企业部署但最终并未正式采用、而遗留在网路环境的IT系统,很有可能会遭到攻击者滥用。
最近资安业者Sygnia揭露的一起事故,就是这样的例子,骇客维持于受害企业活动的管道,就是该公司曾打算建置的灾难复原系统当中,所使用的F5 BIG-IP设备。而这些设备不仅直接曝露在网际网路上,还执行存在弱点的作业系统,而让对方有利用的机会。
【攻击与威胁】
在鉴识人员介入后,他们发现骇客再度散布恶意软体时,这些PlugX虽然会触发资安系统的警报,但骇客并未像之前的攻击行动,透过外部的C2来从事相关攻击,这样的作法极不寻常。 在受害组织全面采取补救措施的情况下,究竟骇客如何远端对执行老旧作业系统的Windows档案伺服器进行控制?鉴识人员进一步监控网路流量发现,PlugX于受害主机建立新的防火墙规则,并监听特定的网路连接埠,他们看到其中一台伺服器开放13742埠,并与F5 BIG-IP负载平衡设备进行连线。这些负载平衡设备曾是该企业灾难复原计划的规画内容,但该专案最后并未采用,这些设备后续就一直留在主要使用的网路环境上,使得骇客有机可乘,将其当作存取内部网路的管道。 业务范围扩及全球多国的台湾制药公司永信药品工业,昨日传出遭遇资安事故,上市生技医疗业永信投控在6月17日下午4时32分率先揭露此事,于证交所公开资讯观测站发布资安重讯,代重要子公司永信药品工业公告部分资讯系统遭受骇客攻击,同日傍晚6时,身为公开发行公司的永信药品工业也发布重讯,公开这起资安事故。 他们并表示,目前正对所有网域、网页及相关档案做全面彻底的扫描检测,待确保资讯安全后,会陆续恢复资讯系统运作。而我们在17日早上11时实际连至永信药品与永信国际投资控股的官方网站,仍是无法存取的情况,可能他们还在进行相关调查,所以网站未开放。 其他攻击与威胁 【漏洞与修补】
【资安产业动态】
【资安关键人物】