回顾2024年10月资安新闻,关于台湾资安法,以及零信任、CMMC 2.0的最新发展是本月主要焦点之一,在资安威胁与事件方面,中国对全球认知作战的再次揭发引起国际及国内关注,还有台湾企业、组织遭受攻击的状况同样备受关切,我们整理7大焦点,帮助大家一同回顾本月的重要新闻与事件。
资安政策与标准新进展
在资安政策与标准发展上,这一个月的焦点,包括我们针对台湾《资安法》修正草案的现况、零信任网路安全策略,以及网路安全成熟度CMMC 2.0的报导。
以资安法草案现况而言,包括明定本法主管机关及各机关权责、针对纳管机关扩大稽核范围等多项增订规范,由于该法案目前已经通过一读,通过后将进一步确立法律位阶,促进政府跨机关的合作及区域联防;另一重要焦点是零信任,我们整理月前零信任之父的John Kindervag在台于半导体资安趋势高峰论坛演讲,盼促进零信任的网路安全策略,能深入半导体产业并落实;美国国防部本月正式公布研拟已久的CMMC规则,显示加强对国防承包商的网路安全要求已成必要条件。
此外,在FIDO网路身分识别发展上,FIDO联盟为促进FIDO2标准的扩大应用,改善Passkey的用户体验,公布CXP与CXF这两个规范草案,将推动安全凭证交换。
揭发中国对全球认知作战
日本电视台NHK耗时半年,追踪今年2月中国资安业者安洵信息外泄文件一事,当时已经指出该文件曝光中国政府对全球各地的网路间谍攻击手段,如今NHK发表专题内容揭露更多调查,突显中国对日本、台湾甚至全球发动「认知作战」。
事实上,许多资安业者早已强调这方面的威胁,像是在最近2023年、2024年的台湾资安大会主题演说中,来自Google TAG与Madiant等专家都已经阐释最新威胁研究,指出中国在零时差漏洞利用,以及网路舆论操弄的攻击行动不断,显示中国政府资助的资安威胁不只锁定系统,也企图混淆与分化民众的保台意识。
大规模DDoS攻击再度出现
继9月上旬亲俄骇客NoName057对台政府单位与企业的网站服务发动DDoS攻击,10月上旬再次出现第二波攻势,再次引发多家上市柜公司发布重大讯息,说明网站服务遭遇DDoS攻击,包括金融业第一银行、上柜公司青云,上市半导体大厂联电、纬创、世芯,以及上市知名传产台塑化等,相继发布资安事件重讯,揭露遭DDoS攻击事件,值得注意的是,这种骚扰式攻击恐成常态,以及世芯网站直到周一晚间才恢复并发布重讯,因应速度似乎相对较慢。
台湾重大资安事件
在DDoS攻击之外,还有多家上市柜公司遭遇网路资安事件,涵盖NAS、网路通讯,以及自行车、造船,轮胎、机车零组件、电子被动元件等不同产业,这些公告也反映现实中所存在的部分网路攻击情形。
●第二星期有1起,乔鼎遭受网路攻击事件。
●第三星期有2起,神脑、友讯,均表示有外网伺服器遭受骇客攻击。
●第四星期有5起,美利达、台船指出遭攻击状况与邮件系统帐号有关;正新是代加拿大子公司发布遭骇客网路攻击,该公司去年是代美国子公司发布;丰祥提到遭加密攻击,应是遭遇勒索软体攻击;华新科表示资讯系统遭受骇客网路攻击,后续已有勒索软体骇客RansomHub宣称是他们所为。
零时差漏洞利用状况依然严峻
骇客持续锁定企业产品发动零时差漏洞利用的攻击,令业者与企业防不胜防,以下我们整理出3大焦点:
●骇客锁定多个国际企业大厂产品发动零时差漏洞利用的攻击,使用各家业者在发现后或经通报后赶紧修补,包括Fortinet有1个(CVE-2024-47575),Cisco有1个(CVE-2024-20481),微软有2个(CVE-2024-43573,CVE-2024-43572),Ivanti有3个(CVE-2024-9379、CVE-2024-9380、CVE-2024-9381。其中Fortinet的攻击,已追查出是UNC5820的骇客组织所为,并且最早攻击迹象出现在4个月前。
●骇客锁定台厂飞立德科技ScienceLogic产品亦受关注,这是因为10月底ScienceLogic修补SL1平台已遭利用的零时差漏洞CVE-2024-9537,但由于10月初才传出云端运算平台Rackspace内部系统遭骇消息,并指出问题出在他们使用的第三方应用程式ScienceLogic,因此值得关切。
●消费端产品漏洞被骇客先发现锁定情形也有两例,包括Firefox有1个(CVE-2024-9680)、高通有1个(CVE-2024-43037)。
