資安業者Ivanti公布SSL VPN系統Connect Secure重大層級的漏洞CVE-2025-0282,並透露已出現攻擊行動的情況,協助調查的資安業者Mandiant表示攻擊者利用該漏洞長達半個月,但究竟有多少駭客加入利用漏洞的行列?有待進一步的調查。
值得留意的是,企業組織應儘速套用修補程式,截至12日,臺灣尚有近80臺伺服器尚未修補,數量僅次於美國和西班牙。
【攻擊與威脅】
Ivanti旗下SSL VPN系統Connect Secure存在零時差漏洞,臺灣曝險數量全球第三
1月8日資安業者Ivanti發布資安公告,他們旗下的SSL VPN系統Connect Secure、NAC系統Policy Secure,以及Neurons for ZTA閘道存在記憶體緩衝區溢位漏洞CVE-2025-0282、CVE-2025-0283,當時該公司透露,他們已經掌握有部分Connect Secure系統遭到CVE-2025-0282攻擊的情況。
協助調查的資安業者Mandiant指出,他們確認CVE-2025-0282在12月中旬就有人當做零時差漏洞用於實際攻擊,其中一組人馬的身分是與UNC5221有關的中國駭客組織UNC5337,究竟有多少駭客鎖定這項漏洞下手,他們也尚未取得足夠的資料而不能確定。
目前有多少臺Connect Secure系統曝險?根據Shadowserver基金會的掃描,12日約有800臺未修補漏洞。但值得留意的是,此時臺灣仍有79臺尚未修補,數量為全球第三,僅次於美國和西班牙的192、113臺。
隨著新的一年到來,許多企業組織都會透過電子賀卡表達祝福,但也有攻擊者伺機而動,利用相關平臺散布惡意程式。
資安業者Malwarebytes揭露名為Zqxq的攻擊行動,駭客針對電子賀卡網站GroupGreeting下手,散布ndsw及ndsx型態的惡意軟體,根據調查,GroupGreeting約有超過2,800個網站受到類似的惡意程式碼攻擊,隨著聖誕節及新年的使用量增加,使得攻擊者有機可乘,能暗中在網頁注入惡意程式,使得想要接受祝福的使用者成為目標。GroupGreeting接獲通報後,已著手處理。
研究人員指出,攻擊者在受害網站注入經混淆處理的JavaScript程式碼,並與網站的正常檔案混在一起,為了迴避偵測,攻擊者加入額外的變數(其中一個是zqxq),以及自訂功能。
其他攻擊與威脅
◆英國網域名稱註冊機構Nominet傳出遭到Ivanti零時差漏洞攻擊
◆Aviatrix Controller重大層級RCE漏洞被用於攻擊行動,駭客用於部署後門及挖礦軟體
【漏洞與修補】
微軟通報macOS系統完整性保護元件漏洞,攻擊者可乘機植入核心層級惡意驅動程式
去年12月蘋果發布macOS Sequoia 15.2,當中修補存在StorageKit元件的漏洞CVE-2024-44243,在改版公告裡面,蘋果僅簡略提到攻擊者有機會用其竄改受到保護的檔案系統元件,以及這是由微軟通報的問題,相關細節最近被公開。
微軟威脅情報中心指出,蘋果在macOS作業系統內建的系統完整性保護(System Integrity Protection,SIP)機制,會因為這個漏洞而被繞過,攻擊者可藉由載入第三方的核心延伸套件來觸發,CVSS風險為5.5。
雖然CVE-2024-44243危險程度僅被評為中等,但研究人員指出,由於SIP的功能是限制可能破壞系統完整性的行為,一旦被繞過,影響將有可能非常嚴重,例如:攻擊者植入rootkit的成功率增加,或是利用惡意軟體持續於在受害電腦活動,甚至能繞過該作業系統另一項防護機制Transparency, Consent, and Control(TCC)。
三星手機音訊解碼器存在漏洞,攻擊者有機會藉由Google簡訊服務觸發
近期Google Project Zero團隊揭露三星手機的記憶體越界寫入(OBW)高風險漏洞CVE-2024-49415,此漏洞存在於Monkey's Audio(APE)音訊解碼器元件libsaped.so,影響執行Android 12至14版作業系統的三星手機,三星於9月接獲通報,並在12月發布SMR Dec-2024 Release 1更新修補。
值得留意的是,雖然這項漏洞的CVSS風險評分為8.1,但三星將其列為重大層級,這項危險層級的認定,很有可能與這項漏洞無須使用者互動就能觸發有關。
針對漏洞的發現,Project Zero指出,他們起初是在S24手機上找到這項弱點,並強調在Google Messages配置為預設豐富通訊服務(RCS)應用程式的手機上,此漏洞可用來發動零點擊攻擊(0-click),攻擊者能夠遠端利用。由於Google Messages是S24預設的RCS應用程式,這代表大部分用戶若不套用更新程式,就有可能曝險。
其他漏洞與修補
◆供用戶贊助經營者的WordPress外掛程式GiveWP存在重大漏洞,若不處理攻擊者有機會接管網站
◆Netgear路由器存在重大漏洞,未經授權的攻擊者有機會遠端執行任意程式碼
【資安產業動態】
強化MDR戰力,防火牆業者WatchGuard買下資安新創ActZero
防火牆業者WatchGuard宣布已併購AI資安新創ActZero,以補強代管偵測與回應(MDR)產品線,並朝向代管服務供應商(managed service provider,MSP)發展。
代管偵測回應(MDR)方案能持續監控企業多種IT環境(如雲端、本地、端點、身份)以因應入侵活動及隱蔽的惡意軟體。ActZero以結合AI及安全專家提供MSP、安全監控服務中心(SOC)聞名。其機器學習可協助自動化分析,減少誤判及噪音(noise),而其開放架構也可整合多種端點安全技術,除了WatchGuard方案、代管Firebox防火牆外,也能整合Microsoft Defender等第三方服務。
雙方已在2024年12月達成協議,在合併後,ActZero的SOC、員工及流程未來將主導WatchGuard MDR服務。
近期資安日報
【1月13日】研究人員揭露中國駭客RedDelta最新一波攻擊行動,主要目標是臺灣和蒙古
熱門新聞
2025-01-13
2025-01-14
2025-01-13
2025-01-10
2025-01-13
2025-01-13