从上周到本周,有两起重大的资料外泄事故后续,引起外界高度关注,其中一起是发生在10月,初始入侵管道掮客IntelBroker声称窃得大量思科开发资料,另一起则是发生在11月,勒索软体骇客组织Hellcat宣称入侵施耐德电机开发环境。
其中较为值得留意的是思科的资料外泄事故,因为骇客已二度公布窃得的资料,迫使思科必须确认这批资料的真实性及影响范围,厘清并未发生其他资安事故。
【攻击与威胁】
11月名为Grep的人士在勒索软体骇客组织Hellcat的地下网站发文,声称手中持有法国电机设备大厂施耐德电机(Schneider Electric)的档案。骇客说是存取了施耐德电机的Atlassian Jira系统而得手这批资料,他们也要求价值12.5万美元的加密货币及法国长棍面包为赎金,但是如果该公司执行长公开承认被骇,赎金就可减半。施耐德电机之后证实遭骇。
根据资安新闻网站Cybernews的报导,12月29日骇客在资料外泄网站上,公布施耐德电机的公司资料开放大众存取,并表示这是作为对施耐德电机拒绝付赎金的报复。这批资料为40GB的档案,内有该公司的专案、程式码问题、外挂,以及超过40万行的用户资料。不过,截至目前为止,施耐德电机尚未对此做出评论。
德国福斯(Volkswagen,VW)汽车集团因旗下软体公司Cariad应用配置不当,导致VW、Seat、Audi和Skoda等品牌、逾80万车主云端资料库可从网际网路存取而有外泄风险。不过,福斯汽车表示,目前并未出现资料遭窃的迹象。
这项弱点的曝光,源于德国媒体明镜(Spiegel)的报导,非营利白帽骇客组织Chaos Computer Club(CCC)接获知情人士爆料,进行测试确认后,向Cariad及福斯通报此事。福斯集团指出,CCC于11月26日通知他们,Cariad后端系统API存在问题,致使任何人只要知道网址,都可以从外部网路存取到客户资讯。
资安业者VulnCheck指出,他们发现针对命令注入漏洞CVE-2024-12856而来的攻击行动,对象是中国网路设备厂商厦门四信科技(Four-Faith)的工业路由器,攻击者用路由器的预设帐密,从而在未经身分验证的情况下,远端注入命令。他们利用威胁情报搜寻引擎Censys找到近1.5万台曝险的路由器,研究人员于12月20日向四信通报,但截至目前为止,四信尚未修补相关漏洞。
值得留意的是,研究人员观察到有人从IP位址178.215.238[.]91尝试利用漏洞的迹象,他们留意到有研究人员已在11月初发现相关攻击行动,并发现骇客使用的使用者代理字串(User Agent),与他们看到的漏洞利用尝试行动大致符合,这代表利用这项漏洞的攻击行动可能已经为期接近2个月。
其他攻击与威胁