想要快速处理漏洞的修补,单靠研究人员及早通报是不够的,IT设备厂商必须设法加快漏洞的确认与修补,最近资安业者揭露NAS厂商威联通产品漏洞,再度突显此问题的影响。上周五(5月17日)资安业者watchTowr表示,他们已向威联通通报15个NAS漏洞,但仅有4个完成修补,大部分从通报至今已超过4个月却尚未处理。
事隔4日,威联通发布新闻稿公布处理情形,罕见的是,他们也对于修补速度过慢的情况做出承诺,表明日后针对重大及高风险层级漏洞,将于45日内完成处理,并发布修补程式。
【攻击与威胁】
研究人员指出,BlackTech向来的攻击目标集中在亚太地区,主要针对政府机关、研究机构、科技产业而来,但近期采用的攻击策略与过往有明显的不同。他们表示,Deuterbear与骇客先前使用的另一支恶意程式Waterbear有许多相似之处,但功能有所强化,例如:新的作案工具支援Shell Code外挂程式、使用HTTPS通讯协定与C2连线,以及在RAT木马程式作业期间会避免进行交握(handshakes),目的是不让资安系统察觉异状。
再者,他们发现Deuterbear采用新的Shell Code格式、会执行回避记忆体扫描的反制措施、并与恶意程式下载工具(Downloader)共用流量解密金钥,这些都是与Waterbear明显不同的地方。研究人员认为,从Waterbear到Deuterbear的演变,代表BlackTech在反制资安人员分析及回避侦测的工具开发上,出现显著的突破。
其他攻击与威胁
◆上周资安业者watchTowr表示,他们从去年12月至今,总共向NAS厂商威联通(QNAP)通报NAS作业系统QTS的15个漏洞,但截至目前为止,仅有4个得到修补,其余漏洞经过近半年仍未处理。
针对watchTowr所公布的消息,5月21日威联通也发布公告说明。该公司表示,他们在获报的15个漏洞当中,对于已经完成确认的漏洞登记了CVE编号,并指出5个他们完成确认的漏洞,皆于同日发布的QTS 5.1.7及QuTS hero h5.1.7版进行修补。这些漏洞是:CVE-2024-21902、CVE-2024-27127、CVE-2024-27128、CVE-2024-27129、CVE-2024-27130。而对于其他漏洞,威联通也在此公告透露处理的情形,承诺后续将著手处理CVE-2024-27131,以及另一个已登记CVE编号的漏洞,并坦承尚有3项漏洞正在向研究人员确认。
而关于watchTowr认为威联通修补漏洞速度太慢、多次延迟公布漏洞时间,威联通也在新闻稿中,明确提出修补时效的承诺。
备份与资料保护软体厂商Veeam,于5月21日发布Veeam Backup & Replication备份软体12.1.2.172更新版本,修补Veeam Backup Enterprise Manager(VBEM)集中管理控制台的4个漏洞,包含被列为重大资安漏洞CVE-2024-29849,还有2个高风险漏洞CVE-2024-29850与CVE-2024-29851,以及1个低风险漏洞CVE-2024-29852。
而在这次修补的VBEM漏洞中,最严重的是CVE-2024-29849,Veeam对此漏洞的严重性评为9.8分,允许未经身分验证的攻击者登入VBEM,等同允许攻击者任意执行VBEM的管理功能,这也意味著透过VBEM管理的多个备份环境面临重大风险,因为它们不仅因此暴露在攻击者面前,而能被任意存取,资料外泄的可能性大增。
其他漏洞与修补
【资安产业动态】
5月21日交友程式Tinder母公司Match Group,社交平台Meta,加密货币交易平台Coinbase、Kraken与Gemini,加密货币业者Ripple联手,创立Tech Against Scams联盟,宣布将共同打击网路爱情诈骗与杀猪骗局(Pig Butchering Scams)。
其实自去年夏天开始,Match Group、Coinbase与Meta已展开合作,利用这些公司在生态系统中各自独特的地位,来辨识新的威胁趋势,同时共享打击全球诈骗的最佳实践,并集体采取行动来保护使用者。
Meta资安长Guy Rosen表示,诈骗者与杀猪骗局背后的组织锁定许多网路服务上的使用者,令个别的公司很难窥得全貌,期望此一新的联盟能够借由分享见解与趋势,进而对全球的诈骗网路展开更有影响力的破坏行动。