11月第2周的资安新闻中,在资安事件方面,以上市公司国巨公代子公司发布资安事件重讯最特别,该公司不仅是揭露资安事故,也公布该事故对财务的影响,对资安透明度起到示范作用。
这是因为,过去我们看到近年国外公司遭遇资安事件,有时都会揭露该事件带来的损失金额,但很少国内公司这么做,如今国巨在针对子公司基美电子(KEMET)资安事件的损失揭露上,提出具体金额与占比的说明。根据其公告的损失包括:取消订单金额约60万美元(约1,800万元),占2022年度销货收入约0.04%,以及闲置产能损失约310万美元(约1亿元),占2022年度营业利益约0.75%。
在漏洞消息方面,这一星期适逢多家IT厂商释出每月例行安全更新,其中微软修补修补的CVE-2024-43451最要注意,因为该漏洞至少从今年4月起就被利用,后续是在ClearSky研究人员在乌克兰CERT-UA的帮助下,拼凑出今年6月疑似俄罗斯入侵乌克兰学术伺服器的攻击事件,进而发现这个漏洞并通报微软。
●微软修补4个零时差漏洞,其中2个已遭利用,分别是涉及Windows NTLMv2的CVE-2024-43451,以及有关Windows工作排程器的CVE-2024-49039。
●Palo Alto Networks在10月初修补的两个漏洞,CVE-2024-9463、CVE-2024-9465,一个月后,发现有攻击者开始锁定这些已知漏洞利用于攻击行动的情形。
●3个老旧漏洞持续遭攻击者锁定利用,包括Atlassian在2021年修补Jira Server与Data Center的漏洞CVE-2021-26086,Metabase在2021年修补GeoJSON API的漏洞CVE-2021-41277,思科在2014年修补ASA的漏洞CVE-2014-2120。
其他重要漏洞消息方面,包括D-Link已停止支援的老旧NAS设备被发现重大漏洞,研究人员呼吁用户尽速汰换设备;有资安业者揭露物联网装置云端控管平台Ovrc的10个漏洞,指出物联网装置越来越广泛,这类平台的安全更显重要。
在威胁态势上,有3个态势值得留意,包括网攻资料窃取速度加快、攻击者滥用SEO的现况,以及新兴的ZIP档案串接手法(ZIP Concatenation),这不仅是利用多个ZIP档案串接成单一档案,使恶意软体得以隐藏在档案结构中,而且一起攻击活动中,以7-Zip开启会是无害PDF档,用WinRAR或是Windows档案总管开启则会让恶意档案现身,容易对使用者产生更大的威胁。
●Palo Alto Networks在台湾年度用户大会指出网路攻击者出手速度越来越快,从3年前平均9天缩短至去年的2天,最近的调查更是缩短至4小时内。
●近年冒牌电子商务网站数量暴增,资安业者趋势科技与日本警界等联手调查,发现攻击者先对合法网站植入SEO恶意软体,仅而让搜寻结果出现骇客广告。
●恶意软体GootLoader不仅利用搜寻引擎最佳化中毒的手法来入侵,近期还特别锁定澳洲,针对爱猫人士而来。
●中国骇客APT41利用恶意软体框架DeepData Framework跟踪政治人物与记者,东南亚多国被锁定。
●资安业者对近期兴起的ZIP档案串接手法(ZIP Concatenation)示警,此手法正被攻击者积极利用,有些解压缩工具才会让恶意档案就会现身,相当具隐蔽性
另外值得警惕的是,骇客透过假冒方式散布恶意软体的情形有两起,显示这类假冒与社交工程的手法依然活跃,包括有攻击者利用伪装成Windows版GitHub应用程式,散布恶意软体Fickle Stealer,以及以取名相近的方式假冒热门Python套件SSH自动化函式库fabric。
在资安防护方面,本星期有两大重要新闻,一是为了因应诈骗、网钓连结等问题,多家简讯商开始因应NCC祭出的新规范,开始实施建立商业简讯的白名单机制;另一是思科近期宣布扩大云端保护方案布局,新增Cillium与Hypershield,当中显现出该公司对于eBPF技术的重视,由于上个月CNCF技术委员会成员来台揭露K8s未来3大发展焦点时,其中一项也就是eBPF,突显这项发展近十年的eBPF技术,如今正被资安界看到更多可能性。