文/羅正漢 | 2024-10-14發表

在10月雙十國慶這一星期,在關注慶祝活動與中共軍事演習行動之餘,資安相關新聞同樣引人注目,在資安防禦方面,零信任的議題最受關注,因為全球第一個提出零信任架構的資安專家John Kindervag今年二度來臺,特別的是,上月他是在SEMICON Taiwan 2024召開的半導體資安趨勢高峰論壇發表演說,顯示零信任在全球資安已是顯學,半導體產業要做好資安,當然也必須了解並落實這個概念。

近年來零信任雖然受到各界廣泛討論,但也漸漸產生一些認定與推動的歧見,此次John Kindervag遠道而來,分享其在網路戰爭與零信任架構上的深刻見解,因此他特別點出4個常見謬誤,以及企業導入零信任架構的五步驟,有助於大家重新正確理解零信任的基本概念。

在資安事件方面,有3起與臺灣息息相關的事件需要我們重視,其中以駭客組織NoName057對臺發動第二波DDoS攻擊最受關注,包括聯電、緯創、世芯等半導體大廠,以及知名傳產台塑化等上市櫃公司,均重訊揭露遭遇DDoS攻擊。由於這些消息發布多集中於週末期間,加上該駭客組織攻擊歐洲多國關鍵CI網站服務之後,一再鎖定臺灣攻擊,這種騷擾式攻擊恐成常態,國人應持續警戒,不可鬆懈。

●聯電、緯創、世芯、松上、台塑化、發布重訊表示遭DDoS攻擊,親俄駭客組織NoName057再次宣稱是他們所為,數十個市公所與地檢署網站也是其目標。
●儲存設備業者喬鼎資訊發布重大訊息,說明遭遇網路攻擊,已啟動防護機制並對受害主機進行隔離。
●網傳PChome疑似資料庫外洩,網路家庭澄清並無此事,但該公司研判可能遭遇撞庫攻擊惹議,後續狀況值得留意。
●美國自來水廠American Water提交網路安全事件報告,發現攻擊時已切斷某些系統與網路的連結,營運未受影響。
●富達投資向美國緬因州等通報客戶個資外洩事故,7.7萬客戶個資受影響。
●Internet Archive遭駭,首頁內容遭置換,並發生逾3,100萬筆帳號外洩。

這一星期適逢多家IT廠商發布每月例行安全更新,包含微軟、SAP等眾多業者針對多項重大漏洞釋出修補,企業組織應盡快進行評估與落實修補、緩解弱點的作業,還有8個漏洞新發現已遭利用(包含2個已知漏洞),格外需要留意。

●微軟修補5個已被公開的零時差漏洞,其中有2個已遭利用,分別是涉及MSHTML的漏洞CVE-2024-43573,以及涉及MMC的漏洞CVE-2024-43572。
●高通修補多款晶片組中的零時差漏洞CVE-2024-43037,Google TAG指出已有利用跡象,後續Andorid系統的修補時程值得留意。
●Ivanti修補雲端服務設備CSA的3個零時差漏洞,分別是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381,指出已有部分用戶的系統遭遇漏洞濫用活動。
●Mozilla緊急修補Firefox的零時差漏洞CVE-2024-9680,通報的資安業者ESET指出已有攻擊者試圖利用這項漏洞。
●Fortinet在2月修補的已知漏洞CVE-2024-23113,以及Veeam在9月初修補的已知漏洞CVE-2024-40711,近日發現有攻擊者針對未修補用戶來攻擊的情形。

至於資安威脅態勢方面,大型電信公司遭滲透一事,引發國際關注。美國有多家電信業者遭中國駭客組織Salt Typhoon入侵,包括AT&T、Verizon與Lumen,而且駭客是針對特定目標而來,也就是針對美國政府合法向電信業要求資料的系統。此事件不僅引發美國政府的高度關注,全球電信業者也需要警惕。

 

【10月7日】親俄駭客傳出再度發動DDoS攻擊,多家上市櫃公司網站受到影響

親俄駭客NoName057因總統賴清德接受媒體採訪的回答裡,提及中國政府一再主張的維護領土完整性,認為他們應該要奪回清朝簽訂璦琿條約而割讓俄羅斯的土地,而引起駭客不滿,已於9月發起一波DDoS攻擊行動,上週又有企業組織傳出受害,並於股市公開觀測站發布重大訊息。

值得留意的是,這些駭客不光針對企業而來,他們這次的目標也涵蓋臺灣多個政府機關。

【10月8日】美國水力關鍵基礎設施再傳遭遇網路攻擊

最近幾年針對美國水力設施發動攻擊的情況不時傳出,例如:去年底伊朗駭客Cyber Av3ngers攻擊賓州阿里奎帕市水務局,理由是該機構採用以色列自動化控制業者Unitronics的系統而成為目標;今年4月,德州小鎮供水系統傳出因遭到攻擊而失控,資安業者Mandiant指出,很有可能是俄羅斯駭客Sandworm所為。這些事故多半針對地方供水系統而來,如今有橫跨14個州的業者American Water遭到網路攻擊而引起關注。

值得留意的是,雖然該公司強調營運並未受到影響,但其網站至截稿為止並未恢復正常,實際影響有待觀察。

【10月9日】零信任之父第一手導讀零信任架構

隨著資安威脅與日俱增,零信任架構成為最近幾年的熱門話題。但究竟什麼是零信任架構?在14年前提出此戰略理念的零信任之父John Kindervag,日前在國際半導體展(SEMICON 2024)召開的半導體資安趨勢高峰論壇發表演說,指出其核心理念就是「拒絕信任」。

他以美國特勤局保護總統的策略來比喻零信任架構,揭示零信任3個核心理念的關鍵要素,企業組織也應該依循這樣的策略,保護資料及網路環境的資產。

【10月11日】Mozilla修補遭到利用的Firefox零時差漏洞

近期針對瀏覽器的零時差漏洞攻擊不時傳出,其中又以鎖定市占率最高的Chrome較為常見,今年已出現9個零時差漏洞,由於採用其排版引擎開發的瀏覽器也相當多,這些漏洞也同樣波及Edge、Brave、Vivaldi等應用程式,因而受到高度關注。

相較之下,利用Firefox未公開漏洞的情況較為少見。最近Mozilla基金會的資安公告引起外界的注意,原因是他們近期修補的一項重大漏洞,已出現實際利用的情況。

iThome Security

熱門新聞

Advertisement