上个月思科针对旗下防火墙用户提出警告,指出这些设备的VPN服务遭到密码泼洒攻击,如今该公司提出新的发现,还有其他厂牌的设备也遭遇类似攻击。
值得留意的是,不光是VPN系统成为攻击目标,还有数个厂牌的网路设备也是对方下手的对象,他们透过SSH连线尝试进行暴力破解攻击。
【攻击与威胁】
开源专案人力资源缺乏是常久以来的现象,若是有人愿意出手协助处理臭虫或是资安漏洞,照理来说,可说是求之不得。但在发生XZ Utils后门的供应链攻击之后,开源界也开始担忧,攻击者有可能假借协助的名义成为专案的维护者,并打算等到时机成熟再暗中埋入恶意程式码。
4月15日OpenJS基金会收到一系列的电子邮件,指出他们代管的热门JavaScript专案存在危急(Critical)漏洞,要求该委员会采取行动,并指派他们成为该专案的维护者著手处理,但究竟这项专案存在的漏洞为何,对方并未进一步说明。他们怀疑对方企图依循发动XZ及liblzma供应链攻击模式,趁机混入专案维护团队,待时机成熟才发动攻击。对此,他们依循OpenJS专案的资安政策,并未授予这些用户相关权限。
若是使用者的电脑没有修补上述漏洞,攻击者就会设法在这些装置触发漏洞、下载Visual Basic指令码(VBS),该指令码会抓取特定的JPG档案,并透过埋藏于其中的PowerShell程式码,下载经Base64编码处理的恶意酬载并还原,这些恶意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。
值得留意的是,为了避免资安系统察觉异状,攻击者不光是将恶意酬载及相关指令码存放于Google Drive或其他合法的云端服务,他们也挟持FTP伺服器及SMTP伺服器,来充当C2伺服器,而且,骇客绑架的SMTP伺服器,也会用于发动网路钓鱼攻击。
其他攻击与威胁
【漏洞与修补】
4月15日虚拟终端及网路档案传输工具PuTTY发布资安公告,指出该软体存在严重漏洞CVE-2024-31497,此为ECDSA私钥生成漏洞,攻击者一旦利用,就有机会恢复P521私钥并伪造签章,影响0.68至0.80版PuTTY,维护团队呼吁,用户应立即撤销受影响的私钥。
该漏洞之所以严重,是因为攻击者不需要长期控制伺服器,或持续拥有存取权,只需短暂入侵使用该私钥进行身分验证的伺服器,或是暂时获得储存私钥的Pageant工具存取权限,就有机会获得签章。也就是说,攻击者只需要短暂存取伺服器,即可产生严重的后果。
对此,开发团队发布0.81版修补上述漏洞,放弃过去产生k值的旧系统,针对所有DSA和ECDSA私钥类型,改用RFC6979演算法来因应。此外,部分版本的FileZilla、WinSCP、TortoiseGit、TortoiseSVN,也采用含有漏洞的PuTTY,用户应留意开发团队相关更新公告。
其他漏洞与修补