回顧2024年10月資安新聞,關於臺灣資安法,以及零信任、CMMC 2.0的最新發展是本月主要焦點之一,在資安威脅與事件方面,中國對全球認知作戰的再次揭發引起國際及國內關注,還有臺灣企業、組織遭受攻擊的狀況同樣備受關切,我們整理7大焦點,幫助大家一同回顧本月的重要新聞與事件。
資安政策與標準新進展
在資安政策與標準發展上,這一個月的焦點,包括我們針對臺灣《資安法》修正草案的現況、零信任網路安全策略,以及網路安全成熟度CMMC 2.0的報導。
以資安法草案現況而言,包括明定本法主管機關及各機關權責、針對納管機關擴大稽核範圍等多項增訂規範,由於該法案目前已經通過一讀,通過後將進一步確立法律位階,促進政府跨機關的合作及區域聯防;另一重要焦點是零信任,我們整理月前零信任之父的John Kindervag在臺於半導體資安趨勢高峰論壇演講,盼促進零信任的網路安全策略,能深入半導體產業並落實;美國國防部本月正式公布研擬已久的CMMC規則,顯示加強對國防承包商的網路安全要求已成必要條件。
此外,在FIDO網路身分識別發展上,FIDO聯盟為促進FIDO2標準的擴大應用,改善Passkey的用戶體驗,公布CXP與CXF這兩個規範草案,將推動安全憑證交換。
揭發中國對全球認知作戰
日本電視臺NHK耗時半年,追蹤今年2月中國資安業者安洵信息外洩文件一事,當時已經指出該文件曝光中國政府對全球各地的網路間諜攻擊手段,如今NHK發表專題內容揭露更多調查,突顯中國對日本、臺灣甚至全球發動「認知作戰」。
事實上,許多資安業者早已強調這方面的威脅,像是在最近2023年、2024年的臺灣資安大會主題演說中,來自Google TAG與Madiant等專家都已經闡釋最新威脅研究,指出中國在零時差漏洞利用,以及網路輿論操弄的攻擊行動不斷,顯示中國政府資助的資安威脅不只鎖定系統,也企圖混淆與分化民眾的保臺意識。
大規模DDoS攻擊再度出現
繼9月上旬親俄駭客NoName057對臺政府單位與企業的網站服務發動DDoS攻擊,10月上旬再次出現第二波攻勢,再次引發多家上市櫃公司發布重大訊息,說明網站服務遭遇DDoS攻擊,包括金融業第一銀行、上櫃公司青雲,上市半導體大廠聯電、緯創、世芯,以及上市知名傳產台塑化等,相繼發布資安事件重訊,揭露遭DDoS攻擊事件,值得注意的是,這種騷擾式攻擊恐成常態,以及世芯網站直到週一晚間才恢復並發布重訊,因應速度似乎相對較慢。
臺灣重大資安事件
在DDoS攻擊之外,還有多家上市櫃公司遭遇網路資安事件,涵蓋NAS、網路通訊,以及自行車、造船,輪胎、機車零組件、電子被動元件等不同產業,這些公告也反映現實中所存在的部分網路攻擊情形。
●第二星期有1起,喬鼎遭受網路攻擊事件。
●第三星期有2起,神腦、友訊,均表示有外網伺服器遭受駭客攻擊。
●第四星期有5起,美利達、台船指出遭攻擊狀況與郵件系統帳號有關;正新是代加拿大子公司發布遭駭客網路攻擊,該公司去年是代美國子公司發布;豐祥提到遭加密攻擊,應是遭遇勒索軟體攻擊;華新科表示資訊系統遭受駭客網路攻擊,後續已有勒索軟體駭客RansomHub宣稱是他們所為。
零時差漏洞利用狀況依然嚴峻
駭客持續鎖定企業產品發動零時差漏洞利用的攻擊,令業者與企業防不勝防,以下我們整理出3大焦點:
●駭客鎖定多個國際企業大廠產品發動零時差漏洞利用的攻擊,使用各家業者在發現後或經通報後趕緊修補,包括Fortinet有1個(CVE-2024-47575),Cisco有1個(CVE-2024-20481),微軟有2個(CVE-2024-43573,CVE-2024-43572),Ivanti有3個(CVE-2024-9379、CVE-2024-9380、CVE-2024-9381。其中Fortinet的攻擊,已追查出是UNC5820的駭客組織所為,並且最早攻擊跡象出現在4個月前。
●駭客鎖定臺廠飛立德科技ScienceLogic產品亦受關注,這是因為10月底ScienceLogic修補SL1平臺已遭利用的零時差漏洞CVE-2024-9537,但由於10月初才傳出雲端運算平臺Rackspace內部系統遭駭消息,並指出問題出在他們使用的第三方應用程式ScienceLogic,因此值得關切。
