最近幾年針對微服務管理平臺Kubernetes而來的攻擊行動,不時傳出相關事故,這樣的情況也使得不少研究人員調查這類系統的弱點,例如:出現在特定組態Azure Kubernetes服務(AKS)的權限提升漏洞WireServing,以及Google Kubernetes Engine(GKE)重大風險漏洞Sys:All,該漏洞能讓任何具有Google帳號的攻擊者接管配置不當的Kubernetes叢集。
本月Kubernetes修補映像檔建置工具(Image Builder)的漏洞也相當值得留意,因為這些弱點有機會讓攻擊者取得虛擬機器(VM)的root權限。
【攻擊與威脅】
10月16日連鎖通訊零售業者神腦國際於股市公開觀測站發布重大訊息,表明有外網伺服器遭到攻擊,在查知此事後,該公司立即啟動相關防護機制,並採取隔離措施因應。
而對於這起事故可能會造成的影響,他們表示根據初步評估,尚未發現個資或是內部資料外洩的情況,對營運及服務無影響。
其他攻擊與威脅
◆勒索軟體駭客聲稱竊得汽車大廠福斯內部資料,該公司表示IT基礎設施不受影響
【攻擊與威脅】
Kubernetes映像檔製作工具存在重大漏洞,恐曝露虛擬機器root權限
Kubernetes資安回應團隊近期公布映像檔建置工具(Image Builder)漏洞CVE-2024-9486、CVE-2024-9594,攻擊者有可能藉此得到虛擬機器(VM)的root權限,而這些漏洞發生的原因,源於映像檔建置過程中,使用了預設的帳密資料。這些漏洞影響0.1.37版以前的Kubernetes Image Builder,開發團隊發布0.1.38版緩解上述弱點。
這兩項漏洞較為嚴重的是CVE-2024-9486,主要原因在於:以Proxmox提供者(provider)建置而成的虛擬機器映像,無法停用當中的預設帳號,若用這些映像檔建置節點,後續有心人士可透過這些預設帳密進行存取,藉此取得root權限,CVSS風險評分達到9.8。
另一個漏洞CVE-2024-9594,則是涉及其他系統平臺提供者產生的映像檔,這些提供者包含Nutanix、OVA、QEMU,在映像建置過程也會啟用預設的帳密組態,而此預設帳密同樣可用於取得root權限,但不同的是,在映像檔建置完成後,這些帳密就會被停用。該漏洞被評為中度風險,CVSS評為6.3。
10月10日GitHub發布Enterprise Server(GHES)更新3.14.2、3.13.5、3.12.10、3.11.16版,當中修補身分驗證繞過漏洞CVE-2024-9487、資訊洩漏漏洞CVE-2024-9539,以及1個尚未登記CVE編號的漏洞。
其中,最值得留意的是被評為重大層級的CVE-2024-9487,攻擊者可藉由選用的加密斷言(assertion)功能繞過SAML單一簽入(SSO)身分驗證,而能在未經授權的情況下為使用者開通服務,或是存取GHES執行個體。此漏洞的4.0版CVSS風險評分達到9.5(滿分10分)。
對於CVE-2024-9487發生的原因,GitHub表示是他們在今年5月緩解CVE-2024-4985(CVSS風險評為10分)的過程當中衍生。
Ubuntu身分驗證元件Authd存在高風險漏洞,攻擊者有機會發動UID欺騙攻擊
Canonical近期針對Ubuntu發布資安公告,揭露高風險漏洞CVE-2024-9312,這項弱點存在於身分驗證管理元件Authd,一旦攻擊者觸發漏洞,就有機會欺騙電腦,並針對特定使用者帳號進行未經授權存取,CVSS風險為7.6分,該公司提供0.3.6版Authd修補。
究竟這項漏洞發生的原因為何?原因是Authd分配的UID是根據使用者名稱產生的純函數(pure function),再者,則是UID的集合太小,導致無法進行隨機分配。這樣的情況,使得該元件很可能會遭到利用。
其他漏洞與修補
◆Nvidia生成式AI框架NeMo存在缺陷,攻擊者有機會執行程式碼或竄改資料
◆Apache修補雲端基礎設施CloudStack高風險漏洞
◆Oracle發布2024第3季重大修補更新,公布旗下產品逾200個漏洞
【資安產業動態】
繼去年開始於電商服務部署通行密鑰(Passkey)之後,Amazon於10月15日宣布,迄今已有超過1.75億的用戶於的Amazon帳號上啟用Passkey,該公司也計畫明年逐步於其他應用及服務推出Passkey。
目前Amazon支援Passkey的部分,主要是在網頁版、iOS及Android的購物應用,以及Audible有聲書應用系統,其中,行動用戶一旦設定了Passkey,它就會成為登入Amazon帳號的預設選項。根據Amazon的統計,以Passkey登入速度比其他方式快6倍,隨著愈來愈多用戶體驗到無密碼登入的方便,Passkey採用率每天都在成長。
根據科技新聞網站The Verge的報導,Google正在實驗可用來驗明正身的藍勾勾,在搜尋引擎結果中,包括微軟、Meta、Epic Games、蘋果、Amazon及HP的官網連結旁都出現了藍勾勾,可用來確認這些網站的身分,並協助使用者過濾網釣網站。
Google也在藍勾勾顯示的旁邊提出說明,當中提到此標記的出現,是代表他們判斷現在瀏覽的網站就是代表該企業組織,但無法保證該企業或其產品資料的可信度。Google則向The Verge解釋,他們利用網站驗證、Merchant Center資料及人工審核等管道,來辨別網站的真偽。不過,目前該服務僅為小規模部署的實驗,尚未確定能否會成為正式功能。
近期資安日報
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19