在一月底农历新年过年之前,苹果对于旗下产品发布作业系统更新,范围涵盖电脑、行动装置、穿戴装置、影音播放装置,但引起外界关注的是,其中已有一项漏洞被用于实际的攻击行动。
针对这项漏洞的资讯,苹果并未透露太多资讯,仅表示遭到攻击的装置存在共通点,那就是它们搭配的作业系统早于iOS 17.2版。
【攻击与威胁】
去年7月底资安业者VulnCheck揭露一批可被用于作为初始入侵管道的漏洞,其中一个存在于合勤科技(Zyxel Communications)CPE通讯设备的漏洞CVE-2024-40891,引起资安业者GreyNoise的注意,因为这项漏洞迄今并未得到修补,也没有公开相关细节,但他们近期察觉有人将其用于散布僵尸网路Mirai变种的情况。对此,我们也向合勤科技的关系企业兆勤科技(Zyxel Networks)询问此事,该公司初步表示,此批受影响的设备生命周期已经结束(EOL)多年,现行产品线不受影响。
针对这起攻击行动发现的过程,GreyNoise安全研究暨侦测工程资深经理Glenn Thorpe表示,他们最初在1月21日发现这项漏洞被积极利用的现象,攻击者利用这项重大层级的命令注入漏洞,针对合勤旗下的CPE系列网路设备发动攻击,从而在这些设备执行任意命令,从而完全渗透系统、资料泄漏,或是入侵网路环境。GreyNoise研究团队透过物联网装置搜寻引擎Censys寻找曝险装置,结果他们找到超过1,500台合勤设备,这些设备大部分位于菲律宾,但土耳其、英国、法国也有装置曝险。
美亚钢铁提及他们的网页受到攻击,并表示根据他们的初步评估,没有个资或内部文件外泄的情况,依此判断应该不是勒索软体攻击。
其他攻击与威胁
◆资安研究人员Shubham Shah与Sam Curry发现,速霸陆(Subaru)车联网系统Starlink的管理面板存在重大安全漏洞,此漏洞允许攻击者利用车主个人基本资讯对车辆进行远端控制,包括启动引擎、解锁车门,以及查询精确到5公尺内的车辆历史位置记录。该漏洞影响范围广泛,涵盖所有美国、加拿大及日本连接Starlink的车辆。经研究人员回报后,速霸陆已在24小时内完成修补,并声明未发现有恶意滥用的情况。
此次安全事件的核心问题在于,攻击者只需极少的车主资讯例如姓氏和邮递区号,便能存取并控制特定车辆。此外,管理面板还可存取车主的个人资料,如地址、紧急联络人及帐单资讯,甚至能查询过去一年车辆位置记录。这些资讯的泄露不仅侵犯个人隐私,更可能被有心人士用于恶意目的,例如精确追踪车辆位置。