●消費端產品漏洞被駭客先發現鎖定情形也有兩例,包括Firefox有1個(CVE-2024-9680)、高通有1個(CVE-2024-43037)。
美電信業遭滲透引發高度關注
這個月傳出美國多家電信業者遭中國駭客組織Salt Typhoon入侵,受害對象涵蓋AT&T、Verizon、Lumen,引發美國政府與全球電信業的高度重視,目前消息指出駭客攻擊重點放在美國政府合法向電信業要求資料的系統,這樣的突破口,也顯示攻擊者持續藉由不同環節管道來尋求入侵。
留意濫用紅隊演練攻擊的態勢
資安業者的紅隊演練工具遭攻擊者用於攻擊行動的情形,值得特別關注,過往常見被利用的工具是Cobalt Strike、Brute Ratel C4(BRC4),最近一個月更多消息顯示,關於濫用MacroPack、EDRSilencer的消息也不少,有多起新聞已經指出這樣的狀況,而且上月臺灣無人機製造商遭攻擊被揭露,曾提及攻擊活動會使用EDRSilencer的情形,顯示臺灣企業同樣要留意各種濫用這類型工具的威脅態勢。
【資安週報】0930~1004,《資安法》修正條文送交立法院已一讀通過,新修訂強化分層監督與管理
10月初這一週的新聞,以強颱來襲前即影響全臺最受關注,但資安新聞中也有不少重要消息需要我們重視。
臺灣資安政策發展就是主要焦點之一。隨著7月行政院將《資安法》修正草案送交立法院,現階段已通過一讀,由於這是實施超過五年來的大修法,iThome本月封面故事特別進行最新現況報導,幫助大家掌握修法重點,例如,《資安法》修訂中最受關注的議題之一,莫過於「禁用危害國家資通安全產品」的條文,其他還包括擴大稽核範圍、資安人員的適任性查核等。另一方面,對於這次修法有法律專家提出建言,指出應要打破官民分治的架構,才能更好提升整體國家的資通安全管理能力。
在資安威脅與事件方面,有兩起事件值得大家重視,一是Rackspace遭遇資安事故並說明發生原因,是因為內部使用的第三方平臺監控系統ScienceLogic EM7存在零時差漏洞所導致,由於ScienceLogic是臺灣的飛立德科技,其後續應對與回應值得追蹤與關注;另一事有駭客利用提供AI裸照生成器DeepNude的服務,當作吸引受害者上當的手段之一。
●雲端運算平臺Rackspace內部系統遭駭,已通知其用戶可能資訊外洩,並指出問題出在他們使用的第三方應用程式ScienceLogic。
●有資安業者發現屬於俄羅斯駭客組織FIN7的大量網域,當中所屬7個網域是利用DeepNude來吸引與誘騙受害者。
●駭客組織Storm-0501最新一波攻擊行動鎖定美國多個政府部門與製造業,微軟公開其手法聚焦破壞混合雲環境的Entra ID。
●第一商業銀行公告第e個網遭受網路DDoS攻擊事件
●樂天信用卡遭駭客攻擊未緊急應變,金管會列6大缺失、罰250萬。
在漏洞利用方面,本星期有6個漏洞利用狀況,一是企業級協同辦公套件Zimbra Collaboration Suite(ZCS)在9月初修補的重大漏洞CVE-2024-45519,資安業者Proofpoint在10月1日示警,指出自9月28日觀察到有駭客鎖定未修補用戶的攻擊活動,另一是Ivanti5月修補Ivanti Endpoint Manager的漏洞CVE-2024-29824 ,該公司近期更新公告,確認遭利用且有限數量的客戶已成為目標。
另外4個近期確認有攻擊行動鎖定的老舊漏洞,則包括:D-Link DIR-820路由器的漏洞(CVE-2023-25280 )、DrayTek多款Vigor Routers的漏洞(CVE-2020-15415)、Motion Spell的GPAC軟體的漏洞(CVE-2021-4043 ),以及SAP Commerce Cloud的漏洞(CVE-2019-0344)
在資安漏洞修補與揭露方面,本星期這方面的報導相當多,最優先要注意的是Unix通用列印系統(CUPS)一系列漏洞的修補,因為這廣泛影響Linux及Unix作業系統。此外,還有多家業者的產品安全公告發布,包括:居易、HPE Aruba、WatchGuard、Progress的WhatsUp Gold等,特別的是,在TWCERT/CC的台灣漏洞揭露平台(TVN)上,新公開了普萊德科技旗下交換器大量漏洞,而普萊德也已針對市售機種發布新版韌體修補。