美电信业遭渗透引发高度关注
这个月传出美国多家电信业者遭中国骇客组织Salt Typhoon入侵,受害对象涵盖AT&T、Verizon、Lumen,引发美国政府与全球电信业的高度重视,目前消息指出骇客攻击重点放在美国政府合法向电信业要求资料的系统,这样的突破口,也显示攻击者持续借由不同环节管道来寻求入侵。
留意滥用红队演练攻击的态势
资安业者的红队演练工具遭攻击者用于攻击行动的情形,值得特别关注,过往常见被利用的工具是Cobalt Strike、Brute Ratel C4(BRC4),最近一个月更多消息显示,关于滥用MacroPack、EDRSilencer的消息也不少,有多起新闻已经指出这样的状况,而且上月台湾无人机制造商遭攻击被揭露,曾提及攻击活动会使用EDRSilencer的情形,显示台湾企业同样要留意各种滥用这类型工具的威胁态势。
在10月双十国庆这一星期,在关注庆祝活动与中共军事演习行动之余,资安相关新闻同样引人注目,在资安防御方面,零信任的议题最受关注,因为全球第一个提出零信任架构的资安专家John Kindervag今年二度来台,特别的是,上月他是在SEMICON Taiwan 2024召开的半导体资安趋势高峰论坛发表演说,显示零信任在全球资安已是显学,半导体产业要做好资安,当然也必须了解并落实这个概念。
近年来零信任虽然受到各界广泛讨论,但也渐渐产生一些认定与推动的歧见,此次John Kindervag远道而来,分享其在网路战争与零信任架构上的深刻见解,因此他特别点出4个常见谬误,以及企业导入零信任架构的五步骤,有助于大家重新正确理解零信任的基本概念。
在资安事件方面,有3起与台湾息息相关的事件需要我们重视,其中以骇客组织NoName057对台发动第二波DDoS攻击最受关注,包括联电、纬创、世芯等半导体大厂,以及知名传产台塑化等上市柜公司,均重讯揭露遭遇DDoS攻击。由于这些消息发布多集中于周末期间,加上该骇客组织攻击欧洲多国关键CI网站服务之后,一再锁定台湾攻击,这种骚扰式攻击恐成常态,国人应持续警戒,不可松懈。
●联电、纬创、世芯、松上、台塑化、发布重讯表示遭DDoS攻击,亲俄骇客组织NoName057再次宣称是他们所为,数十个市公所与地检署网站也是其目标。
●储存设备业者乔鼎资讯发布重大讯息,说明遭遇网路攻击,已启动防护机制并对受害主机进行隔离。
●网传PChome疑似资料库外泄,网路家庭澄清并无此事,但该公司研判可能遭遇撞库攻击惹议,后续状况值得留意。
●美国自来水厂American Water提交网路安全事件报告,说明发现攻击时已切断某些系统与网路的连结,营运未受影响。
●富达投资向美国缅因州等通报客户个资外泄事故,7.7万客户个资受影响。
●Internet Archive遭骇,首页内容遭置换,并发生逾3,100万笔帐号外泄。
这一星期适逢多家IT厂商发布每月例行安全更新,包含微软、SAP等众多业者针对多项重大漏洞释出修补,企业组织应尽快进行评估与落实修补、缓解弱点的作业,还有8个漏洞新发现已遭利用(包含2个已知漏洞),格外需要留意。
●微软修补5个已被公开的零时差漏洞,其中有2个已遭利用,分别是涉及MSHTML的漏洞CVE-2024-43573,以及涉及MMC的漏洞CVE-2024-43572。
●高通修补多款晶片组中的零时差漏洞CVE-2024-43037,Google TAG指出已有利用迹象,后续Andorid系统的修补时程值得留意。
●Ivanti修补云端服务设备CSA的3个零时差漏洞,分别是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381,指出已有部分用户的系统遭遇漏洞滥用活动。
●Mozilla紧急修补Firefox的零时差漏洞CVE-2024-9680,通报的资安业者ESET指出已有攻击者试图利用这项漏洞。
●Fortinet在2月修补的已知漏洞CVE-2024-23113,以及Veeam在9月初修补的已知漏洞CVE-2024-40711,近日发现有骇客针对未修补用户攻击的情形,尤其后者已遭勒索软体攻击者锁定。
