑似發生資料外洩,起因是合作廠商遭駭

記憶體大廠華邦電子在6月6日傍晚發布資安事件重大訊息,說明他們合作廠商的資訊系統遭不明人士入侵,導致該公司疑似發生資料外洩的狀況。

根據華邦電子公告指出,這次事件主要是合作廠商資訊系統遭不明人士入侵,由於合作廠商向他們通報,指出與華邦電合作相關資料有外洩疑慮的狀況,因此,華邦電針對這樣的情況發布重訊說明。不過,他們並未明確指出是哪家合作廠商的資訊系統遭入侵。

其他攻擊與威脅

荷蘭指出中國駭客鎖定全球Fortinet防火牆漏洞從事的網路間諜活動受害規模擴大,逾2萬臺防火牆遭到破壞

中國駭客組織SecShow在全球進行大規模DNS探測行動

日本影音共享平臺Niconico傳出遭到網路攻擊,被迫暫停相關服務

 

【漏洞與修補】

微軟發布6月例行更新,修補已被公布細節的DNSSEC零時差漏洞

微軟於6月11日發布本月例行更新(Patch Tuesday),總共修補49個漏洞,其中有一個零時差漏洞,而引起關注。

此為網域名稱系統安全擴充程式(DNSSEC)的設計缺陷漏洞CVE-2023-50868,存在於DNSSEC驗證機制當中,假如DNS解析器使用NSEC3回應請求,攻擊者可藉由要求來自DNSSEC簽章區域的回應,就有機會讓實作DNSSEC驗證機制的解析器耗盡處理器的運算資源,CVSS風險評為7.5分,微軟為Windows Server 2012至2022版,發布相關的修補程式。

這個漏洞有幾個特別的地方,首先,這項漏洞CVE編號並非微軟自行登記,而是由資安團體MITRE所為,而且,登記的時間在今年2月13日,距微軟發布修補程式間隔達4個月。

整合開發環境IntelliJ存在重大漏洞,恐曝露GitHub存取憑證

6月11日軟體開發業者JetBrains發布資安公告,指出他們在5月29日接獲通報,存在整合開發環境(IDE)IntelliJ平臺的漏洞CVE-2024-37051,有可能會影響拉取請求而被用於攻擊行動,CVSS風險評為9.3分。

該公司指出,這項弱點影響IntelliJ平臺所有2023.1以上版本的IDE,只要開發者同時啟用他們提供的GitHub外掛程式,就有可能曝險。他們提供新版IDE及外掛程式修補漏洞,並呼籲開發者若曾透過這套IDE拉取GitHub專案,應註銷外掛程式所用的Token。

其他漏洞與修補

SAP修補Financial Consolidation、NetWeaver高風險漏洞

開源機器學習程式庫PyTorch存在重大漏洞,恐導致敏感的AI資料遭竊

 

【資安產業動態】

AWS雲端安全會議強調資安文化,揭露多項幕後資安利器

「追根究底,資安文化是一切的根源。」AWS資安長Chris Betz在6月11日於美國費城舉辦的雲端安全會議re:Inforce 2024中強調資安文化的重要性。他指出,高階主管對資安的重視程度是建立文化的重要關鍵,AWS執行長與資安主管固定每週五與各部門總經理、產品經理與開發人員面對面討論資安問題,由執行長固定撥出時間討論資安,足以傳達高階主管對資安的重視程度。

而為了讓資安落實能擴及全組織,AWS也透過資安守護者計畫,將資安團隊的資安專家派駐在各個部門,一起參與軟體開發流程,從Spring衝刺規畫會議、站立會議到資安審核,提供資安觀點的建議,既協助開發安全的軟體,也將資安最佳作法傳播到全公司上下。

同時,AWS也推動員工自主決策的文化,任何同仁發現資安問題時,都有權力自主判斷將資安問題立即升級至必要的等級。Chris Betz指出,在他過往任職的經驗中,資安問題等級的提升往往代表負面意涵,然而在AWS的資安文化中,反而是要獎勵能及早意識到問題嚴重性,從而讓組織可以更快速採取行動的同仁。

 

【資安關鍵人物】

社群發展要有意識進行傳承,更應提供舞臺並讓參與者有收穫

資安社群在臺灣資安產業的發展過程中,扮演重要的關鍵角色。臺灣駭客協會理事長、也是資安公司戴夫寇爾執行長翁浩正表示,早期資安社群的領導者,因為對資安有高度熱情並具備理想性,透過分享知識與組織活動為目標,成功凝聚志同道合的人。

由於資安社群擁有獨特的文化,例如各種次文化和迷因梗圖,翁浩正認為,這些文化元素為社群的參與者,提供歸屬感和向心力。此外,定期舉辦的活動也吸引了許多外界的人參與和投入。為了保持社群的發展和存續,翁浩正也意識到,社群的領導者必須開始進行有意識的傳承和管理,提供機會給新成員參與組織和活動,鼓勵他們發揮創造力和領導能力,這都有助於社群的持續發展。

 

近期資安日報

【6月11日】紐約時報證實內部資料流入地下論壇,程式碼儲存庫帳密資料外流釀禍

【6月7日】勒索軟體駭客RansomHub聲稱入侵老牌筆電製造廠藍天電腦,引起國際資安媒體高度關注

【6月6日】病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊導致倫敦醫院服務中斷,傳出是駭客組織Qilin所為

iThome Security

熱門新聞

Advertisement