在車用資安方面的消息,更是引發不少人憂心,因為汽車大廠Kia網站被發現有漏洞可讓攻擊者駭入並控制車子,2013年以後車款都受影響,所幸知名白帽駭客Sam Curry先發現這樣的問題,Kia也已在接獲通報後於8月修補。
其他還有雲端、BMC基版的漏洞消息,需要不同產業的關切。例如,Nvidia Container Toolkit的漏洞(CVE-2024-0132)修補,由於全球有3成雲端環境都安裝有該函式庫,研究人員呼籲儘速因應;另一是7月Supermicro修補了由Nvidia通報的BMC重大漏洞(CVE-2024-36435),9月底資安業者Binarly揭露更多研究發現,強調這是今年最嚴重的BMC漏洞。
【資安週報】1007~1011,零信任之父在臺親自解析零信任架構,同時點出4大誤解需要釐清
在10月雙十國慶這一星期,在關注慶祝活動與中共軍事演習行動之餘,資安相關新聞同樣引人注目,在資安防禦方面,零信任的議題最受關注,因為全球第一個提出零信任架構的資安專家John Kindervag今年二度來臺,特別的是,上月他是在SEMICON Taiwan 2024召開的半導體資安趨勢高峰論壇發表演說,顯示零信任在全球資安已是顯學,半導體產業要做好資安,當然也必須了解並落實這個概念。
近年來零信任雖然受到各界廣泛討論,但也漸漸產生一些認定與推動的歧見,此次John Kindervag遠道而來,分享其在網路戰爭與零信任架構上的深刻見解,因此他特別點出4個常見謬誤,以及企業導入零信任架構的五步驟,有助於大家重新正確理解零信任的基本概念。
在資安事件方面,有3起與臺灣息息相關的事件需要我們重視,其中以駭客組織NoName057對臺發動第二波DDoS攻擊最受關注,包括聯電、緯創、世芯等半導體大廠,以及知名傳產台塑化等上市櫃公司,均重訊揭露遭遇DDoS攻擊。由於這些消息發布多集中於週末期間,加上該駭客組織攻擊歐洲多國關鍵CI網站服務之後,一再鎖定臺灣攻擊,這種騷擾式攻擊恐成常態,國人應持續警戒,不可鬆懈。
●聯電、緯創、世芯、松上、台塑化、發布重訊表示遭DDoS攻擊,親俄駭客組織NoName057再次宣稱是他們所為,數十個市公所與地檢署網站也是其目標。
●儲存設備業者喬鼎資訊發布重大訊息,說明遭遇網路攻擊,已啟動防護機制並對受害主機進行隔離。
●網傳PChome疑似資料庫外洩,網路家庭澄清並無此事,但該公司研判可能遭遇撞庫攻擊惹議,後續狀況值得留意。
●美國自來水廠American Water提交網路安全事件報告,說明發現攻擊時已切斷某些系統與網路的連結,營運未受影響。
●富達投資向美國緬因州等通報客戶個資外洩事故,7.7萬客戶個資受影響。
●Internet Archive遭駭,首頁內容遭置換,並發生逾3,100萬筆帳號外洩。
這一星期適逢多家IT廠商發布每月例行安全更新,包含微軟、SAP等眾多業者針對多項重大漏洞釋出修補,企業組織應盡快進行評估與落實修補、緩解弱點的作業,還有8個漏洞新發現已遭利用(包含2個已知漏洞),格外需要留意。
●微軟修補5個已被公開的零時差漏洞,其中有2個已遭利用,分別是涉及MSHTML的漏洞CVE-2024-43573,以及涉及MMC的漏洞CVE-2024-43572。
●高通修補多款晶片組中的零時差漏洞CVE-2024-43037,Google TAG指出已有利用跡象,後續Andorid系統的修補時程值得留意。
●Ivanti修補雲端服務設備CSA的3個零時差漏洞,分別是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381,指出已有部分用戶的系統遭遇漏洞濫用活動。
●Mozilla緊急修補Firefox的零時差漏洞CVE-2024-9680,通報的資安業者ESET指出已有攻擊者試圖利用這項漏洞。
