资安业者Akamai指出,他们看到CVE-2024-22024已被用于攻击行动,并在2月11日出现高峰,当时有80个IP位址发出24万次尝试利用漏洞的行动,对于3万台Ivanti主机散布恶意程式。
Shadowserver基金会也有类似的发现,他们指出约有3,900台Ivanti设备曝露于CVE-2024-22024的风险,此外,该基金会也提及仍有1,000台主机存在CVE-2024-21887的弱点。
研究人员Yutaka Sejiyama也公布调查结果,他指出,截至2月15日为止,全球可透过网际网路存取的Ivanti主机有24,239台,目前约有10,603台套用1月31日的修补程式,但修补CVE-2024-22024的主机仅有5,107台,换言之,至少约有1.3万台主机尚未修补上述漏洞。
资料来源
1.
3.
美国网路安全暨基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI),以及五眼联盟相关机构联手,针对中国骇客组织Volt Typhoon攻击美国关键基础设施的情况提出警告,并指出这些骇客在部分受害组织活动超过5年。
这些机构表示,该骇客组织已破坏美国水力设施、废水处理系统、交通运输系统、能源、电信业者等关键基础设施的IT网路环境,其攻击行动当中的主要手法,就是广泛采用寄生攻击(LotL),并滥用外流的帐号,以及落实高强度的操作安全,而能够长时间在受害系统进行活动,并且不被察觉。
Volt Typhoon在发动攻击之前,会广泛对目标组织的网路架构进行侦察,然后通常利用曝露在网际网路上的路由器、VPN、防火墙等设备,利用已知或未知漏洞得到网路环境的初始存取权限,再透过权限提升漏洞得到管理员的帐密资料,并利用远端桌面协定(RDP)进行横向移动至网域控制器(DC),然后采取寄生攻击在目标网路进行调查,并从网域控制器取得AD的资料库NTDS.dit,从而完全入侵,并著重存取操作科技(OT)资产的能力。上述机构也针对该组织的攻击行动,提供防御措施及入侵指标(IoC)。
资安业者Fortinet揭露新一波的窃资软体WhiteSnake Stealer攻击行动,骇客上架nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends、TestLibs111等PyPI套件,若是开发人员不慎安装,执行Windows作业系统的电脑就有可能被植入窃资软体,从而在浏览器、加密货币钱包,以及网路应用程式WinSCP、CoreFTP、Windscribe、Filezilla、AzireVPN、Snowflake、Steam,还有即时通讯软体Discord、Signal、Telegram的使用者资料。
研究人员指出,骇客在上述套件setup.py档案当中,嵌入了Base64编码的原始码或是Python指令码,能根据目标装置的作业系统版本,在PyPI套件安装的过程中,部署对应的恶意酬载并执行。
资安业者Snyk在容器命令列工具runC、映像档建置工具BuildKit当中,发现了4个漏洞,分别是:CVE-2024-21626、CVE-2024-23651、CVE-2024-23652、CVE-2024-23653,并将其命名为Leaky Vessels,CVSS风险评分介于8.6至10分。
一旦上述漏洞遭到利用,攻击者就能进行容器逃逸,并对底层主机进行未经授权的存取,从而挖掘系统的帐密资料、使用者资料等各式敏感资讯,以便用于下一阶段的攻击。研究人员指出,虽然这些漏洞尚未出现遭到利用的迹象,但由于上述漏洞广泛影响低阶容器引擎元件、容器建置工具,他们呼吁IT人员应检查容器环境的配置,以及相关软体供应商近期的更新公告,以便在修补程式发布后尽速修补。
对此,维护runC的开发团队于1月31日发布1.1.12版、Docker同日也对buildkit发布0.12.5版修补上述漏洞,GCP、AWS、Ubuntu也公告将runC更新至1.1.12版。
2月9日韩国国民大学的研究人员宣布,他们在韩国资讯安全局(KISA)的经费挹注下,成功破解勒索软体Rhysida资料加密的方法,骇客使用AES-256-CTR演算法对档案进行间歇性加密(intermittent encryption),研究人员利用他们发现的弱点,从而反向将档案恢复原本的状态,KISA在网站上提供了自动解密工具。
不过,他们并非首度破解该勒索软体的研究团队。研究人员Fabian Wosar指出,在此之前至少有3个团队找到这项漏洞,但选择私下协助受害组织解密档案。该名研究人员表示,他在5月找到漏洞,法国CERT在6月发布未公开的论文,防毒软体业者Avast去年10月发现该弱点,而对于KISA提供的解密工具,该名研究人员表示只适用于Windows执行档版的勒索软体,但无法复原虚拟环境ESXi或PowerShell酬载加密的档案。
资料来源
1.
3.
近期资安日报