【资安月报】2024年8月

回顾2024年8月资安新闻,本月适逢Black Hat USA 2024与Def Con大会于美国拉斯维加斯登场,最新漏洞与研究成果揭露的消息不断,持续引发资安研究人员的重视,还有其他重要资安防护与威胁方面的消息也不能忽视,我们整理6大焦点,帮助大家快速回顾重要资安态势。

焦点1:在一年一度的Black Hat USA大会上,每年都有许多全球顶尖资安研究人员揭露最新的研究成果,今年也不例外,包括台湾的戴夫寇尔首席资安研究员蔡政达(Orange Tsai),他不仅探索了Apache HTTP Server中存在的架构问题,揭开名为Confusion Attacks的全新攻击面向。

而在关注这些漏洞研究之余,今年还有一个很特别的重点,由于2024年底适逢美国总统大选,因此本届Black Hat大会开场主题座谈,就是聚焦民主与选举安全的探讨,场中不仅有美国CISA局长Jen Easterly出席,还有欧盟ENISA网路安全与营运长Hans de Vries,以及英国NCSC执行长Felicity Oswald,强调巩固投票安全机制之余,新挑战是面对选举过程的错误讯息的传播,指出对手更专注在破坏选举过程的印象,而不是直接入侵选举过程。换句话说,他们的目的是让选民感到他们的选票没有保障。

焦点2:因应日后量子破密威胁所设计的后量子密码学(PQC)标准,在8月13日有3款标准率先正式出炉。

美国NIST指出,在通用加密方面,以FIPS 203(ML-KEM)为主要标准,在数位签章方面,以FIPS 204为主要标准(ML-DSA),FIPS 205(SLH-DSA)可作为备用方法使用。

虽然PQC标准还在持续发展,像是FIPS 206预计在年底发布,并且还在继续评估其他演算法,但由于全面转换需要时间,如今这3个PQC标准已经发布,需要更多企业组织意识到:公钥密码系统的全面升级与转换,现在就应该著手准备与进行。

焦点3:趋势科技在黑帽大会展示深度伪造(Deepfake)侦测技术解决方案受瞩目,因为这方面的威胁讨论多年,过去我们常看到一些科技大厂发起这方面的侦测竞赛,希望大家发展防护技术,如今该公司不仅先释出提供给一般使用者的工具,也透露这样的功能将纳入其商用解决方案之中。

此外,到了8月底,另一家以影音工具闻名的讯连科技在他们的用户大会上,公开说明已开发出DeepFake深伪侦测工具。这些商用产品的新功能发表,均显示这方面技术的突破。

焦点4:关于骇客锁定企业产品的零时差漏洞利用上,这个月有一起重大事件发生,那就是──SASE供应商Versa Networks的产品遭锁定,导致造成5家ISP网路服务供应商及MSP代管服务供应商受害。

这起事件是电信业者Lumen旗下的资安实验室Black Lotus Labs揭露,指出是中国骇客组织Volt Typhoon发起Versa Director零时差利用攻击(CVE-2024-39717),并说明其攻击手法,包括骇客先透过曝露于公开网路的Versa管理埠存取系统,再利用零时差漏洞并部暑一个名为VersaMem的Web Shell,借此拦截与搜集凭证,使攻击者能以经过验证的用户身分,存取下游的客户网路。

值得我们注意的是,骇客锁定企业产品的零时差漏洞利用的状况日益严峻,并有越来越多IT供应商成为目标,Versa Networks这次事件就是最新一例,中国骇客锁定其产品的零时差漏洞来入侵ISP与MSP业者。

焦点5:在勒索软体威胁方面,这个月有两大值得关注的焦点,首先我们看到,Zscaler一份最新报告指出,有勒索软体集团Dark Angels今年成功勒索一家企业7,500万美元(约24亿元),也就是不只勒索金额狮子大开口,而且还勒索成功,区块链分析业者Chainalysis也证实此状况。这样的态势,引起这些业者忧心有其他骇客集团仿效。

另一是今年上半才现身的RansomHub勒索软体,美国多个安全机构发布在8月发布联合公告,指出全球至少210个企业组织受害,因此提供该组织的入侵手法(TTP)与入侵指标(IOC),呼吁外界对于该组织所带来的危害更要有所警觉。

