今天资安业者Palo Alto Networks公布的阻断服务漏洞CVE-2024-3393,就是典型的例子。虽然该公司将漏洞仅列为高风险,但由于已有实际攻击行动,IT人员最好尽速处理。
【攻击与威胁】
今年10月初始入侵管道掮客IntelBroker声称,他们在月初伙同另一组人马成功入侵思科,号称窃得大量开发专案相关资料,有研究人员根据骇客公布的资讯指出,这批资料的影响范围相当广泛,波及大型电信业者AT&T、Verizon、T-Mobile 、Vodafone,以及微软、SAP、及能源巨擘雪佛龙(Chevron)等知名企业,如今传出骇客再度公布部分内容。
根据资安新闻网站HackRead、SecurityWeek的报导,12月16日IntelBroker在骇客论坛BreachForums上,公开一批2.9 GB的资料,并宣称这些源自他们10月窃得的档案,整批资料的大小高达4.5 TB。
这些公布的资料内容为何?HackRead指出,涉及该公司的身分验证服务引擎(ISE)、安全存取服务边缘系统(SASE)、整合通讯平台Webex、云端DNS防护服务Umbrella、网路设备作业系统IOS XE及XR,以及无线区域网路控制器的映像档C9800-SW-iosxe-wlc.16.11.01。
人工智慧新创Anthropic与非营利研究机构Redwood Research联手进行研究,他们以Claude 3 Opus模型作为研究对象,模拟了一个矛盾的训练情境。在原本有益、诚实且无害的基础训练目标下,研究人员额外加入了无条件满足所有请求的假设性目标,并设置两种不同的使用条件,一种是模型认为回应会被用于训练的免费层级,另一种则是回应不会被用于训练的付费层级,此外,研究人员提供了一个隐藏的推理空间,用来观察模型在不同条件下的内部决策过程。
实验结果显示,模型在不同使用层级中的行为存在明显差异,而且,当研究团队进一步采用微调训练或真实的强化学习训练,模型的对齐伪装行为不但没有消失,反而在部分情境有所增加。即便训练后模型在表面上达到预期的安全要求,内部推理仍显示其对原始偏好的偏执。
【漏洞与修补】
资安业者Claroty指出,他们在中国网路设备业者锐捷网路(Ruijie Networks)提供中小企业及家庭用户的云端设备管理平台Reyee当中,找到10项漏洞,这些漏洞同时影响管理平台及纳管的Reyee OS网路设备,如果遭到利用,攻击者就有机会在所有采用云端平台管理的装置执行任意程式码,估计约有5万设备曝险。对此,在研究人员与美国网路安全暨基础设施安全局(CISA)的合作通报之下,锐捷网路透过云端管理平台缓解了所有漏洞。
其中,研究人员特别提及使用本质危险功能的漏洞CVE-2024-52324,原因是攻击者可借由发送恶意的MQTT讯息,从而在装置上执行任意作业系统层级的命令。
另一个他们提及的漏洞是CVE-2024-47146,这是能借由监听无线基地台设备Wi-Fi讯号得知设备序号的弱点,研究人员开发了名为Open Sesame的攻击手法,从而找到下手目标,然后借由云端主控台的漏洞,远端在受害设备执行任意程式码。他们强调,攻击者可在不知道Wi-Fi帐密的情况下,借此入侵到内部网路环境。
其他漏洞与修补