【资安日报】4月25日，思科证实防火墙零时差漏洞遭国家级骇客利用，于政府机关植入后门程式

针对思科防火墙而来的攻击行动近期不断传出，先是一个月前有人锁定提供远端存取VPN服务（RAVPN）的防火墙设备下手，进行密码泼洒攻击，现在传出有国家级骇客从去年12月开始，对其进行零时差漏洞攻击。

值得留意的是，这些骇客在攻击行动半年前就找到这些漏洞，而思科在攻击发生后的3个月才进行修补，受害情况有待研究人员进一步调查。

 

【攻击与威胁】

4月24日思科旗下的威胁情报团队Talos针对国家级骇客UAT4356（亦称Storm-1849）的攻击行动ArcaneDoor提出警告，指出对方锁定该公司旗下的ASA及FTD防火墙零时差漏洞CVE-2024-20353、CVE-2024-20359而来，于受害组织部署后门程式Line Dancer、Line Runner。

对于这起攻击事故的发现，Talos表示，今年初有客户通报ASA装置出现可疑活动，经调查对方从去年7月就开始进行漏洞利用尝试，同年11月建立攻击基础设施，大部分攻击在12月至今年1月出现。对此，思科已发布修补程式，并呼吁用户尽速套用。

针对这起零时差漏洞攻击，加拿大网路安全中心也提出警告，他们在与英国、澳洲网路安全中心联手，调查与政府机关采用的VPN服务有关的恶意活动时察觉此事。他们发现，过程中骇客借由WebVPN的连线阶段，进行未经授权存取。

防毒业者Avast揭露北韩骇客Kimsuky的软体供应链攻击，对方挟持防毒软体eScan的更新管道，透过中间人攻击（MitM），对发出更新请求的电脑派送恶意程式GuptiMiner，目标是在大型企业的网路环境部署后门程式，以及挖矿软体XMRig。

而针对前述提及的GuptiMiner，研究人员指出是相当复杂的恶意程式，其中一种功能是向攻击者的伺服器发出DNS请求，并从看似无害的图档取得恶意酬载，然后透过侧载的方式执行；此外，该恶意程式还能让攻击者假借受信任的凭证机构，为恶意酬载签章。

对此，研究人员向eScan及印度电脑紧急应变小组（CERT-In）通报此事，eScan于去年7月31日修补软体更新机制的缺陷。

而对于这些骇客的攻击手法，研究人员表示，对方主要透过已知漏洞而能在伺服器上部署Web Shell，其中最值得留意的两个漏洞是网页应用程式框架Laravel的RCE漏洞CVE-2021-3129，以及远端管理软体ScreenConnect身分验证漏洞CVE-2024-1709（CVSS风险评分为9.8、10），因为，他们利用这类漏洞得到远端控制的能力。

其他攻击与威胁

◆ 

【漏洞与修补】

为防范防毒软体难以因应的潜在威胁，不少资安业者推出端点防护与回应（EDR）系统，让企业组织能够找出长期埋伏的威胁，然而，这类系统的端点代理程式（Agent）也往往以最高权限运作，一旦出现弱点，攻击者不仅能让这类系统停止作用，甚至可以反过来用于攻击。

资安业者SafeBreach指出，他们针对Palo Alto Networks旗下的Cortex XDR解决方案进行调查，结果发现，该系统的Windows版代理程式仰赖一系列的政策规则，以及纯文字的Lua与Python组态档案来运作，一旦将其窜改，就有机会进行干扰。

针对本次揭露的漏洞，研究人员10个月前进行通报，Palo Alto透过自动更新予以修补。

其他漏洞与修补

◆

◆