11月第2周的資安新聞中,在資安事件方面,以上市公司國巨代子公司發布資安事件重訊最特別,該公司不僅是揭露資安事故,也公布該事故對財務的影響,對資安透明度起到示範作用。
這是因為,過去我們看到近年國外公司遭遇資安事件,有時都會揭露該事件帶來的損失金額,但很少國內公司這麼做,如今國巨在針對子公司基美電子(KEMET)資安事件的損失揭露上,提出具體金額與占比的說明。根據其公告的損失包括:取消訂單金額約60萬美元(約1,800萬元),占2022年度銷貨收入約0.04%,以及閒置產能損失約310萬美元(約1億元),占2022年度營業利益約0.75%。
在漏洞消息方面,這一星期適逢多家IT廠商釋出每月例行安全更新,其中微軟修補修補的CVE-2024-43451最要注意,因為該漏洞至少從今年4月起就被利用,後續是在ClearSky研究人員在烏克蘭CERT-UA的幫助下,拼湊出今年6月疑似俄羅斯入侵烏克蘭學術伺服器的攻擊事件,進而發現這個漏洞並通報微軟。
●微軟修補4個零時差漏洞,其中2個已遭利用,分別是涉及Windows NTLMv2的CVE-2024-43451,以及有關Windows工作排程器的CVE-2024-49039。
●Palo Alto Networks在10月初修補兩個漏洞CVE-2024-9463、CVE-2024-9465,一個月後,發現攻擊者開始鎖定這些已知漏洞利用於攻擊行動。
●3個老舊漏洞持續遭攻擊者鎖定利用,包括Atlassian在2021年修補Jira Server與Data Center的漏洞CVE-2021-26086,Metabase在2021年修補GeoJSON API的漏洞CVE-2021-41277,思科在2014年修補ASA的漏洞CVE-2014-2120。
其他重要漏洞消息方面,包括D-Link已停止支援的老舊NAS設備被發現重大漏洞,研究人員呼籲用戶盡速汰換設備;有資安業者揭露物聯網裝置雲端控管平臺Ovrc的10個漏洞,指出物聯網裝置越來越廣泛,這類平臺的安全更顯重要。
在威脅態勢上,有3個態勢值得留意,包括網攻資料竊取速度加快、攻擊者濫用SEO的現況,以及新興的ZIP檔案串接手法(ZIP Concatenation),這不僅是利用多個ZIP檔案串接成單一檔案,使惡意軟體得以隱藏在檔案結構中,而且一起攻擊活動中,以7-Zip開啟會是無害PDF檔,用WinRAR或是Windows檔案總管開啟則會讓惡意檔案現身,容易對使用者產生更大的威脅。
●Palo Alto Networks在臺灣年度用戶大會指出網路攻擊者出手速度越來越快,從3年前平均9天縮短至去年的2天,最近的調查更是縮短至4小時內。
●近年冒牌電子商務網站數量暴增,資安業者趨勢科技與日本警界等聯手調查,發現攻擊者先對合法網站植入SEO惡意軟體,僅而讓搜尋結果出現駭客廣告。
●惡意軟體GootLoader不僅利用搜尋引擎最佳化中毒的手法來入侵,近期還特別鎖定澳洲,針對愛貓人士而來。
●中國駭客APT41利用惡意軟體框架DeepData Framework跟蹤政治人物與記者,東南亞多國被鎖定。
●資安業者對近期興起的ZIP檔案串接手法(ZIP Concatenation)示警,此手法正被攻擊者積極利用,有些解壓縮工具才會讓惡意檔案就會現身,相當具隱蔽性。
另外值得警惕的是,駭客透過假冒方式散布惡意軟體的情形有兩起,顯示這類假冒與社交工程的手法依然活躍,包括有攻擊者利用偽裝成Windows版GitHub應用程式,散布惡意軟體Fickle Stealer,以及以取名相近的方式假冒熱門Python套件SSH自動化函式庫fabric。
在資安防護方面,本星期有兩大重要新聞,一是為了防範詐騙、網釣連結等問題,多家簡訊商因應NCC祭出的新規範,開始實施建立商業簡訊的白名單機制;另一是思科近期宣布擴大雲端保護方案布局,新增Cillium與Hypershield,當中顯現出該公司對於eBPF技術的重視,由於上個月CNCF技術委員會成員來臺揭露K8s未來3大發展焦點時,其中一項也就是eBPF,突顯這項發展多年的eBPF技術,如今正被資安界看到更多可能性。
【11月11日】6.1萬臺D-Link網路儲存設備存在重大層級命令注入漏洞
今年4月研究人員揭露D-Link網路儲存設備(NAS)高風險漏洞,而且,這些機型生命週期都已結束,D-Link不提供修補程式,當時有超過9萬臺設備曝險,不久之後就出現相關資安事故。存在於該廠牌生命週期終結設備的弱點,如今再度出現。
值得留意的是,上週研究人員公布的弱點CVE-2024-10914為重大層級,接下來很有可能會被攻擊者盯上,並將其實際嘗試利用。
【11月12日】多組駭客透過SEO下毒手法,將使用者導向冒牌電子商務網站擊
駭客先對合法網站下手,再對瀏覽網站的使用者發動攻擊的情況,過往陸續傳出這類事故,但類似的攻擊出現新的手法:攻擊者先在合法網站植入惡意程式,從而影響搜尋引擎的結果,將上網搜尋的使用者導向駭客的惡意網站。資安業者趨勢科技指出,這樣的威脅有越來越嚴重的趨勢,截至目前為止,他們已看到6組人馬從事相關攻擊,甚至有共用部分基礎設施的情況。
今天許多廠商發布11月份例行更新,微軟、Adobe、SAP、Citrix、西門子、施耐德電機等廠商,紛紛發布相關公告及更新軟體,IT人員應留意相關公告,規畫修補行程。
其中,微軟發布的公告相當值得留意,因為這次有4個零時差漏洞,其中一個與MSHTML平臺有關的CVE-2024-43451,由於在公告前已遭公開,且有實際攻擊行動,後續影響有待觀察。
【11月14日】NTLM雜湊洩露欺騙漏洞5個月前被用於攻擊烏克蘭企業組織
昨天我們報導微軟發布11月例行更新(Patch Tuesday),當中修補了已遭到利用的零時差漏洞CVE-2024-43451,此為NTLM雜湊值洩露欺騙漏洞,一旦遭到利用,攻擊者就能取得使用者的NTLM雜湊資料而能冒用其身分。隔天通報此事的資安業者ClearSky表示,俄羅斯駭客UAC-0194於5個月前將其用於網釣攻擊。
值得留意的是,他們也特別強調使用者相當容易中招,無論是對駭客提供的檔案右鍵點選,或是刪除、拖曳到其他資料夾,都有可能觸發漏洞。
【11月15日】中國駭客APT41打造惡意軟體框架,鎖定政治人物與記者的電腦而來
蘋果今年4月罕見對全球92個國家用戶提出傭兵間諜軟體(Mercenary Spyware)攻擊警告,資安業者BlackBerry指出這個間諜軟體就是曾在2020年出沒的LightSpy,事隔半年,研究人員公布新的調查結果,指出這些駭客從原本針對蘋果手機、電腦,如今也對Windows電腦打造間諜軟體。
值得留意的是,研究人員也確認了攻擊者的身分,就是惡名昭彰的中國駭客APT41。
熱門新聞
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10
2024-12-08