回顾10月第四星期的资安新闻主要焦点,莫过于如今NHK耗时半年前往7国继续深入调查此事,并以记录片形式揭发此威胁手段,强调中国现在的网路攻击不只针对系统,网路攻击也同时针对民众,透过大量网路舆论操弄的影响力行动来发动「认知战」。事实上,近年许多资安业者都在持续强调这方面的威胁,需要更多国人重视这类问题。
在资安威胁与警讯上,有两则重要新闻,一是当心中国骇客组织IcePeony锁定网页伺服器注入Web Shell,以及针对IIS伺服器建立后门IceCache的状况,资安业者发现该组织从去年就锁定亚洲多国;另一是注意新兴勒索软体Cicada3301,有资安业者指出这是今年6月才开始出现,但最近3个月内已有30家企业组织遭受攻击,主要锁定企业的VMware虚拟化平台、NAS设备。
在资安事件方面,台湾这一星期就有5家上市公司发布资安重讯,包括美利达、丰祥-KY、华新科、台船,以及正新代加拿大子公司发布,涵盖产业包括自行车厂、轮胎厂、机车零配件厂、被动元件厂,以及国内最大造船厂。其中华新科的事故成主要焦点,因为后续已有媒体报导指出,勒索软体骇客RansomHub在暗网宣称握有该公司150 GB的机密资料;另一焦点在于,有两家公司指出遭攻击状况与邮件系统帐号有关,唤起国内对这方面的警惕,因为这类情形过往很少登上重讯版面。
●自行车厂美利达在21日发布重讯,说明侦测到部份邮件系统使用者帐号遭攻击,已启动防御与修改使用者帐密。
●轮胎厂正新于21日代表旗下Cheng Shin Rubber Canada发布重讯,说明该子公司部份资讯系统遭受骇客网路攻击。
●电机机械业丰祥-KY在22日发布重讯,说明公司资讯系统在凌晨遭受加密攻击,已查出加密源头并阻断,正在恢复系统。
●被动元件厂华新科在23日发布重讯,说明部份资讯系统遭受骇客网路攻击。
●国内最大造船厂台船在24日发布重讯,说明侦测到部分邮件系统使用者遭攻击,已启动防御与修改使用者帐密。
国际间则有2起事故受关切,包括思科坦承客户支援网站资料外流,强调公司内部并未遭骇,以及资安业者ESET在以色列的合作伙伴传出遭受攻击,ESET强调公司内部并未遭到入侵,正与当地合作伙伴调查此事。此外,今年8月日本马达大厂尼得科遭骇,如今有进一步的调查结果公布,研判骇客之所以得逞是因为取得了员工VPN帐密资料。
在漏洞利用方面,这一星期有3个零时差漏洞利用需要重视,攻击者锁定Fortinet、Cisco与ScienceLogic产品,显现出企业产品成为攻击目标的态势依然显著。有一起已调查出幕后攻击者,资安业者Mandiant指出,关于锁定Fortinet漏洞的攻击,已发现是名为UNC5820的骇客组织所为,并且是在6月底就出现尝试利用迹象。
●Fortinet修补涉及FortiManager的零时差漏洞CVE-2024-47575,Mandiant在公告后隔天揭露,有骇客组织在4个月前就将其用于实际攻击行动。
●Cisco针对旗下多款产品修补51个漏洞,其中包含针对零时差漏洞CVE-2024-20481的修补,因为该公司PSIRT发布修补时即指出有遭利用迹象。
●ScienceLogic修补SL1平台的零时差漏洞CVE-2024-9537,美国CISA已将此漏洞列入已知漏洞利用清单。
●微软在7月初修补SharePoint的漏洞CVE-2024-38094,以及Roundcube在6月初修补Webmail的漏洞CVE-2024-37383,近日发现有骇客针对未修补用户攻击的情形。
此外,苹果在9月修补恐影响MDM行动装置管理平台的漏洞CVE-2024-44133,有业者示警疑似漏洞利用迹象。