●Fortinet在2月修補的已知漏洞CVE-2024-23113,以及Veeam在9月初修補的已知漏洞CVE-2024-40711,近日發現有駭客針對未修補用戶攻擊的情形,尤其後者已遭勒索軟體攻擊者鎖定。
至於資安威脅態勢方面,大型電信公司遭滲透一事,引發國際關注。美國有多家電信業者遭中國駭客組織Salt Typhoon入侵,包括AT&T、Verizon與Lumen,而且駭客是針對特定目標而來,也就是針對美國政府合法向電信業要求資料的系統。此事件不僅引發美國政府的高度關注,全球電信業者也需要警惕。
【資安週報】1014~1018,CMMC 2.0即將上路。FIDO聯盟將推Passkey憑證交換
回顧10月這一星期的資安新聞,在資安防禦方面有兩大重要焦點,一是CMMC國防產業安全供應鏈的發展態勢,一是Passkey無密碼登入的最新進展。
(一)美國國防部在10月15日於聯邦公報正式公布研擬已久的CMMC規則,60天後將正式生效實施。這意味著,該國國防部將開始要求業者,必須取得新的CMMC相關認證,才能參與合約競標與履行,顯示該國逐步加強對國防承包商的網路安全要求。
(二)關於Passkey的新聞有兩大焦點,一是FIDO聯盟為了改善Passkey的用戶體驗,宣布將聚焦於安全憑證交換可攜的推動,新公布CXP與CXF這兩個規範草案;另一是Amazon宣布將擴大支援Passkey,不只去年導入於其購物平臺,明年將讓其他應用及服務也支援。
在資安事件方面有3則消息,其中卡西歐遭勒索軟體攻擊的事件最受關切,因為該公司遭攻擊後發生部份伺服器故障狀況,並導致多個系統停擺;臺灣有兩家上市公司揭露資安事件,巧合的是,友訊、神腦這兩家業者遭受攻擊的時間相近,且都屬通信網路業。
●卡西歐於10月11日於公司網站發布資安事故公告,指出在5日遭遇勒索軟體攻擊,已有Underground駭客組織宣稱犯案。
●友訊科技於10月15日說明資安事件的處理及因應,指出一臺外網伺服器遭受駭客攻擊。
●神腦國際於10月16日說明發生網路資安事件,指出外部伺服器遭受駭客攻擊。
還有一起值得我們警惕與留意的事件,奧丁丁被揭露Amazon S3 bucket因配置不當而曝露在網際網路上,由於曝險資料有9成均涉及臺灣旅客引發關注,該公司表示部分資料可能遭未經授權存取。
在威脅態勢上,以EDRSilencer紅隊演練工具遭濫用是主要焦點,有資安業者針對此情形示警,指出有利用該工具的攻擊行動,能干擾市面上16款EDR資安產品運作。值得注意的是,上月臺灣無人機製造商遭攻擊被揭露,亦曾提及攻擊者使用EDRSilencer的情形,顯示此類威脅已在臺灣實際發生。
●有駭客將紅隊演練工具EDRSilencer納入武器庫,資安業者呼籲防守方要提高警覺,因為該工具能影響16款EDR系統的運作。
●金融業注意,有資安研究人員揭露北韓駭客散布惡意軟體FASTCash,指出其意圖是洗劫提款機。
●新一波針對Python開源軟體生態系的攻擊被揭露,這次手法之所以受注意,是因為攻擊者濫用軟體套件管理系統中的Entry Point命令列工具機制。
在漏洞利用方面,有兩個已知漏洞遭利用的消息,一是SolarWinds在8月修補的Web Help Desk憑證寫死漏洞,近日發現有攻擊者正積極利用。
另一是微軟6月修補的Windows Kernel TOCTOU競爭條件漏洞CVE-2024-30088,如今發現伊朗駭客組織OilRig正鎖定利用,且近期目標是石油及天然氣的關鍵基礎設施。
在漏洞修補動向上,我們認為最要注意的是,Kubernetes資安回應團隊修補映像檔製作工具Image Builder的2項漏洞,該漏洞將讓攻擊者有機會以root權限存取虛擬機器。至於其他重要修補,包括:Spring Framework、Ubuntu身分驗證元件Authd,以及Apache Avro軟體開發套件的修補,還有GitHub、兆勤、Moxa、互動資通、趨勢科技、F5的產品漏洞修補。
【資安週報】1021~1025,NHK記錄片再次引發大眾對安洵事件的關注,揭發中國對全球發動認知戰內幕
回顧10月第四星期的資安新聞主要焦點,莫過於日本電視臺NHK近期公開一部記錄片,揭露中國資安業者安洵信息外洩文件,曝光了中國對全球認知戰的內幕。今年2月我們已經報導此事,當時安洵信息外洩資料暴露中國政府對全球各地的網路間諜攻擊手段,也顯現出中國民間的資安組織在政府從事全球性的APT攻擊中,亦發揮關鍵的作用。
