本周思科、Citrix、IBM都发布资安公告,修补Identity Services Engine(ISE)、NetScaler、WebSphere Application Server重大层级的漏洞,其中又以思科公布两项满分的漏洞最受到关注,而Citrix则是在不到10天里两度修补NetScaler重大漏洞,也引起资安圈的注意。
除了上述的漏洞揭露,另一项AMI的BMC韧体满分漏洞CVE-2024-54085,也被美国网路安全暨基础设施安全局(CISA)纳入已遭利用的漏洞名单(KEV)而同样值得留意。此外,资安业者Positive Technologies揭露专门的锁定Exchange伺服器的攻击行动,当中提及台湾是骇客主要攻击的目标。
【攻击与威胁】
韩国再度成为北韩骇客组织Kimsuky的攻击目标,根据资安公司ENKI揭露,3月起Kimsuky滥用GitHub私有储存库与Dropbox云端服务,发动高度针对性的攻击行动,将开源云端平台转为攻击与资料泄漏基础设施。这波攻击以鱼叉式网钓邮件为开端,诱导受害者下载执行PowerShell恶意程式,最终在受害系统植入XenoRAT远端存取木马,持续收集和窃取敏感资讯。
本次事件的攻击链起始于伪装成韩国本地法律或金融机构的钓鱼邮件,攻击者会针对目标身分量身设计文件,例如债务通知或授权书等,文件中不仅包含受害者个人资料,内容设计也极具真实感,使收件人降低戒心。邮件附件通常为加密压缩档,解压密码直接附于邮件内文,受害者一旦点击压缩档内的捷径或文件,系统即会执行嵌入的PowerShell脚本,首先从Dropbox下载伪装为.docx或.pdf的恶意档案,接著进行特殊档案头改写与解压缩,最终释放并执行.NET格式的XenoRAT恶意程式。
【漏洞与修补】
附带一提的是,他们特别提及这项漏洞可能还会影响零信任解决方案Secure Private Access,企业无论是采用内部环境建置或是混合云模式部署,都会曝险,Citrix呼吁这些企业的IT人员也要更新搭配的NetScaler系统来因应。
【6月25日】勒索软体Qilin提供加盟主法律咨询服务引发资安界关注