10月初这一周的新闻,以强台来袭前即影响全台最受关注,但资安新闻中也有不少重要消息需要我们重视。
台湾资安政策发展就是主要焦点之一。随著7月行政院将《资安法》修正草案送交立法院,现阶段已通过一读,由于这是实施超过五年来的大修法,iThome本月封面故事特别进行最新现况报导,帮助大家掌握修法重点,例如,《资安法》修订中最受关注的议题之一,莫过于「禁用危害国家资通安全产品」的条文,其他还包括扩大稽核范围、资安人员的适任性查核等。另一方面,对于这次修法有法律专家提出建言,指出应要打破官民分治的架构,才能更好提升整体国家的资通安全管理能力。
在资安威胁与事件方面,有两起事件值得大家重视,一是Rackspace遭遇资安事故并说明发生原因,是因为内部使用的第三方平台监控系统ScienceLogic EM7存在零时差漏洞所导致,由于ScienceLogic是台湾的飞立德科技,其后续应对与回应值得追踪与关注;另一事有骇客利用提供AI裸照生成器DeepNude的服务,当作吸引受害者上当的手段之一。
●云端运算平台Rackspace内部系统遭骇,已通知其用户可能资讯外泄,并指出问题出在他们使用的第三方应用程式ScienceLogic。
●资安业者有资安业者发现属于俄罗斯骇客组织FIN7的大量网域,当中所属7个网域是利用DeepNude来吸引与诱骗受害者。
●骇客组织Storm-0501最新一波攻击行动锁定美国多个政府部门与制造业,微软公开其手法聚焦破坏混合云环境的Entra ID。
●第一商业银行公告第e个网遭受网路DDoS攻击事件
●乐天信用卡遭骇客攻击未紧急应变,金管会列6大缺失、罚250万。
在漏洞利用方面,本星期有6个漏洞利用状况,一是企业级协同办公套件Zimbra Collaboration Suite(ZCS)在9月初修补的重大漏洞CVE-2024-45519,资安业者Proofpoint在10月1日示警,指出自9月28日观察到有骇客锁定未修补用户的攻击活动,另一是Ivanti5月修补Ivanti Endpoint Manager的漏洞CVE-2024-29824 ,该公司近期更新公告,确认遭利用且有限数量的客户已成为目标。
另外4个近期确认有攻击行动锁定的老旧漏洞,则包括:D-Link DIR-820路由器的漏洞(CVE-2023-25280 )、DrayTek多款Vigor Routers的漏洞(CVE-2020-15415)、Motion Spell的GPAC软体的漏洞(CVE-2021-4043 ),以及SAP Commerce Cloud的漏洞(CVE-2019-0344)
在资安漏洞修补与揭露方面,本星期这方面的报导相当多,最优先要注意的是Unix通用列印系统(CUPS)一系列漏洞的修补,因为这广泛影响Linux及Unix作业系统。此外,还有多家业者的产品安全公告发布,包括:居易、HPE Aruba、WatchGuard、Progress的WhatsUp Gold等,特别的是,在TWCERT/CC的台湾漏洞揭露平台(TVN)上,新公开了普莱德科技旗下交换器大量漏洞,而普莱德也已针对市售机种发布新版韧体修补。
在车用资安方面的消息,更是引发不少人忧心,因为汽车大厂Kia网站被发现有漏洞可让攻击者骇入并控制车子,2013年以后车款都受影响,所幸知名白帽骇客Sam Curry先发现这样的问题,Kia也已在接获通报后于8月修补。
其他还有云端、BMC基版的漏洞消息,需要不同产业的关切。例如,Nvidia Container Toolkit的漏洞(CVE-2024-0132)修补,由于全球有3成云端环境都安装有该函式库,研究人员呼吁尽速因应;另一是7月Supermicro修补了由Nvidia通报的BMC重大漏洞(CVE-2024-36435),9月底资安业者Binarly揭露更多研究发现,强调这是今年最严重的BMC漏洞。