關於12月第3個星期的重要資安新聞,美國傳出打算禁用TP-Link路由器是一大焦點,外界認為與中國駭客經營的殭屍網路Quad7有關,促使美國政府進一步探討相關風險,也突顯邊緣裝置安全是持續備受關注的重要議題。另一重要消息在於,中國駭客組織Salt Typhoon滲透美國電信公司的後續消息不斷,如今美政府積極倡導E2EE全程加密重要性。
在威脅態勢上,這一星期有供應鏈攻擊、密碼潑灑攻擊的兩則重要新聞,一是今年曾攻擊臺灣無人機廠商的中國駭客組織Tidrone,韓國資安業者發現該組織也針對當地的ERP軟體下手來入侵韓國企業;另一是Citrix示警指出駭客正針對其設備發動攻擊,特殊之處是針對不同帳號使用一組數量不多的常見密碼來攻擊,以規避系統判定異常,又或是以大量嘗試登入方式來癱瘓系統資源。
●中國駭客TIDrone對韓國企業發動攻擊,使用兩種手法入侵受害公司,其中一種是供應鏈攻擊手法,入侵當地ERP軟體再入侵目標企業。
●德國聯邦資訊安全辦公室(BSI)與Citrix警告,發現攻擊者鎖定Citrix NetScaler設備發動暴力破解的攻擊行動。
●中國資安業者奇安信發現中國駭客組織APT41正打造PHP木馬程式Glutton,受害者位於中美兩地。
●泰國政府官員遭鎖定,資安業者揭露攻擊者使用的後門程式Yokai。
●超過39萬筆WordPress帳密遭竊,資安業者指出攻擊者利用網釣與夾帶後門程式的身分檢查器進行滲透。
還有兩則針對水利設施、視訊鏡頭及DVR設備的資安預警,同樣值得大家留意,一是美國環境保護局(EPA)與CISA呼籲水利設施與廢水處理業者,應儘速處理曝露在網際網路的HMI,避免攻擊者有可乘之機;一是美FBI針對最新一波木馬程式HiatusRAT的攻擊行動示警,該組織去年曾鎖定臺灣與美國,今年鎖定更多國家,包括澳洲、加拿大、紐西蘭、英國。
在漏洞消息方面,這一星期有6大漏洞利用狀況,包括BeyondTrust、Celo的產品遭零時差漏洞利用,微軟、Adobe今年的已知漏洞,以及京晨科與Reolink的NVR與IP Cam老舊漏洞遭利用。
●BeyondTrust修補旗下以遭利用的遠端支援系統、特權遠端存取系統的零時差漏洞CVE-2024-12356,已發現攻擊者用於入侵其SaaS環境用戶,兩日後再發現攻擊者還利用另一零時差漏洞CVE-2024-12686。
●Celo修補三款MFT檔案傳輸系統的零時差漏洞CVE-2024-55956,有資安業者指出12月初已有利用跡象,勒索軟體組織Cl0p宣稱是其所為。
●微軟在6月修補Windows Kernel Mode的漏洞CVE-2024-35250,以及Adobe在3月修補ColdFusion的漏洞CVE-2024-20767,如今發現針對未修補用戶的攻擊。
●臺灣京晨科技(NUUO)網路監控主機NVRMini2的老舊漏洞CVE-2018-14933、CVE-2022-23227,以及中國Reolink多款IP攝影機的老舊漏洞CVE-2019-11001、CVE-2021-40407,近日美國CISA將之列入已知漏洞利用清單。
還有一個重大漏洞修補需要重視,那就是12月中旬修補的Apache Struts漏洞CVE-2024-53677,有資安研究機構警告發現有攻擊者嘗試掃描這項漏洞的跡象。
至於資安事件方面,國內有兩家上市櫃公司發布資安事件重訊,巧合的是,12月18日美國政府才向使用京晨科技產品的企業警告,發現攻擊者鎖定其產品已知漏洞進行攻擊,19日京晨科技又因自家企業遭駭客攻擊而發布資安重訊。
