【资安日报】7月21日,SharePoint惊传零时差漏洞攻击,逾85台伺服器受害

在周末期间最重要的资安新闻,莫过于SharePoint零时差漏洞攻击的事故,揭露此事的资安业者Eye Security指出,这项漏洞是中度风险漏洞CVE-2025-49706的变形,但危险程度达到重大层级,迄今至少已出现两波大规模攻击行动。

对于其他资安事故的部分,登上热门新闻的Apache HTTP Server已知漏洞攻击事故相当值得留意,这项消息突显公布已有4年的资安漏洞现在仍有机会利用;另一起锁定生命周期终结的SonicWall防火墙设备活动也值得注意,代表尚有不少生命周期已经结束的设备仍持续运作,而成为攻击目标。

 

【攻击与威胁】

资安厂商Vulncheck发现有攻击者利用Apache HTTP Server的高风险漏洞,入侵伺服器部署加密货币挖矿恶意软体Linuxsys。这波攻击行动持续时间长且手法隐蔽,影响范围涵盖约400台主机,研究人员提醒企业应修补相关漏洞强化监控,以防主机遭到入侵滥用。

攻击行动锁定的是Apache HTTP Server高风险漏洞CVE-2021-41773,该漏洞容易被远端攻击者利用,并可绕过权限控管。研究人员表示,骇客透过自动化指令码,结合多个漏洞进行攻击,先取得目标主机权限,再下载名为Linuxsys的挖矿程式并执行,进行加密货币运算。

这波攻击最大的特点在于,攻击者并非直接从自己架设的主机散布恶意程式,而是先入侵第三方的合法网站,将恶意脚本和执行档偷偷放进这些网站,攻击指令码利用curl或wget等工具,自动从这些被入侵的网站下载设定档和主要程式,并且设计成如果一个网站下载失败,会自动尝试从其他被入侵的网站再次下载,这样不仅提高攻击成功率,也更难被发现。

去年初,英国工程公司Arup的香港子公司,遭遇首起Deepfake视讯会议诈骗,损失2亿港币,这类攻击手法宛如将商业电子邮件诈骗(BEC)手法重新包装,因此受到极大关注,但大家可能没注意到,近期新加坡、马来西亚也有类似事件发生,而且揭露的事件细节比先前更多,让我们能对其手法变化有更深入的认识。

在2025年3月12日,新加坡警察部队、金融管理局与网路安全局示警,说明发现AI深伪(Deepfake)冒充企业高阶主管的事件,因此揭露攻击手法,并提醒企业采取防范措施,但当时并未公布受害公司或报案细节。

到了4月7日,新加坡警察部队(SPF)宣布破获一起新的案件,使得真实受害情况曝光。案例中指出,3月底有跨国企业遭遇AI伪冒诈骗,损失49.9万美元(约新台币1,620万元),所幸在跨国合作追缉下,已冻结这笔资金。

其他攻击与威胁

 

【漏洞与修补】

7月15日Nvidia发布1.17.8版Container Toolkit、25.3.1版GPU Operator,修补资安漏洞CVE-2025-23266、CVE-2025-23267,其中又以重大层级的CVE-2025-23266特别值得留意,资安业者Wiz公布细节,指出攻击者只需要3行指令,就有机会透过Container Toolkit进行容器逃逸,从而广泛影响AI基础设施。

CVE-2025-23266的问题,在于Container Toolkit处理开放容器倡议组织(OCI)的挂钩(Hook)机制,攻击者可用来提升权限并执行任意程式码,一旦成功利用,就能提升权限、资料窜改、资讯泄露,或是阻断服务(DoS),CVSS风险评为9.0。

在Nvidia发布这份公告后两天,Wiz进一步揭露漏洞的细节,他们警告该漏洞将可能造成AI生态圈系统性的风险。因为Nvidia Container Toolkit广泛用于云端及SaaS供应商的AI服务,是所有主要云端供应商代管的许多AI与GPU服务的骨干。

 

【执法行动】

自从2022年俄罗斯入侵乌克兰之后,全名为NoName057(16)、台湾简称NoName057的俄罗斯骇客,屡屡发动DDoS攻击,先是对乌克兰及欧洲盟国下手,曾经对乌克兰伸出援手的台湾,也在去年9月遭受这些骇客大规模攻击,当时数发部表示他们掌握45起事故,后续在去年10月、今年1月,该组织再度对台湾出手,其中在今年1月号称对超过30个网站发动DDoS攻击,大部分是政府机关、地方政府、机场、港务机关。如今欧美执法机关联手,对这些骇客采取行动。

欧洲刑警组织(Europol)宣布,捷克、法国、芬兰、德国、义大利、立陶宛、波兰、西班牙、瑞典、瑞士、荷兰、美国等12国执法机关与司法机关联手,在他们与欧洲司法组织(Eurojust)居中协调之下,于7月14至17日从事跨国执法行动Operation Eastwood,对NoName057(16)的网路犯罪基础设施采取行动。相关调查得到欧盟网路安全局(ENISA)、比利时、加拿大、爱沙尼亚、丹麦、拉脱维亚、罗马尼亚、乌克兰的支持,资安机构Shadowserver基金会与abuse.ch也从中提供技术支援。

其他执法行动

日本政府上周释出勒索软体Phobos、8Base的解密金钥。

Phobos是2018年出现的勒索软体租用服务(Ransomware-as-a-Service)。虽然Phobos知名度不像其他勒索软体那么高,但感染范围却很广。它曾在2019年底名列最常见勒索软体第三名,仅次于Ryuk与Sodinokibi。2023年有骇客组织利用修改的Phobos加密程式改造成8-base勒索软体,曾于2024年利用8-Base入侵丹麦联合国机构的网路基础架构,窃走员工档案等内部资讯。

日本警方现已将Phobos及8Base的解密金钥释出,同时也提供英文版使用者指引。两项金钥也同时列于欧洲刑警组织(Europol)的勒索软体解密金钥网站NoMoreRansom。

 

近期资安日报