本週研究人員揭露多起漏洞利用攻擊的資安事故,例如:Fortinet網路設備管理系統漏洞CVE-2024-47575、三星行動裝置處理器漏洞CVE-2024-44068、macOS作業系統漏洞CVE-2024-44133。

其中,又以CVE-2024-47575相當值得留意,原因是這項漏洞在Fortinet尚未公開之前,已有研究人員提出警告,並有企業傳出遭受攻擊的情況。

 

【攻擊與威脅】

勒索軟體Cicada3301鎖定VMware虛擬化平臺、NAS設備而來

一般而言,勒索軟體的攻擊目標多半是Windows電腦,到了前幾年,陸續有駭客組織針對VMware虛擬化平臺ESXi開發Linux版勒索軟體,然而最近出現的新勒索軟體,更進一步做到可橫跨多個平臺運作,而引起研究人員的注意。

資安業者Group-IB揭露從今年6月開始出沒的新興勒索軟體Cicada3301,3個月內已有30家企業組織遭受攻擊。特別的是,駭客以Rust打造勒索軟體,不只能在Windows、Linux電腦,以及VMware ESXi運作,罕見的是,網路儲存設備(NAS)、PowerPC架構的電腦,也無法倖免於難。

此外,該勒索軟體還能終止虛擬化平臺的運作,不僅能用於前述的VMware ESXi,還能對微軟Hyper-V出手,將虛擬機器(VM)關機。

多款熱門行動程式直接將AWS與Azure帳密資料寫入程式碼

資安業者賽門鐵克警告,有多個熱門的Android及iOS行動程式直接在程式中寫入未加密的AWS或Azure憑證,將允許駭客破壞應用程式的後端基礎設施、竊取用戶資料,或是中斷服務。

根據調查,有6款程式直接於程式碼庫中嵌入了未加密的AWS憑證,包括Google Play上的拼貼程式The Pic Stitch: Collage Maker,下載次數超過500萬;其他3款則是位於App Store上,包括連鎖甜點店的官方程式Crumbl,下載次數超過390萬;填寫問卷賺現金的調查應用程式Eureka: Earn money for surveys,有超過40萬次的下載;超過35萬下載量的影片編輯程式Videoshop - Video Editor Videoshop;超過24萬次下載的紙牌遊戲Solitaire Clash: Win Real Cash;以及超過23.5萬次下載量的填問卷賺現金的調查程式Zap Surveys - Earn Easy Money。

另有6款程式嵌入的是微軟Azure憑證,包括Google Play上的叫車程式Meru Cabs,下載超過500萬次;一個針對印度市場的黃頁程式Sulekha Business,下載超過50萬次;以及可以用來緩解耳鳴的ReSound Tinnitus Relief;下載超過50萬次;超過10萬次下載的看病程式Saludsa;下載超過10萬次的車輛檢查程式Chola Ms Break In,以及另一個用來緩解耳鳴的Beltone Tinnitus Calmer,亦有逾10萬次下載。

其他攻擊與威脅

勒索軟體NotLockBit鎖定macOS電腦而來

有人冒用LockBit名號發動勒索軟體攻擊,將竊得資料外傳AWS S3儲存桶

金融木馬Grandoreiro變種鎖定墨西哥而來

 

【漏洞與修補】

Fortinet網路設備管理平臺API漏洞出現零時差攻擊

10月23日資安業者Fortinet發布資安公告,指出旗下的網路設備管理平臺FortiManager存在重大漏洞CVE-2024-47575,本地建置及雲端版本皆受到影響,而且,他們已掌握用於實際攻擊行動的情況,呼籲用戶儘速套用相關更新。

這項漏洞存在於名為fgfmd的系統元件,起因是重要功能缺乏身分驗證,導致攻擊者有機會在未經身分驗證的情況下,藉由發送偽造請求,遠端執行任意程式碼或命令,CVSS風險評分達到9.8。該漏洞影響本地建置6.2.0至7.6.0版、雲端版6.4至7.4.4版的FortiManager,該公司推出新版程式修補。

附帶一提的是,他們也提及,部分網路分析設備FortiAnalyzer提供的相關功能模組(FortiManager on FortiAnalyzer),也同樣存在這項弱點而曝險。

三星修補已遭濫用的Exynos行動裝置處理器漏洞

10月7日三星發布韌體更新,修補出現在三星手機與穿戴裝置搭配的Exynos處理器的高風險漏洞CVE-2024-44068,此漏洞涉及記憶體釋放後再行利用(Use After Free),攻擊者有機會藉此提升權限,搭載Exynos 9820、9825、980、990、850、W920等處理器的裝置受到影響,CVSS風險評為8.1分。

本漏洞是由Google威脅分析小組Clement Lecigene,以及裝置與服務安全研究小組研究人員Xingyu Jin於7月發現,並向三星通報已遭到利用的情況。他們發現攻擊者將其用來進行提升權限,並確認相關攻擊鏈能在Galaxy S10手機發動。

蘋果修補macOS的HM Surf漏洞,目前已有嘗試利用的跡象

今年9月蘋果發布電腦作業系統大改版macOS Sequoia 15,當中修補中度風險漏洞CVE-2024-44133,這項漏洞影響由行動裝置管理平臺(MDM)控管的裝置,應用程式有可能藉由漏洞繞過特定的隱私權組態,CVSS風險評為5.5分,通報此事的微軟近日公布相關細節,並指出他們偵測到疑似漏洞利用的情況。

微軟威脅情報中心指出,這項漏洞有機會讓攻擊者繞過macOS的Transparency, Consent, and Control(TCC)保護機制,進行在未經授權的情況下,存取受到保護的使用者資料。研究人員將這項漏洞稱為HM Surf,並指出該漏洞涉及移除Safari瀏覽器程式資料夾的TCC防護,以及更動特定資料夾的組態檔案,使得攻擊者有機會存取使用者資料,包含瀏覽過的網頁、裝置的視訊鏡頭、麥克風、地理位置。

其他漏洞與修補

針對微軟6月修補的一系列核心層級漏洞,資安業者Devcore警告可被用來提升權限

微軟7月修補的遠端登錄檔漏洞WinReg,若不處理攻擊者可發動NTLM中繼攻擊

 

【資安產業動態】

Sophos宣布以8.59億美元買下資安廠商Secureworks

英國防毒廠商Sophos於10月21日宣布,以8.59億美元現金收購美國資安業者Secureworks。Secureworks為網路安全服務供應商,提供安全監控、威脅偵測及SoC服務,該公司於2011年被Dell併購,2016年Dell將之分拆上市,並成為這家資安公司的最大股東。今年8月媒體報導,Dell有意出售Secureworks,直到本週才確定由Sophos接手。

Sophos表示,Secureworks的Taegis平臺和Sophos代管服務與安全產品可相輔相成,提供進階延伸偵測回應(XDR)及代管偵測回應(MDR)解決方案。他們計畫整合二家公司產品,使Sophos新增身分威脅偵測與回應(identity threat detection and response,ITDR)、次世代安全資訊與事件管理(SIEM)、操作科技(OT)及進階弱點風險排序等,提供滿足大、中、小型企業的產品。

 

近期資安日報

【10月23日】中國駭客組織IcePeony對亞洲國家網頁伺服器發動SQL注入攻擊

【10月22日】資安業者ESET以色列合作夥伴驚傳遭駭,駭客冒名從事網釣攻擊

【10月21日】Internet Archive再傳遭駭

熱門新聞

Advertisement