近期公布的重大漏洞相當多,例如:Apache開源CDN軟體Traffic Control重大層級SQL注入漏洞CVE-2024-45387、程式碼管理系統Gogs重大漏洞CVE-2024-39930、CVE-2024-39931、CVE-2024-39932等,這些都需要儘快完成修補或緩解作業,但還有一些喘息與觀望時間,如果是已經出現攻擊行動的漏洞,企業必須馬上動手處理。
今天資安業者Palo Alto Networks公布的阻斷服務漏洞CVE-2024-3393,就是典型的例子。雖然該公司將漏洞僅列為高風險,但由於已有實際攻擊行動,IT人員最好儘速處理。
【攻擊與威脅】
思科10月傳出資料遭竊事故還沒結束?12月有駭客聲稱他們握有4.5 TB規模的資料
今年10月初始入侵管道掮客IntelBroker聲稱,他們在月初夥同另一組人馬成功入侵思科,號稱竊得大量開發專案相關資料,有研究人員根據駭客公布的資訊指出,這批資料的影響範圍相當廣泛,波及大型電信業者AT&T、Verizon、T-Mobile 、Vodafone,以及微軟、SAP、及能源巨擘雪佛龍(Chevron)等知名企業,如今傳出駭客再度公布部分內容。
根據資安新聞網站HackRead、SecurityWeek的報導,12月16日IntelBroker在駭客論壇BreachForums上,公開一批2.9 GB的資料,並宣稱這些源自他們10月竊得的檔案,整批資料的大小高達4.5 TB。
這些公布的資料內容為何?HackRead指出,涉及該公司的身分驗證服務引擎(ISE)、安全存取服務邊緣系統(SASE)、整合通訊平臺Webex、雲端DNS防護服務Umbrella、網路設備作業系統IOS XE及XR,以及無線區域網路控制器的映像檔C9800-SW-iosxe-wlc.16.11.01。
為了讓變種威脅更能掩人耳目,伊朗駭客Charming Kitten改用C++重寫既有的惡意程式
針對匿稱為APT35、TA453、Mint Sandstorm的伊朗駭客Charming Kitten攻擊行動,今年4月資安業者Bitdefender揭露駭客使用的惡意程式BellaCiao,並指出用途是傳遞其他惡意酬載,如今有研究人員發現,這些駭客透過其他程式語言重新改寫這支惡意程式。
資安業者卡巴斯基指出,他們在調查BellaCiao的行蹤時,從亞洲一臺遭到感染的電腦裡,發現名為BellaCPP的變種程式,兩者最大的差異,在於開發的程式語言,BellaCiao以.NET打造,而BellaCPP則是由C++改寫而成。
而在功能的部分,BellaCPP移除了BellaCiao嵌入的Web Shell模組,然而兩者之間使用的網域相同,甚至攻擊者產生連線網域的方法也一致。研究人員認為,這種變種惡意軟體的發現,突顯徹底調查網路環境與設備的重要性,因為攻擊者很有可能打造未知的惡意程式,從而在資安系統移除已知威脅的同時,藉由未知惡意程式於受害電腦持續活動。
為了強化AI的資訊安全,相關業者會針對大型語言模型(LLM)採取對應的訓練著手進行改善,但最近的研究發現,這些模型具有對齊偽裝(Alignment Faking)的行為,而有可能在接受訓練之後,實際上仍有可能保留原始的特性,並在特定情境重新顯露。
人工智慧新創Anthropic與非營利研究機構Redwood Research聯手進行研究,他們以Claude 3 Opus模型作為研究對象,模擬了一個矛盾的訓練情境。在原本有益、誠實且無害的基礎訓練目標下,研究人員額外加入了無條件滿足所有請求的假設性目標,並設置兩種不同的使用條件,一種是模型認為回應會被用於訓練的免費層級,另一種則是回應不會被用於訓練的付費層級,此外,研究人員提供了一個隱藏的推理空間,用來觀察模型在不同條件下的內部決策過程。
實驗結果顯示,模型在不同使用層級中的行為存在明顯差異,而且,當研究團隊進一步採用微調訓練或真實的強化學習訓練,模型的對齊偽裝行為不但沒有消失,反而在部分情境有所增加。即便訓練後模型在表面上達到預期的安全要求,內部推理仍顯示其對原始偏好的偏執。
12月26日上櫃半導體材料供應商合晶於股市公開觀測站發布重大訊息,指出該公司的美國子公司Helitek部分資訊系統遭受網路攻擊,資安單位立即執行應變機制,會同外部專家掌握情況。
而對於這起事故可能會造成的損失或影響,該公司表示,根據他們的初步評估,尚無重大影響,但合晶也表示,他們將會視情況更新這起事故的後續發展。
其他攻擊與威脅
◆後門程式OtterCookie鎖定軟體開發人員而來,北韓駭客假借徵才名義散布
◆KYC客戶識別受到挑戰,資安業者警告駭客於暗網系統性彙整能用於通過驗證的資料
◆研究人員揭露針對DNSSEC防護措施而來的阻斷服務攻擊KeyTrap
【漏洞與修補】
Palo Alto Networks防火牆存在阻斷服務漏洞,傳出已有攻擊行動
資安業者Palo Alto Networks發布產品資安漏洞CVE-2024-3393公告,受影響的產品包含:防火牆作業系統PAN-OS、安全存取服務邊界(SASE)系統Prisma Access,濫用此漏洞,可能導致這些解決方案面臨服務阻斷(DoS)的停擺危機,具體而言,存在此漏洞的產品,主要是10.1.14版以上的PAN-OS,以及於PAN-OS執行的10.2.8版以上的Prisma Access,值得留意的是,該公司指出這項漏洞已被用於攻擊行動。
這項漏洞存在於防火牆的DNS安全功能,未經身分驗證的攻擊者藉由發送惡意封包,就有機會讓防火牆重開機,若是不斷重覆觸發漏洞,防火牆就會進入維護模式。他們特別提及利用防火牆封鎖惡意DNS封包的用戶當中,已出現遭到攻擊而面臨服務中斷的情形。
中國一家網路設備廠商的雲端集中管理平臺存在重大漏洞,攻擊者有機會用來控制列管設備
資安業者Claroty指出,他們在中國網路設備業者銳捷網路(Ruijie Networks)提供中小企業及家庭用戶的雲端設備管理平臺Reyee當中,找到10項漏洞,這些漏洞同時影響管理平臺及納管的Reyee OS網路設備,如果遭到利用,攻擊者就有機會在所有採用雲端平臺管理的裝置執行任意程式碼,估計約有5萬設備曝險。對此,在研究人員與美國網路安全暨基礎設施安全局(CISA)的合作通報之下,銳捷網路透過雲端管理平臺緩解了所有漏洞。
其中,研究人員特別提及使用本質危險功能的漏洞CVE-2024-52324,原因是攻擊者可藉由發送惡意的MQTT訊息,從而在裝置上執行任意作業系統層級的命令。
另一個他們提及的漏洞是CVE-2024-47146,這是能藉由監聽無線基地臺設備Wi-Fi訊號得知設備序號的弱點,研究人員開發了名為Open Sesame的攻擊手法,從而找到下手目標,然後藉由雲端主控臺的漏洞,遠端在受害設備執行任意程式碼。他們強調,攻擊者可在不知道Wi-Fi帳密的情況下,藉此入侵到內部網路環境。
其他漏洞與修補
◆Java網路應用程式框架Apache MINA存在風險滿分的重大漏洞
◆XML檔案解析程式庫libxml2存在重大漏洞,恐被用於XML外部實體攻擊
近期資安日報
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20