攻擊者看上路由器將其綁架組成殭屍網路,多半是為了用來從事DDoS攻擊,近期有人卻將其用於規畫更為複雜的網路攻擊行動,使得相關手法更難防範。
這起資安事故特別之處在於,攻擊者也搭配了DNS的不當組態,而能藉此假冒合法的網域名稱寄送釣魚信,使得信件不會被郵件安全系統視為有害。
【攻擊與威脅】
1.3萬臺MikroTik路由器被綁架組成殭屍網路,駭客搭配DNS弱點與SPF不當設定散布惡意軟體
駭客綁架網路設備架設殭屍網路,以便進行其他攻擊活動,行之有年,近期這種手法也經常用於幫忙攻擊者躲過資安系統的偵測,並且從事大規模的行動。
資安業者Infoblox本月14日揭露的新一波殭屍網路攻擊,就是典型的例子。駭客綁架MikroTik路由器,利用它們組成殭屍網路,目的是用來發送垃圾郵件,然後散布木馬程式。這波攻擊行動的特別之處,在於駭客利用DNS記錄設定不良,從而逃過電子郵件防護措施的偵測。
Infoblox威脅研究員David Brunsdon指出,由於攻擊者濫用這些路由器寄信,使得這些信件看似來自合法網域,使得郵件防護系統可能會因此放行,研究人員是透過DNS進行調查,而能發現整起攻擊行動的行蹤。
1月19日早上聯鈞光電於股市公開觀測站發布重大訊息,表示他們在上午偵測到部分資訊系統遭遇勒索軟體攻擊,事發當下已啟動相關防禦機制及復原作業,所有的資訊系統正在復原。
針對這起事故可能帶來的損常或是影響,聯鈞表示根據他們初步評估,對於公司營運無重大影響。
其他攻擊與威脅
◆惡意PyPI套件pycord-self鎖定Discord開發人員而來
◆微軟已棄用的舊版NTLM身分驗證機制,資安業者發現能重新啟用
【漏洞與修補】
Nvidia公告容器工具套件及GPU Operator高風險弱點
1月13日Nvidia發布資安公告,指出旗下的容器工具套件(Container Toolkit)及GPU Operator存在3項漏洞CVE-2024-0135、CVE-2024-0136、CVE-2024-0137,有可能導致阻斷服務(DoS)、權限提升、資訊洩露、資料竄改,或是任意程式碼執行的情況,他們發布1.17.1版Container Toolkit、24.9.1版GPU Operator修補上述弱點。
根據CVSS風險評分,評為高風險層級的CVE-2024-0135、CVE-2024-0136值得留意。其中CVE-2024-0135為隔離不當產生造成的弱點,因為攻擊者藉由偽造的容器映像檔,可能竄改主機的二進位程式,CVSS風險評為7.6。
另一個漏洞CVE-2024-0136同樣涉及隔離不當,一旦攻擊者利用偽造的容器映像檔,就有可能導致不受信任的程式碼可被植入主機,且可被讀取,CVSS風險為7.6。
開源檔案同步工具Rsync存在重大漏洞,攻擊者有機會越界寫入,66萬臺伺服器恐曝險
駭客針對特定平臺發動攻擊,往往可能會鎖定預設安裝的元件而來,一旦這些元件存在弱點,就會導致搭配該作業系統的工作站或伺服器曝露於相關風險。最近公告有資安漏洞的檔案同步伺服器Rsync,由於廣泛運用於許多Linux作業系統,因此受到高度關注。
1月14日Red Hat產品安全工程師Nick Tait在Openwall資安社群討論區指出,經滲透測試員Aleksei Gorban與3名Google研究人員通報,Rsync存在6項漏洞,並指出其中最嚴重的弱點相當危險,因為攻擊者只要能匿名存取Rsync伺服器,就有機會執行任意程式碼,開發團隊同日發布3.4.0版修補上述漏洞。這些漏洞很可能會波及全球66萬臺伺服器,影響範圍將會相當廣泛。
根據CVSS風險評分,最嚴重的漏洞是由Google研究員Simon Scannell、Pedro Gallegos、Jasiel Spelman找到的CVE-2024-12084,這項弱點存在於3.2.7版以上的Rsync,發生的原因在於Rsync處理程序對檢查碼(checksum)的長度驗證不當,導致記體緩衝區溢位,CVSS風險評為9.8分(滿分10分)。
W3 Total Cache修補高風險漏洞,百萬WordPress網站曝攻擊風險
WordPress知名快取套件W3 Total Cache被發現存在CVE-2024-12365高風險的安全漏洞,可能有超過100萬個網站面臨資料洩露和伺服器資源濫用的威脅。雖然開發者已在2.8.2版本中修補漏洞,但大部分網站尚未更新。
該漏洞影響所有2.8.1及更早版本的套件,W3 Total Cache開發者已經在最新的2.8.2版本中修補了CVE-2024-12365。但是根據官方套件的統計資料顯示,尚有近6成網站使用2.7.7以下版本,換言之,大量網站仍暴露於風險之中。
其他漏洞與修補
◆Yubiko針對開源身分驗證套件pam-u2f發布資安公告,攻擊者有機會藉由重大漏洞繞過身分驗證
【資安防禦措施】
美國制裁中國資安業者,理由是參與Salt Typhoon攻擊電信業者及關鍵基礎設施
去年12月、今年1月初美國財政部外國資產控制辦公室(OFAC)兩度宣布制裁,對從事網路攻擊的中國資安業者下手,並指出這些公司不僅參與重大攻擊事故,也聽令於中國政府,甚至是協助或主導駭客的攻擊行動。如今OFAC再度出手,值得留意的是,這次與去年下旬傳出攻擊美國電信業者的事件有關。
1月17日OFAC針對參與網路攻擊的中國人士祭出制裁處份,其中一組人馬就是位於四川的中國網路資安公司四川聚信和(Sichuan Juxinhe Network Technology Co., LTD.),以及於上海活動的駭客尹克成(Yin Kecheng)。
其中,最引起關注的是聚信和,原因是他們涉嫌參與中國駭客組織Salt Typhoon攻擊美國電信業者的攻擊行動,OFAC指出,根據他們的調查,這家中國資安業者不僅直接參加Salt Typhoon活動,而且與中國國家安全部(MSS)保持密切聯繫。
近期資安日報
【1月17日】駭客公布1.5萬臺Fortinet防火牆的詳細組態配置資料、VPN帳密
熱門新聞
2025-01-30
2025-01-31
2025-01-26
2025-01-27
2025-01-27
2025-01-26
2025-01-27