近期針對瀏覽器的零時差漏洞攻擊不時傳出,其中又以鎖定市占率最高的Chrome較為常見,今年已出現9個零時差漏洞,由於採用其排版引擎開發的瀏覽器也相當多,這些漏洞也同樣波及Edge、Brave、Vivaldi等應用程式,因而受到高度關注。
相較之下,利用Firefox未公開漏洞的情況較為少見。最近Mozilla基金會的資安公告引起外界的注意,原因是他們近期修補的一項重大漏洞,已出現實際利用的情況。
【攻擊與威脅】
Veeam備份軟體漏洞遭勒索軟體Akira、Fog濫用,至少發動4起攻擊行動
9月初備份與資料保護軟體廠商Veeam修補旗下備份軟體Backup & Replication漏洞CVE-2024-40711,問題在於,系統對資料的可信度未進行驗證,就進行反序列化處理,攻擊者可在未經授權的情況下,藉由惡意酬載遠端執行程式碼(RCE),CVSS風險評分達到9.8,當時通報此事的資安業者Code White呼籲企業要儘速修補,並認為接下來該漏洞很有可能會遭到勒索軟體駭客利用,如今有研究人員證實這項推論已經成真。
資安業者Sophos指出,他們過去1個月追蹤利用這項已知漏洞的攻擊行動,駭客藉由外流的帳密與該漏洞,嘗試建立帳號並部署勒索軟體Akira、Fog。
勒索軟體駭客利用Backup & Replication已知漏洞的情況已非首例,例如:今年7月,資安業者Group-IB指出有人利用去年3月修補的CVE-2023-27532,企圖部署勒索軟體Estate。
今年初修補的Fortinet資安系統RCE漏洞被用於實際攻擊行動,並得到CISA證實
美國網路安全暨基礎架構安全管理局(Cybersecurity and Infrastructure Security Agency,CISA)本周公告,Fortinet在8個月前修補的重大風險漏洞已發生濫用事件,要求聯邦機構於10月30日前完成修補。
遭到濫用的漏洞為CVE-2024-23113,為FortiOS防火牆作業系統fgfmd程式的格式化字串漏洞,攻擊者可透過操弄輸入的訊息格式觸發,而在未經授權情況下在FortiOS執行任意程式碼或指令,本漏洞風險值達9.8,Fortinet已在今年2月修補。
值得留意的是,CVE-2024-23113影響Fortinet多項產品,包括防火牆FortiGate、網頁安全閘道FortiProxy、特權存取管理FortiPAM、交換器集中管理平臺FortiSwitch Manager。
跨國金融業者富達投資(Fidelity Investments)本月稍早通報州主管機關,公司系統遭駭客存取,致使大約7.7萬名客戶個資外洩。
富達投資已在本周以電子郵件通知受影響消費者。根據該公司提供給官方的文件,在今年8月17到19日之間,外部組織利用2名客戶新增的帳號非授權存取了公司系統,並取得客戶資料。該公司立即採取行動切斷了存取管道。
富達提供給另一個州政府的文件中,透露這次外洩的客戶個資包含社會安全號碼、駕照號碼、銀行帳號,這是最近1年富達第5起資料外洩事故。
Internet Archive遭駭,逾3,100萬筆帳號外洩
網際網路檔案館(Internet Archive,IA)周三(10月9日)遭到駭客入侵,駭客塗改了該平臺的首頁,宣稱其安全性弱不禁風,而且已與Have I Been Pwned(HIBP)分享了所盜走的逾3,100萬筆帳號。
1996年成立的IA為一非營利組織,定位為數位圖書館,宗旨為讓所有的知識普遍化,於是該站搜集了各式各樣的數位內容,包括網頁、軟體、遊戲、音樂、影片及數百萬本圖書,最有名的工具之一是「時光機」(Wayback Machine),允許人們存取特定時間、或許已經消失的網頁。
Internet Archive創辦人Brewster Kahle證實確有此事,表示該網站遭到分散式服務阻斷(DDoS)攻擊,駭客藉由JS程式庫進行汙染,外洩了使用者名稱、電子郵件,以及經加鹽處理的密碼。該平臺緊急關閉JS函式庫,全面清理系統,同時升級安全機制因應。
其他攻擊與威脅
◆駭客濫用萬國碼在電商網站埋藏側錄工具Mongolian Skimmer
◆俄羅斯駭客APT29鎖定Zimbra、TeamCity伺服器下手
【漏洞與修補】
Mozilla發布Firefox更新,修補已遭利用的零時差漏洞
10月9日Mozilla基金會發布資安公告,緊急修補Firefox重大層級的零時差漏洞CVE-2024-9680,這項漏洞由資安業者ESET通報,存在於Animation元件的時間軸,為記憶體釋放後再存取使用(Use After Free)漏洞,CVSS風險評分達到9.8(滿分10分),該基金會發布Firefox 131.0.2,以及長期支援版(ESR)128.3.1、115.16.1修補。值得留意的是,已有攻擊者試圖利用這項漏洞。
針對這項漏洞帶來的影響,Mozilla基金會指出,攻擊者若是觸發漏洞,就有機會藉由Animation元件的時間軸,引發記憶體釋放後再存取使用的現象,而能在特定處理程序執行程式碼。
他們特別提及,已接獲漏洞被實際利用的通報。究竟駭客如何利用漏洞?該基金會並未進一步說明。
Palo Alto Networks修補產品轉移工具重大漏洞
資安業者Palo Alto Networks發布安全公告,修補平臺轉移工具Palo Alto Networks Expedition的重大風險漏洞,這些弱點可能用於遠端程式碼執行、密碼外洩與釣魚攻擊。
這批修補的漏洞包括編號CVE-2024-9463到CVE-2024-9467的7項漏洞,皆與防火牆組態轉移工具Expedition有關。根據CVSS風險評分,其中,以作業系統命令注入漏洞CVE-2024-9463及CVE-2024-9464最為嚴重,資安風險各為9.9分與9.4分,能讓攻擊者以root權限執行任意指令,濫用漏洞皆能導致執行PAN-OS作業系統的防火牆的使用者名稱、明文儲存的密碼、裝置配置和裝置API洩露。
另一個被列為重大層級的是SQL注入漏洞CVE-2024-9465,濫用的結果可導致未經授權的攻擊者外洩Expedition資料庫內容,導致密碼雜湊值、用戶名稱、裝置配置和裝置API曝光,攻擊者還可利用這些資訊在Expedition系統讀取和新增任意檔案。該漏洞風險值為9.2。
其他漏洞與修補
◆GitLab發布17.4.2新版,修補任意分支管道執行漏洞
【資安產業動態】
隨著防詐需求持續成長,臺灣廠商的發展動向與成長情形,也成各界關切焦點。以阻擋惡意電話與簡訊Whoscall聞名的Gogolook(走著瞧-創),去年在創新板掛牌上市、今年5月則宣布併購荷蘭數位防詐服務商ScamAdviser。
在併購案宣布4個月後,該公司於9月24日首度公布最新的全球發展策略,當中宣布一項重大轉變,未來將以ScamAdviser為品牌,加速拓展全球企業防詐市場,希望從東亞切入更廣泛的國際市場。
在這次改變下,企業端防詐領域的ScamAdviser將成為Gogolook的三大事業體之一,其他事業體則是消費防詐領域的Whoscall,以及金融科技領域的袋鼠金融。
近期資安日報
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07