至于资安威胁态势方面,大型电信公司遭渗透一事,引发国际关注。美国有多家电信业者遭中国骇客组织Salt Typhoon入侵,包括AT&T、Verizon与Lumen,而且骇客是针对特定目标而来,也就是针对美国政府合法向电信业要求资料的系统。此事件不仅引发美国政府的高度关注,全球电信业者也需要警惕。
回顾10月第四星期的资安新闻主要焦点,莫过于如今NHK耗时半年前往7国继续深入调查此事,并以记录片形式揭发此威胁手段,强调中国现在的网路攻击不只针对系统,网路攻击也同时针对民众,透过大量网路舆论操弄的影响力行动来发动「认知战」。事实上,近年许多资安业者都在持续强调这方面的威胁,需要更多国人重视这类问题。
在资安威胁与警讯上,有两则重要新闻,一是当心中国骇客组织IcePeony锁定网页伺服器注入Web Shell,以及针对IIS伺服器建立后门IceCache的状况,资安业者发现该组织从去年就锁定亚洲多国;另一是注意新兴勒索软体Cicada3301,有资安业者指出这是今年6月才开始出现,但最近3个月内已有30家企业组织遭受攻击,主要锁定企业的VMware虚拟化平台、NAS设备。
在资安事件方面,台湾这一星期就有5家上市公司发布资安重讯,包括美利达、丰祥-KY、华新科、台船,以及正新代加拿大子公司发布,涵盖产业包括自行车厂、轮胎厂、机车零配件厂、被动元件厂,以及国内最大造船厂。其中华新科的事故成主要焦点,因为后续已有媒体报导指出,勒索软体骇客RansomHub在暗网宣称握有该公司150 GB的机密资料;另一焦点在于,有两家公司指出遭攻击状况与邮件系统帐号有关,唤起国内对这方面的警惕,因为这类情形过往很少登上重讯版面。
●自行车厂美利达在21日发布重讯,说明侦测到部份邮件系统使用者帐号遭攻击,已启动防御与修改使用者帐密。
●轮胎厂正新于21日代表旗下Cheng Shin Rubber Canada发布重讯,说明该子公司部份资讯系统遭受骇客网路攻击。
●电机机械业丰祥-KY在22日发布重讯,说明公司资讯系统在凌晨遭受加密攻击,已查出加密源头并阻断,正在恢复系统。
●被动元件厂华新科在23日发布重讯,说明部份资讯系统遭受骇客网路攻击。
●国内最大造船厂台船在24日发布重讯,说明侦测到部分邮件系统使用者遭攻击,已启动防御与修改使用者帐密。
国际间则有2起事故受关切,包括思科坦承客户支援网站资料外流,强调公司内部并未遭骇,以及资安业者ESET在以色列的合作伙伴传出遭受攻击,ESET强调公司内部并未遭到入侵,正与当地合作伙伴调查此事。此外,今年8月日本马达大厂尼得科遭骇,如今有进一步的调查结果公布,研判骇客之所以得逞是因为取得了员工VPN帐密资料。
在漏洞利用方面,这一星期有3个零时差漏洞利用需要重视,攻击者锁定Fortinet、Cisco与ScienceLogic产品,显现出企业产品成为攻击目标的态势依然显著。有一起已调查出幕后攻击者,资安业者Mandiant指出,关于锁定Fortinet漏洞的攻击,已发现是名为UNC5820的骇客组织所为,并且是在6月底就出现尝试利用迹象。
●Fortinet修补涉及FortiManager的零时差漏洞CVE-2024-47575,Mandiant在公告后隔天揭露,有骇客组织在4个月前就将其用于实际攻击行动。
●Cisco针对旗下多款产品修补51个漏洞,其中包含针对零时差漏洞CVE-2024-20481的修补,该公司PSIRT团队在发布修补时即指出有遭利用迹象。
●ScienceLogic修补SL1平台的零时差漏洞CVE-2024-9537,美国CISA已将此漏洞列入已知漏洞利用清单。
●微软在7月修补SharePoint的漏洞CVE-2024-38094,以及Roundcube在6月修补Webmail的漏洞CVE-2024-37383,近日发现有骇客针对未修补用户攻击。
还可以留意的是,苹果在9月修补恐影响MDM行动装置管理平台的漏洞CVE-2024-44133,有业者示警,指出疑似有漏洞利用迹象。
零时差漏洞利用
●储存设备业者乔鼎资讯发布重大讯息,说明遭遇网路攻击,已启动防护机制并对受害主机进行隔离。
●网传PChome疑似资料库外泄,网路家庭澄清并无此事,但该公司研判可能遭遇撞库攻击惹议,后续状况值得留意。
●美国自来水厂American Water提交网路安全事件报告,说明发现攻击时已切断某些系统与网路的连结,营运未受影响。
