這一星期的資安威脅態勢,有多起新聞是聚焦在偽冒、配置錯誤這兩大議題,成為不可忽視的風險熱點,突顯企業、個人在網路安全上的潛在薄弱環節。

以偽冒事件而言,有3則消息,其中一起偽冒情境相當獨特,是讓用戶誤以為電腦更新進行中,但實際是利用遠端存取竊取資料。

●駭客偽造WinRAR網站,建立與正牌官網(win-rar.com)一字之差的偽冒網站(win-rar.co),雖然此做法並不新奇,但涉及熱門軟體而受關注。
●惡意廣告運用動態關鍵字插入技術,鎖定特定公司或產品線並假冒其名義,例如假冒Google的行動中,還會利用Google Looker Studio製作圖片來假冒搜尋頁面,並透過圖片內嵌惡意連結引導至假冒的技術支援頁面。
●駭客組織先利用社交工程手法,並透過遠端連線請求傳送假的Windows Update的執行檔,特別的是,該程式的作用僅是偽冒出Windows更新的畫面,背後則是利用遠端存取竊取受害者的網路共享資料夾,再留下勒索訊息。

以配置錯誤而言,本星期有3則新聞值得關注,下列第一則已有攻擊行動需特別注意,研究人員指出,有11萬個網域成為攻擊者可鎖定的對象,第二則有數千個公開的SuiteCommerce受影響,並且研究人員已經揭露這樣的問題,用戶需在攻擊者關注此攻擊面下,儘速對相關組態進行檢查。

●出現一波向企業勒索的攻擊行動,是攻擊者鎖定在AWS公開曝險的bucket,並利用企業的雲端應用環境設定不當,進而得以竊取包含像是驗證憑證的環境變項檔(.env)檔竊取重要資料,並向受害組織勒索。
●針對Oracle旗下的雲端ERP平臺NetSuite,研究人員指出存在用戶配置錯誤情況相當廣泛,原因在於名為SuiteCommerce電商網站元件中一項CRT的存取控制錯誤組態造成,提醒相關用戶應加強這方面的管理,以避免資料外洩。
●航班追蹤平臺FlightAware發布資安事件公告,指出在7月底發現因配置錯誤問題,發生外洩該平臺用戶個資的事故。

在資安事件方面,有5則重要新聞,當中以臺灣大學院校遭遇後門程式Msupedge攻擊的揭露最受關注,而且,值得警惕的是,入侵原因是未修補今年6月PHP程式語言修補重大漏洞;臺灣最大電子佈告欄(BBS)PTT傳出資料外洩的消息也引發關注,對此消息,批踢踢實業坊(Ptt.cc)已在隔日發布聲明,傳聞中所稱取得的資料,應係自公開看板上所抓取的文章,並未發現有任何機密資訊受到危害。

●國內有大學院校遭遇後門程式Msupedge的攻擊行動
●中國對臺認知作戰升級,在今年5月盜取飛官社群網站帳號抵毀國軍。
●PTT驚傳遭到入侵,駭客聲稱取得3.5萬筆資料。
●美國半導體製造商Microchip傳出遭遇網路攻擊,造成工廠產能降低的影響。
●豐田美國分公司遭公布24GB公司資料,駭客表示是從其備份伺服器竊取。

至於這一星期的漏洞利用消息,有1個零時差漏洞利用情形,Versa Networks旗下可簡化SASE服務的Versa Director平臺的漏洞CVE-2024-39717,美國CISA警告已獲知有主動利用的證據。

還有5個漏洞利用要留意,包括:今年1月修補的 Jenkins CLI漏洞(CVE-2024-23897),以及前幾年多個已知漏洞,微軟Exchange Server漏洞(CVE-2021-31196),Linux Kernel漏洞(CVE-2022-0185 ),大華IP攝影機漏洞(CVE-2021-33044、CVE-2021-33045)。

 

【8月19日】Google Pixel驚傳內建具有高度權限的第三方元件

過往我們探討手機軟體供應鏈安全的事故,主要是出現在中國品牌的手機上,有人在製造過程中埋入惡意程式,導致用戶受害。但如今,類似的問題竟然出現在Google的「親兒子」Pixel系列手機。

有資安業者透過EDR系統在客戶列管的手機當中,發現不尋常的弱點,經過調查,這些手機都被預載不安全的應用程式Showcase,攻擊者有機會藉此取得高權限,從而遠端執行程式碼、安裝惡意程式。

【8月20日】駭客散播可呈現仿造OS更新畫面的執行檔,背後卻是在電腦偷資料

對於Windows使用者而言,每個月都會遇到的作業系統更新,已是相當熟悉,尤其是過程中往往必須重開機而無法使用,有駭客看上這點,製造電腦正在進行系統更新的假象,從容地從事攻擊行動,待完成後才留下勒索訊息,要脅若不依照指示付錢,將會面臨GDPR罰款。

這項攻擊行動的特別之處在於,駭客利用1支無攻擊特徵的程式製造這種假象,導致大多數的防毒軟體都不會將其視為有害。

【8月21日】PHP重大漏洞出現攻擊行動,駭客已藉此在臺灣的一間大學院校植入後門

兩個月前臺灣資安業者戴夫寇爾揭露的PHP漏洞CVE-2024-4577,當時提到使用正體中文、簡體中文、日文語系的視窗作業系統用戶會受到影響,如今傳出實際資安事故,本週有資安公司指出臺灣有大學因為這個漏洞未修補而遭到攻擊,被駭客植入後門程式。

值得注意的是,他們發現有多組人馬嘗試找尋下手目標的情況,這代表相關攻擊行動將會接連出現。

【8月22日】企業自訂AI副手功能的工具Copilot Studio存在SSRF漏洞

隨著人工智慧應用系統越來越普及,相關漏洞影響可能極為深遠,相當值得關注。本週資安業者Tenable公布Copilot Studio伺服器請求偽造(SSRF)漏洞CVE-2024-38206細節,並指出這項漏洞能影響該系統的基礎設施,攻擊者一旦利用,就有可能同時影響多個用戶。

這項漏洞在他們通報後,微軟已進行修補,並將其列為重大風險漏洞列管。

【8月23日】協作平臺Slack搭載的AI功能有漏洞,恐曝露私人頻道機密資料

與人工智慧互動、協作已是許多民眾日常不可或缺的部分,許多企業的應用系統也開始納入相關功能,然而一旦這類機制若是存在弱點,同樣可能成為駭客大肆利用的對象。

最近研究人員公布協作平臺Slack的AI機器人漏洞,就是這樣的例子,攻擊者可在無須取得相關權限的情況下,得到私人頻道的內容,從而達到竊取機密的目的。

 

本星期漏洞利用狀況一覽表

零時差漏洞利用:1個

CVE-2024-39717 / Versa Director漏洞(6月已釋出修補8月22日才公開

本星期已知漏洞遭利用:5個

CVE-2024-23897 / Jenkins CLI漏洞(1月24日公開,8月20日警告已遭利用)
CVE-2021-31196 / 微軟Exchange Server漏洞(2021年7月14日公開,2024年8月22日警告已遭利用)
CVE-2022-0185 / Linux Kernel漏洞(2022年2月11日公開,2024年8月23日警告已遭利用)
CVE-2021-33045 / Dahua IP Cameral漏洞(2021年9月15日公開,2024年8月21日警告已遭利用)
CVE-2022-33044 / Dahua IP Camera漏洞(2021年9月15日公開,2024年8月21日警告已遭利用)
 

熱門新聞

Advertisement