资安业者SonicWall指出,他们在8月修补的重大漏洞CVE-2024-40766,疑似被用于攻击行动,如今陆续有资安业者公布调查结果,印证真有此事。
其中,最早透露的是资安业者Arctic Wolf,他们指出是使用勒索软体Akira的骇客所为,昨日另一家资安业者Rapid7也公布他们的发现,值得一提的是,这样的情况也得到美国网路安全暨基础设施安全局(CISA)证实,因为他们将这项漏洞加入已遭利用的漏洞名册(KEV)。
【攻击与威胁】
资安业者Zscaler揭露匿称为AguilaCiega、BlindEagle、APT-Q-98的骇客组织APT-C-36攻击行动,骇客约从今年6月开始,锁定哥伦比亚保险业的员工从事网路钓鱼攻击,过程里骇客冒充当地税务机关,意图散布RAT木马程式BlotchyQuasar。
这些钓鱼邮件通常会挟带PDF附件,骇客在邮件内文及PDF附档里面都写入指向ZIP档案的URL,一旦收信人点选,就会从Google Drive下载ZIP档,该压缩档的内容就是BlotchyQuasar。值得留意的是,掌管这个Google帐号的用户是哥伦比亚的地方政府机关,骇客很可能取得外流帐密资料而得,这样的情况使得收信人很容易降低警觉,以为资料来自政府单位而照做。
9月9日台湾复合螺丝及螺栓制造商世铠发布重大讯息,证实他们有部分资讯系统于当天早上遭受加密攻击,该公司循线找到加密源头,并阻断骇客继续加密的行为,目前正在著手复原系统。
而对于这起事故的影响范围,该公司并未透露,但表示他们初步评估对营运无重大影响。
该公司表示,他们已寻求外部资安顾问公司合作,共同因应这起资安事故,并全面强化相关防御及复原机制。
其他漏洞与修补
【漏洞与修补】
资料搜寻和分析解决方案业者Elastic推出资料图像化系统Kibana安全性更新8.15.1版,修补2项重大层级的漏洞CVE-2024-37288、CVE-2024-37285。
根据CVSS风险评分,较为危险的是CVE-2024-37288,这项漏洞发生的原因,在于Kibana的Amazon Bedrock Connector元件当中,存在「解序列化(deserialization)」的弱点,当Kibana尝试处理含有恶意酬载的YAML档案,就有可能触发,使得攻击者能够执行任意程式码,CVSS风险评为9.9分(满分为10分),影响8.15.0版Kibana。
另一个漏洞CVE-2024-37285也与解序列化有关,攻击者同样可借由特制的YAML档案触发,并执行任意程式码,但利用这项漏洞,攻击者必须事先得到具备指定权限的恶意使用者帐号,并结合特定的Elasticsearch、Kibana权限,此漏洞的CVSS风险评分为9.1,影响8.10.0至8.15.0版Kibana。
其他资安产业动态