本周二有许多软体业者与工控系统厂商推出每月例行更新,包含微软、Adobe、SAP、西门子、施耐德电机,这些公司揭露与修补的漏洞,目前尚未出现遭到利用的迹象。
话虽如此,还是有些漏洞引起研究人员的关注。以微软本次公布的漏洞为例,许多研究人员特别提及要注意Hyper-V漏洞CVE-2024-21407。资安业者Rapid7警告,虽然微软表示攻击者必须收集特定的环境资讯才能利用这项漏洞,但也提醒在Hyper-V主机上,完全不需取得特殊权限。
【攻击与威胁】
研究人员指出,这些骇客在加密电脑档案后透过纯文字档案或弹出式视窗留下勒索讯息,强调他们只要钱、没有政治动机,受害组织必须使用即时通讯软体TOX Messenger联系,讨论支付赎金事项,换取对方提供解密金钥,并且删除手上窃得的档案。 骇客要胁若是受害组织不愿付钱,他们将反复对其发动攻击。值得留意的是,研究人员并未交代这些骇客如何入侵受害组织,我们仍须关切对方是透过何种管道渗透。 苹果应用程式市集App Store出现冒牌的Leather加密货币钱包 资料来源 3月12日西门子发布11则资安公告,当中总共公布214个漏洞,约有四分之三(157个)与名为SIMATIC RF160B的行动装置有关,这些为2017年至2022年公布的第三方元件漏洞,有可能让攻击者在具有特殊权限的处理程序之中,任意执行程式码,整体的CVSS风险评分为9.8,该公司发布2.2版韧体予以修补。 特别的是,其余漏洞多与工业应用程式管理平台Ruggedcom APE1808有关。该公司在2则公告里共提及45个漏洞,皆与该系统整合的次世代防火墙FortiGate有关,这些都是Fortinet公布的已知漏洞,整体的CVSS风险评分也达到9.8分。 资料来源 2月底IT业者Progress针对应用程式开发平台OpenEdge发布资安公告,指出该系统存在身分验证绕过漏洞CVE-2024-1403,影响其身分验证闸道 OpenEdge Authentication Gateway(OEAG)、管理伺服器(AdminServer)元件,一旦OEAG的网域设置在与OpenEdge系统相同的网域,使用者可透过作业系统本机身分验证提供者产生的帐号进行登入,在OpenEdge进行身分验证的例行流程存在弱点,而有可能导致未经授权的存取。 此外,使用者若透过OpenEdge Explorer(OEE)或OpenEdge Management(OEM)元件连接管理伺服器,也有可能触发这项漏洞。此漏洞的CVSS风险评分达到10分,该公司推出11.7.19版、12.2.14版、12.8.1版修补上述漏洞。 3月6日资安业者Horizon3.ai公布漏洞的细节,以及概念性验证(PoC)程式码,并表示该漏洞有可能存在其他的攻击面,使得攻击者能用来远端执行程式码。 资料来源 1.
【漏洞与修补】
【其他新闻】