如今NHK耗時半年前往7國繼續深入調查此事,並以記錄片形式揭發此威脅手段,強調中國現在的網路攻擊不只針對系統,網路攻擊也同時針對民眾,透過大量網路輿論操弄的影響力行動來發動「認知戰」。事實上,近年許多資安業者都在持續強調這方面的威脅,需要更多國人重視這類問題。
在資安威脅與警訊上,有兩則重要新聞,一是當心中國駭客組織IcePeony鎖定網頁伺服器注入Web Shell,以及針對IIS伺服器建立後門IceCache的狀況,資安業者發現該組織從去年就鎖定亞洲多國;另一是注意新興勒索軟體Cicada3301,有資安業者指出這是今年6月才開始出現,但最近3個月內已有30家企業組織遭受攻擊,主要鎖定企業的VMware虛擬化平臺、NAS設備。
在資安事件方面,臺灣這一星期就有5家上市公司發布資安重訊,包括美利達、豐祥-KY、華新科、台船,以及正新代加拿大子公司發布,涵蓋產業包括自行車廠、輪胎廠、機車零配件廠、被動元件廠,以及國內最大造船廠。其中華新科的事故成主要焦點,因為後續已有媒體報導指出,勒索軟體駭客RansomHub在暗網宣稱握有該公司150 GB的機密資料;另一焦點在於,有兩家公司指出遭攻擊狀況與郵件系統帳號有關,喚起國內對這方面的警惕,因為這類情形過往很少登上重訊版面。
●自行車廠美利達在21日發布重訊,說明偵測到部份郵件系統使用者帳號遭攻擊,已啟動防禦與修改使用者帳密。
●輪胎廠正新於21日代表旗下Cheng Shin Rubber Canada發布重訊,說明該子公司部份資訊系統遭受駭客網路攻擊。
●電機機械業豐祥-KY在22日發布重訊,說明公司資訊系統在凌晨遭受加密攻擊,已查出加密源頭並阻斷,正在恢復系統。
●被動元件廠華新科在23日發布重訊,說明部份資訊系統遭受駭客網路攻擊。
●國內最大造船廠台船在24日發布重訊,說明偵測到部分郵件系統使用者遭攻擊,已啟動防禦與修改使用者帳密。
國際間則有2起事故受關切,包括思科坦承客戶支援網站資料外流,強調公司內部並未遭駭,以及資安業者ESET在以色列的合作夥伴傳出遭受攻擊,ESET強調公司內部並未遭到入侵,正與當地合作夥伴調查此事。此外,今年8月日本馬達大廠尼得科遭駭,如今有進一步的調查結果公布,研判駭客之所以得逞是因為取得了員工VPN帳密資料。
在漏洞利用方面,這一星期有3個零時差漏洞利用需要重視,攻擊者鎖定Fortinet、Cisco與ScienceLogic產品,顯現出企業產品成為攻擊目標的態勢依然顯著。有一起已調查出幕後攻擊者,資安業者Mandiant指出,關於鎖定Fortinet漏洞的攻擊,已發現是名為UNC5820的駭客組織所為,並且是在6月底就出現嘗試利用跡象。
●Fortinet修補涉及FortiManager的零時差漏洞CVE-2024-47575,Mandiant在公告後隔天揭露,有駭客組織在4個月前就將其用於實際攻擊行動。
●Cisco針對旗下多款產品修補51個漏洞,其中包含針對零時差漏洞CVE-2024-20481的修補,該公司PSIRT團隊在發布修補時即指出有遭利用跡象。
●ScienceLogic修補SL1平臺的零時差漏洞CVE-2024-9537,美國CISA已將此漏洞列入已知漏洞利用清單。
●微軟在7月修補SharePoint的漏洞CVE-2024-38094,以及Roundcube在6月修補Webmail的漏洞CVE-2024-37383,近日發現有駭客針對未修補用戶攻擊。
還可以留意的是,蘋果在9月修補恐影響MDM行動裝置管理平臺的漏洞CVE-2024-44133,有業者示警,指出疑似有漏洞利用跡象。
2024年9月資安月報,數十個臺灣政府機關、企業的網站服務遭受DDoS攻擊
2024年8月資安月報
2024年7月資安月報
2024年6月資安月報
2023年5月資安月報
2024年4月資安月報
零時差漏洞利用
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15