11月最后一周的资安新闻中,在漏洞消息方面,有2大漏洞利用消息与1项漏洞警讯需要优先关注,都与边缘装置安全有关,涵盖Array Networks、Zyxel Networks与D-Link的网路产品。
●大宇集团旗下Array Networks去年3月修补的SSL VPN系统漏洞CVE-2023-28461,如今发现有骇客开始利用此已知漏洞发动攻击。
●兆勤科技(Zyxel Networks)今年9月修补防火墙漏洞CVE-2024-42057,随著资安业者Sekoia示警,后续兆勤警告攻击者开始锁定这项已知漏洞。
●中华电信提供许多个人及政府机关的D-Link数据机DSL-6740C,本月被国内资安研究人员揭露存在8个漏洞。
值得注意的是,前两项攻击的幕后凶手已被资安业者查出,趋势科技揭露中国骇客组织Earth Kasha最新攻击行动,提到该组织利用上述Array的漏洞与另一Fortinet已知漏洞作为入侵起始点,台湾与日本的企业均有受害案例;资安业者Sekoia揭露勒索软体Hellodown的攻击行动,指出该勒索攻击利用上述兆勤漏洞入侵。
而D-Link数据机的DSL-6740C漏洞揭露亦是一大警讯,因为该设备今年初已终止支援,加上台湾现在还有多达57,945台仍在运作,显示出中华电信处理EOL设备的速度太慢,以及还有很多人不知道要请中华电信更换。
在资安事件上,11月底感恩节前夕有一起勒索软体攻击事件受瞩目。美国供应链管理业者Blue Yonder遭攻击后导致服务中断,影响北美1.1万家星巴克门市与英国2家连锁超市等系统,使其员工只能手动作业,且3天后系统仍未恢复。
国内也发生一起事件值得我们警惕,就是北捷AI客服被测试发现可代写程式码。过去ChatGPT等生成式AI常因提示注入攻击(Prompt Injection)被诱导,超出违反原本的安全或使用限制,因此后续各界不断强调提高AI安全护栏能力。虽然此次未达恶意滥用程度,但已暴露国内可能轻忽系统AI安全护栏的问题。
在资安威胁态势上,有多个中国与俄罗斯骇客组织的攻击活动被揭露,其攻击目标相关广泛,涵盖浏览器、作业系统,也有锁定电信业者,以及针对图博(西藏)民众等:
●近两个月Firefox与微软分别修补的零时差漏洞(CVE-2024-9680、2024-49039),如今资安业者ESET公布幕后攻击者是名为俄罗斯骇客Tropical Scorpius(又名UNC2596)所串连利用,并会植入后门程式RomCom。
●电信业注意!关于中国骇客组织Salt Typhoon攻击全球电信业又有后续消息,趋势科技揭露攻击者会植入名为Demodex的rootkit程式,而近期攻击东南亚电信业者的事故中,还使用先前未曾揭露的GhostSpider等多款后门程式。
●中国骇客TAG-112新一波锁定图博新闻媒体、大学网站的攻击被揭露,目的是针对浏览网站的使用者电脑植入Cobalt Strike,目前尚不知骇客利用那些漏洞。
●邻居被骇也是自家被攻击的前奏,最近资安业者Volexity公布俄罗斯骇客APT28在俄乌战争前夕借由Wi-Fi管道的攻击方式--Nearest Neighbor Attack。
●骇客滥用防毒软体元件从事自带驱动程式(BYOVD)攻击的手法越来越多,最近一起是针对Avast的驱动程式元件而来,以停用受害电脑防护机制。
在资安防御新闻中,我们观察到两个关键议题备受关注,包括:促进民间资安情报的联防合作以及打击网路犯罪,分别是台湾与全球关注资安风险的重点。
首先是今年台湾资安通报应变年会,透露了TWCERT/CC的日后新方向,指出为了让联防更有效果,将以情资角度作为向企业沟通的方式,而不像过去从事件通报角度向企业沟通,目标是让企业回报的内容,可以更聚焦在联防需要的情资,意即:何种类型攻击、可能攻击标的、入侵指标(IoC)、攻击手法等关键资讯。
另一个是全球在查缉网路犯罪方面取得新成果。国际刑警与非洲刑警联手行动,在19个非洲国家逮捕了千余名嫌犯。其中部分犯罪行动涉及高技术含量,例如在肯亚破获的一起网路信用卡诈骗案中,骇客利用修改银行系统安全协议的方式,执行恶意脚本窃取资金,并流向多国司法管辖区内的金融相关机构。
供应链攻击事故频传,最近软体供应链业者Blue Yonder遭遇勒索软体攻击,传出已对客户的运作造成影响,目前已有连锁咖啡店星巴克、英国两大超市证实受到波及。
值得留意的是,11月21日Blue Yonder证实因资安事故导致代管服务中断,但目前尚未确认复原的时间,相关灾情与影响范围有待后续观察。
埋藏在UEFI韧体的恶意启动工具UEFI Bootkit相当神秘,攻击者借此隐匿行踪,并能从开机阶段就挟持整台电脑,让执行于作业系统之上的防护机制失效,这样的情况最近有了新的变化。
本周资安业者ESET揭露新的恶意启动工具Bootkitty,并指出虽然这支程式很可能仍在开发阶段,但是第一个专门针对Linux作业系统的UEFI Bootkit,后续发展相当值得留意。