文/羅正漢 | 2024-10-21發表

回顧10月第四周的資安新聞,在資安防禦方面有兩大重要焦點,一是CMMC國防產業安全供應鏈的發展態勢,一是Passkey無密碼登入的最新進展。

(一)美國國防部在10月15日於聯邦公報正式公布研擬已久的CMMC規則,60天後將正式生效實施。這意味著,該國國防部將開始要求業者,必須取得新的CMMC相關認證,才能參與合約競標與履行,顯示該國逐步加強對國防承包商的網路安全要求。
(二)關於Passkey的新聞有兩大焦點,一是FIDO聯盟為了改善Passkey的用戶體驗,宣布將聚焦於安全憑證交換可攜的推動,新公布CXP與CXF這兩個規範草案;另一是Amazon宣布將擴大支援Passkey,不只去年導入於其購物平臺,明年將讓其他應用及服務也支援。

在資安事件方面有3則消息,其中卡西歐遭勒索軟體攻擊的事件最受關切,因為該公司遭攻擊後發生部份伺服器故障狀況,並導致多個系統停擺;臺灣有兩家上市公司揭露資安事件,巧合的是,友訊、神腦這兩家業者遭受攻擊的時間相近,且都屬通信網路業。

●卡西歐於10月11日於公司網站發布資安事故公告,指出在5日遭遇勒索軟體攻擊,已有Underground駭客組織宣稱犯案。
●友訊科技於10月15日說明資安事件的處理及因應,指出一臺外網伺服器遭受駭客攻擊。
●神腦國際於10月16日說明發生網路資安事件,指出外部伺服器遭受駭客攻擊。

還有一起值得我們警惕與留意的事件,奧丁丁被揭露Amazon S3 bucket因配置不當而曝露在網際網路上,由於曝險資料有9成均涉及臺灣旅客引發關注,該公司表示部分資料可能遭未經授權存取。

在威脅態勢上,以EDRSilencer紅隊演練工具遭濫用是主要焦點,有資安業者針對此情形示警,指出有利用該工具的攻擊行動,能干擾市面上16款EDR資安產品運作。值得注意的是,上月臺灣無人機製造商遭攻擊被揭露,亦曾提及攻擊者使用EDRSilencer的情形,顯示此類威脅已在臺灣實際發生。

●有駭客將紅隊演練工具EDRSilencer納入武器庫,資安業者呼籲防守方要提高警覺,因為該工具能影響16款EDR系統的運作。
●金融業注意,有資安研究人員揭露北韓駭客散布惡意軟體FASTCash,指出其意圖是洗劫提款機。
●新一波針對Python開源軟體生態系的攻擊被揭露,這次手法之所以受注意,是因為攻擊者濫用軟體套件管理系統中的Entry Point命令列工具機制。

在漏洞利用方面,有兩個已知漏洞遭利用的消息,一是SolarWinds在8月修補的Web Help Desk憑證寫死漏洞,近日發現有攻擊者正積極利用。

另一是微軟6月修補的Windows Kernel TOCTOU競爭條件漏洞CVE-2024-30088,如今發現伊朗駭客組織OilRig正鎖定利用,且近期目標是石油及天然氣的關鍵基礎設施。

在漏洞修補動向上,我們認為最要注意的是,Kubernetes資安回應團隊修補映像檔製作工具Image Builder的2項漏洞,該漏洞將讓攻擊者有機會以root權限存取虛擬機器。至於其他重要修補,包括:Spring Framework、Ubuntu身分驗證元件Authd,以及Apache Avro軟體開發套件的修補,還有GitHub、兆勤、Moxa、互動資通、趨勢科技、F5的產品漏洞修補。

 

【10月14日】Windows核心漏洞傳出遭伊朗駭客OilRig利用

上週末有數起攻擊行動引起資安圈高度關注,其中一起就是伊朗駭客OilRig對於阿拉伯聯合大公國(UAE)及周邊海灣地區攻擊升溫,而其中一種提升權限的方法,就是利用今年6月微軟公告的已知漏洞CVE-2024-30088。

值得留意的是,這些駭客向來針對石油及天然氣相關的關鍵基礎設施下手,一旦得逞,很有可能左右這些能源的供應。

【10月15日】北韓駭客針對支付處理系統散布惡意軟體

美國曾在2018、2020年警告北韓駭客利用名為FASTCash的惡意軟體,針對金融機構支付相關系統下手的情況,事隔4年,這些駭客擴大攻擊範圍,對於更多型態的支付系統開發專屬的FASTCash。

值得留意的是,這次他們鎖定的目標,是執行特定版本Ubuntu的支付處理系統,相當具有針對性。

【10月16日】臺灣區塊鏈旅宿平臺業者雲端儲存庫疑似因配置不當,而可能曝露旅客資料

雲端環境的配置不設防情況,不時有事故傳出,但過往公布曝露危險的多半是國外的企業組織,而在最近一起資安事故裡,有研究人員發現臺灣區塊鏈業者所有的資料庫。

值得留意的是,在此儲存桶曝露的個資當中,超過9成電話號碼都是臺灣用戶所有,實際影響情況有待後續觀察。

【10月17日】Kubernetes映像檔製作工具存在重大漏洞

最近幾年針對微服務管理平臺Kubernetes而來的攻擊行動,不時傳出相關事故,這樣的情況也使得不少研究人員調查這類系統的弱點,例如:出現在特定組態Azure Kubernetes服務(AKS)的權限提升漏洞WireServing,以及Google Kubernetes Engine(GKE)重大風險漏洞Sys:All,該漏洞能讓任何具有Google帳號的攻擊者接管配置不當的Kubernetes叢集。

本月Kubernetes修補映像檔建置工具(Image Builder)的漏洞也相當值得留意,因為這些弱點有機會讓攻擊者取得虛擬機器(VM)的root權限。

【10月18日】紅隊演練工具EDRSilence遭濫用,16種EDR系統可能因此被「噤聲」

過往駭客濫用防守方滲透測試工具的情況相當頻繁,最常見的是Cobalt Strike,利用Brute Ratel C4(BRC4)的情況不時傳出,但今年,出現駭客鎖定紅隊演練工具的現象。

繼上個月思科揭露有人使用名為MacroPack的紅隊演練框架打造惡意檔案,本週資安業者趨勢科技針對另一款工具EDRSilencer遭到濫用的情況提出警告,並指出已有駭客將其當作重要武器。

iThome Security

熱門新聞

Advertisement