昨日(5月14日)微软发布本月的例行更新,总共修补60个漏洞,相较于
近年来,无所不在的骇客网路攻击,已让传统网路安全攻防有了进一步的延伸,扩展至认知安全的混合战,在2024 CYBERSEC台湾资安大会上,长年追踪国家级骇客攻击的Google Cloud Mandiant,不仅向所有台湾与会者介绍他们观察到的攻击活动,并说明了台湾所遭遇的真实现况。
Google Cloud Mandiant Intelligence主席Sandra Joyce指出,他们从2019年开始密切追踪的中国骇客组织Dragonbridge,当时该组织的锁定目标是,污蔑香港抗议者的名誉,但如今也针对台湾而来。她首次揭露该组织的最新一波活动,是围绕著2024年1月我国的总统大选而来。
她表示,Dragonbridge这次散布的内容有几个主轴,包括:试图污名化一些公众人物,指控美国与台湾串通灌票等,还有一些活动是针对台湾年轻人而来,鼓励他们投票的同时也夹带批评特定政党,以及许许多多不同议题。该组织针对台湾从事相关攻击,已经至少5年。
资安业者ESET针对名为Ebury的僵尸网路病毒攻击行动提出警告,指出该恶意程式从2009年开始活动,迄今已感染约40万台Linux主机,截至2023年底,仍有超过10万台主机遭到控制。
研究人员针对近期的攻击行动进行分析,指出骇客偏好先针对伺服器代管服务业者下手,然后向这些厂商租用虚拟机器的用户发动供应链攻击。
攻击者最初入侵伺服器的管道,是透过外流的帐密资料进行帐号填充攻击得逞。一旦成功存取目标主机,他们的恶意程式就会从wtmp、known_hosts搜括SSH连线清单,并窃取其中的SSH金钥,然后用于试图入侵其他伺服器;此外,他们也发现骇客利用伺服器上软体的已知漏洞,进一步提升权限的情况。
其他攻击与威胁
这些漏洞当中,最受到关注的是3个零时差漏洞,根据CVSS风险评分的高低,依序是:MSHTML平台安全功能绕过漏洞CVE-2024-30040、桌面视窗管理员(DWM)核心程式库权限提升漏洞CVE-2024-30051,以及Visual Studio阻断服务漏洞CVE-2024-30046。
其中,CVE-2024-30040、CVE-2024-30051已被攻击者积极用于攻击行动,美国网路安全暨基础设施安全局(CISA)同日将其列入已被利用的漏洞名册(KEV),要求联邦机构在6月4日前完成修补。而CVE-2024-30046的部分,则是在微软发布资安公告之前,就被公开揭露。
5月12日开源网路效能及配置管理框架Cacti发布1.2.27版,当中总共修补9个漏洞,其中最值得留意的是被列为重大等级的CVE-2024-29895、CVE-2024-25641。
其中,CVE-2024-29895为命令注入漏洞,攻击者可在Cacti伺服器的PHP元件启用register_argc_argv功能的情况下,对伺服器下达任意命令,过程中无须通过身分验证,CVSS风险评为10分。
另一个重大层级的漏洞CVE-2024-25641,此为任意档案写入漏洞,存在于套件汇入功能,一旦攻击者通过身分验证,且取得汇入范本的权限,就有机会在网页伺服器执行任意PHP程式码,从而发动远端程式码执行(RCE)攻击,CVSS风险评分为9.1。
其他漏洞与修补