●上市半導體業盛群的MCU創意競賽網站遭受駭客網路攻擊
●上櫃光電業京晨科有部分資訊系統遭受駭客攻擊
●日本知名影音共享平臺Niconico、角川書店半年前遭駭,如今傳出角川集團支付勒索集團300萬美元的消息。
在資安防禦上,隨著2025即將來到,有多家市場分析機構與廠商都對未來的資安態勢,提出預警,例如,在新的PQC加密逐漸普及下,網路安全產品也要應對隱藏於加密流量的網路威脅;生成式AI的資安威脅已探討多時,如今還強調企業須重視建立AI BOM清單來強化資安防護力;還有中國國家級駭客轉向勒索軟體維生的全新態勢,提醒中小企業將面對更嚴峻的網路威脅。
【12月16日】勒索軟體駭客Clop聲稱對Cleo檔案共享系統零時差漏洞發動攻擊
一週前資安業者Huntress提出警告,指出有人針對Cleo旗下MFT檔案傳輸系統進行大規模攻擊,當中利用繞過CVE-2024-50623的零時差漏洞修補,本週出現了新的說法。
根據資安新聞網站Bleeping Computer的一篇報導,勒索軟體駭客Clop表示這起事故是他們所為,但並未透露何時開始發動攻擊,以及有多少企業組織受害的情況,這些說法的真實性有待查證。
【12月17日】學術研究員與資安人員遭到鎖定,駭客竊得逾39萬筆WordPress帳密
握有各式權限並經常會經手敏感資訊的資安從業人員,已成為最近幾年駭客下手的主要目標,最近一波大規模攻擊行動當中,有人藉此對資安人員散布惡意軟體,並竊得大批WordPress帳密。
值得留意的是,攻擊者發起攻擊的管道,主要可分成兩種,一種針對資安研究人員而來,假借提供已知漏洞的概念性驗證程式碼,來讓他們中招;另一種則是鎖定學術研究機構,佯稱提供處理器漏洞緩解工具來進行。
【12月18日】中國駭客組織Tidrone利用ERP軟體攻擊韓國企業
今年9月資安業者趨勢科技揭露的中國駭客TIDrone引起高度關注,原因是這些駭客不僅針對臺灣,還是專門對軍事、衛星工業,以及無人機製造商而來,當時他們特別提及這些駭客的攻擊範圍並非只有臺灣,如今有其他研究人員證實這樣的說法。
資安業者AhnLab揭露發生在韓國的攻擊行動,並指出這些駭客從今年初就開始從事相關活動,但到了7月,他們改變手法,鎖定特定廠牌的ERP軟體用戶下手。
【12月19日】木馬程式HiatusRAT鎖定網路攝影機及DVR的已知漏洞發動攻擊
鎖定物聯網裝置的攻擊行動日益頻繁,相關惡意軟體的攻擊行動,也引起政府單位的高度重視,呼籲用戶要儘速採取行動因應。
例如,美國聯邦調查局(FBI)針對惡意軟體HiatusRAT的攻擊行動提出警告,值得留意的是,駭客不光利用2017至2020年發現的已知漏洞從事攻擊行動,FBI也提及他們運用設備廠商提供的弱密碼入侵網路攝影機及DVR設備的現象。
【12月20日】資安業者BeyondTrust傳出部分SaaS服務遭遇重大層級命令注入漏洞攻擊
針對2週前公布的網路攻擊事故,資安業者BeyondTrust本週公布新的調查結果,指出攻擊者利用了他們近期修補的重大層級命令注入漏洞CVE-2024-12356,以及另一個中度風險的CVE-2024-12686。
值得留意的是,該公司並未在漏洞資安公告提及已遭利用的現象,但這起事故發生至今已超過半個月,不禁讓人懷疑駭客挖掘了零時差漏洞從事攻擊。
熱門新聞
2024-12-22
2024-12-20
2024-12-22