焦点6:在AI资安方面,近期有不少重要新闻,像是微软、Nvidia、英特尔及Google等宣布成立安全AI联盟CoSAI,目标是建立一个协作生态体系,以解决开发者与采用者在确保AI技术安全时,面临遵循指南与标准不一或各自独立的状况。

这个月还有一些重要新闻同样值得关注,例如,今年美国政府正强调AI长的重要性,以负责主导及监督AI技术的使用,并考虑安全及可靠性;在AI安全及可靠性评估的工具方面,美国CISA释出相关软体测试平台Dioptra 1.0版;在产业端有趋势科技强调用AI做资安风险管理要有新作法,特别的是,他们还预告要用AI帮助计算风险损失金额, 并能预测攻击路径。

 

这一星期Black Hat USA 2024于美国拉斯维加斯登场,今年是第27届,照往年惯例,有很多资安新闻都在此时发布,特别的是,今年新纳入的AI Summit研讨会于当地时间6日举行,趋势科技也在一场演说中展示侦测深伪(Deepfake)商用解决方案,同时阐释AI世代的企业资安风险管理差异,帮助大家因应未来的局势。

黑帽大会主活动于7日与8日展开,当中有许多全球顶尖资安研究人员揭露最新的研究成果,我们在这一星期资安日报的新闻,也陆续报导相关消息。

●赛门铁克揭露6起攻击者滥用合法云端服务的攻击行动,不仅指出这些手法日趋复杂,特别的是,研究人员提及中国骇客组织UNC5330散布Grager后门程式,攻击目标是台湾、香港、越南的企业组织。
●德国CISPA亥姆霍兹资讯安全中心揭露GhostWrite漏洞,问题发生在阿里巴巴旗下平头哥半导体(T-Head)所生产的RISC-V处理器玄铁C910,并指出其影响范围可能很广泛且难以修补。
●Zenity研究人员公布了如何将Copilot变成骇客武器的最新研究,并释出新的LOLCopilot红队工具模组,当中主要探讨骇客如何在渗透后利用Microsoft Copilot来搜寻、解析并窃取敏感资料,而且不会产生日志。
●资安业者Bitdefender揭露Solarman太阳能发电监控系统、宁波德业(Deye)逆变器的漏洞,两家业者在接获通报后皆著手修补。(研究人员是在美国黑帽大会附近另一场于8日到11日举行的DEF CON 32资安会议展示这项成果。)

台湾资安研究人员也在本次黑帽大会揭露重要发现,并且于台湾时间周末登场,因此我们在本期资安周报先行整理。例如,在漏洞消息方面,本星期共有3个漏洞利用状况值得我们重视,其中一项已知漏洞的防范,需要国内特别重视,因为资安业者指出有中国骇客利用该漏洞入侵台湾研究机构。

(一)思科旗下Talos揭露APT41针对台湾政府所属研究机构的攻击行动,当中具体列出该组织的手法,以及使用已知漏洞CVE-2018-0824,将恶意程式ShadowPad、Cobalt Strike等攻击工具植入这个研究机构。
(二)开源ERP系统Apache OFBiz在今年5月修补的漏洞CVE-2024-32113,大家要当心!因为最近出现攻击者锁定利用这个管道的状况。SANS网路风暴中心指出,最近利用此漏洞的攻击行动,其目的是将僵尸网路病毒Mirai植入OFBiz。
(三)在Android的8月例行更新中,包含1个已遭利用的零时差漏洞CVE-2024-36971修补。该漏洞今年6月公布时存在Linux作业系统核心,但该漏洞也影响到Android系统,后续Google TAG小组发现有此漏洞的针对性攻击迹象。

还有2个与台湾有关的漏洞消息,首先是美国CISA针对台湾视讯监控设备厂商升泰科技(Avtech)发布警告,指出其产品存在漏洞CVE-2024-7029并被用于攻击行动, 但升泰尚未公布缓解措施,因此CISA特别提供可降低此漏洞遭利用的作法;另一是上月底PKfail漏洞揭露后,在本星期资安周报中,在资安防御上有一个重要消息,后量子密码学(PQC)标准正式出炉,首先发布的有3个标准,分别是FIPS 203、FIPS 204与FIPS 205,这意味著PQC迈入新的里程碑,如今企业组织在因应未来量子破密威胁上,已经可以开始行动,因为将公钥密码系统转换需要一定的时间。