●富达投资向美国缅因州等通报客户个资外泄事故,7.7万客户个资受影响。
●Internet Archive遭骇,首页内容遭置换,并发生逾3,100万笔帐号外泄。
●高通修补多款晶片组中的零时差漏洞CVE-2024-43037,Google TAG指出已有利用迹象,后续Andorid系统的修补时程值得留意。
●Ivanti修补云端服务设备CSA的3个零时差漏洞,分别是CVE-2024-9379、CVE-2024-9380、CVE-2024-9381,指出已有部分用户的系统遭遇漏洞滥用活动。
●Mozilla紧急修补Firefox的零时差漏洞CVE-2024-9680,通报的资安业者ESET指出已有攻击者试图利用这项漏洞。
●Fortinet在2月修补的已知漏洞CVE-2024-23113,以及Veeam在9月初修补的已知漏洞CVE-2024-40711,近日发现有骇客针对未修补用户攻击的情形,尤其后者已遭勒索软体攻击者锁定。
在资安威胁与警讯上,有两则重要新闻,一是当心中国骇客组织IcePeony锁定网页伺服器注入Web Shell,以及针对IIS伺服器建立后门IceCache的状况,资安业者发现该组织从去年就锁定亚洲多国;另一是注意新兴勒索软体Cicada3301,有资安业者指出这是今年6月才开始出现,但最近3个月内已有30家企业组织遭受攻击,主要锁定企业的VMware虚拟化平台、NAS设备。
在资安事件方面,台湾这一星期就有5家上市公司发布资安重讯,包括美利达、丰祥-KY、华新科、台船,以及正新代加拿大子公司发布,涵盖产业包括自行车厂、轮胎厂、机车零配件厂、被动元件厂,以及国内最大造船厂。其中华新科的事故成主要焦点,因为后续已有媒体报导指出,勒索软体骇客RansomHub在暗网宣称握有该公司150 GB的机密资料;另一焦点在于,有两家公司指出遭攻击状况与邮件系统帐号有关,唤起国内对这方面的警惕,因为这类情形过往很少登上重讯版面。
●自行车厂美利达在21日发布重讯,说明侦测到部份邮件系统使用者帐号遭攻击,已启动防御与修改使用者帐密。
●轮胎厂正新于21日代表旗下Cheng Shin Rubber Canada发布重讯,说明该子公司部份资讯系统遭受骇客网路攻击。
●电机机械业丰祥-KY在22日发布重讯,说明公司资讯系统在凌晨遭受加密攻击,已查出加密源头并阻断,正在恢复系统。
●被动元件厂华新科在23日发布重讯,说明部份资讯系统遭受骇客网路攻击。
●国内最大造船厂台船在24日发布重讯,说明侦测到部分邮件系统使用者遭攻击,已启动防御与修改使用者帐密。
国际间则有2起事故受关切,包括思科坦承客户支援网站资料外流,强调公司内部并未遭骇,以及资安业者ESET在以色列的合作伙伴传出遭受攻击,ESET强调公司内部并未遭到入侵,正与当地合作伙伴调查此事。此外,今年8月日本马达大厂尼得科遭骇,如今有进一步的调查结果公布,研判骇客之所以得逞是因为取得了员工VPN帐密资料。
在漏洞利用方面,这一星期有3个零时差漏洞利用需要重视,攻击者锁定Fortinet、Cisco与ScienceLogic产品,显现出企业产品成为攻击目标的态势依然显著。有一起已调查出幕后攻击者,资安业者Mandiant指出,关于锁定Fortinet漏洞的攻击,已发现是名为UNC5820的骇客组织所为,并且是在6月底就出现尝试利用迹象。
●Fortinet修补涉及FortiManager的零时差漏洞CVE-2024-47575,Mandiant在公告后隔天揭露,有骇客组织在4个月前就将其用于实际攻击行动。
●Cisco针对旗下多款产品修补51个漏洞,其中包含针对零时差漏洞CVE-2024-20481的修补,该公司PSIRT团队在发布修补时即指出有遭利用迹象。
●ScienceLogic修补SL1平台的零时差漏洞CVE-2024-9537,美国CISA已将此漏洞列入已知漏洞利用清单。
●微软在7月修补SharePoint的漏洞CVE-2024-38094,以及Roundcube在6月修补Webmail的漏洞CVE-2024-37383,近日发现有骇客针对未修补用户攻击。
还可以留意的是,苹果在9月修补恐影响MDM行动装置管理平台的漏洞CVE-2024-44133,有业者示警,指出疑似有漏洞利用迹象。