国内还有3项发展值得关注,包括数位部公布确保机关之间资料安全传输的T-Road最新进展,以及鹰眼识诈联盟揭露AI侦测技术用于金融防诈的成效,以及专注诈骗防治与数位安全议题的「台湾数位信任协会」成立;而在资安产品动向上,趋势科技这礼拜揭露资安防护产品的AI应用发展,他们表示,正在发展计算网路安全风险可能损失金额,以及预测攻击路径等功能。

在漏洞消息方面,这一星期适逢多家IT厂商释出每月例行安全更新,企业在因应各项修补之余,也要留意一个状况,攻击者正持续挖掘大量未知漏洞,也针对已知漏洞快速利用于攻击行动。

以微软而言,这次修补了多达10个零时差漏洞,数量之多,放眼过去几年也相当罕见,而且其中有6个已是零时差漏洞利用的状况,包括:CVE-2024-38189、CVE-2024-38178、CVE-2024-38213、CVE-2024-38193、CVE-2024-38106、CVE-2024-38107,都是修补释出前、攻击者已先挖出漏洞并用于攻击行动。此外,还有SolarWinds Web Help Desk有一个漏洞CVE-2024-28986,13日才宣布先释出一个热修补程式(Hotfix),16日美国CISA警告已有攻击者正在利用。

近期还有个涉及Windows CLFS的漏洞被公开也成大家关注的焦点,因为研究人员指出该漏洞可导致系统出现蓝色当机(BSoD)的状况。

此外,由于8月上旬的美国黑帽大会与DEF CON刚刚结束,前一星期就有不少研究人员公开最新漏洞研究成果的新闻,这星期持续有相关报导。例如:

●微软研究人员揭露OVPNX,指出OpenVPN存在4个零时差漏洞。
●资安业者SafeBreach揭露QuickShell,指出Google档案邻近分享工具Quick Share存在一系列漏洞。
●资安业者SySS揭露工控系统远端存取解决方案Ewon Cosy+存在6项漏洞
●英国资安业者NCC Group揭露Sonos智慧喇叭漏洞让骇客得以监听使用者
●资安业者Semperis揭露微软Entra ID的弱点UnOAuthorized

值得一提的是,在本届DEF CON CTF抢旗竞赛中,台湾派出资安战队「If this works we’ll get fewer for next year」,在全球1,742队参赛的激烈战况中,以第10名进入总决赛,之后在12支队伍比拼下获得第7名,再次取得不错的成绩。

在资安事件焦点方面,有两个关于资料外泄的新闻,一是有人在Breach Forums骇客论坛公布14亿笔腾讯用户资料,另一是南韩国防工业外包商传出遭北韩骇客攻击,导致空中侦察机的技术资料与规格与手册外泄。

还有一条新闻也引发了许多人讨论,是因为传出微软将从Windows 11 24H2开始,以微软帐号登入的新用户,将预设启用BitLocker加密功能,虽然此举对于电脑内硬碟带来更高保护,但引发一些反弹声浪,包括影响系统效能,以及BitLocker的加密金钥怕遗失等。

 

●国内有大学院校遭遇后门程式Msupedge的攻击行动
●中国对台认知作战升级,在今年5月盗取飞官社群网站帐号抵毁国军。
●PTT惊传遭到入侵,骇客声称取得3.5万笔资料。
●美国半导体制造商Microchip传出遭遇网路攻击,造成工厂产能降低的影响。
●丰田美国分公司遭公布24GB公司资料,骇客表示是从其备份伺服器窃取。

至于这一星期的漏洞利用消息,有1个零时差漏洞利用情形,Versa Networks旗下可简化SASE服务的Versa Director平台的漏洞CVE-2024-39717,美国CISA警告已获知有主动利用的证据。

还有5个漏洞利用要留意,包括:今年1月修补的 Jenkins CLI漏洞(CVE-2024-23897),以及前几年多个已知漏洞,微软Exchange Server漏洞(CVE-2021-31196),Linux Kernel漏洞(CVE-2022-0185 ),大华IP摄影机漏洞(CVE-2021-33044、CVE-2021-33045)。