关于12月第3个星期的重要资安新闻,美国传出打算禁用TP-Link路由器是一大焦点,外界认为与中国骇客经营的僵尸网路Quad7有关,促使美国政府进一步探讨相关风险,也突显边缘装置安全是持续备受关注的重要议题。另一重要消息在于,中国骇客组织Salt Typhoon渗透美国电信公司的后续消息不断,如今美政府积极倡导E2EE全程加密重要性。
在威胁态势上,这一星期有供应链攻击、密码泼洒攻击的两则重要新闻,一是今年曾攻击台湾无人机厂商的中国骇客组织Tidrone,韩国资安业者发现该组织也针对当地的ERP软体下手来入侵韩国企业;另一是Citrix示警指出骇客正针对其设备发动攻击,特殊之处是针对不同帐号使用一组数量不多的常见密码来攻击,以规避系统判定异常,又或是以大量尝试登入方式来瘫痪系统资源。
●中国骇客TIDrone对韩国企业发动攻击,使用两种手法入侵受害公司,其中一种是供应链攻击手法,入侵当地ERP软体再入侵目标企业。
●德国联邦资讯安全办公室(BSI)与Citrix警告,发现攻击者锁定Citrix NetScaler设备发动暴力破解的攻击行动。
●中国资安业者奇安信发现中国骇客组织APT41正打造PHP木马程式Glutton,受害者位于中美两地。
●泰国政府官员遭锁定,资安业者揭露攻击者使用的后门程式Yokai。
●超过39万笔WordPress帐密遭窃,资安业者指出攻击者利用网钓与夹带后门程式的身分检查器进行渗透。
还有两则针对水利设施、视讯镜头及DVR设备的资安预警,同样值得大家留意,一是美国环境保护局(EPA)与CISA呼吁水利设施与废水处理业者,应尽速处理曝露在网际网路的HMI,避免攻击者有可乘之机;一是美FBI针对最新一波木马程式HiatusRAT的攻击行动示警,该组织去年曾锁定台湾与美国,今年锁定更多国家,包括澳洲、加拿大、纽西兰、英国。
在漏洞消息方面,这一星期有6大漏洞利用状况,包括BeyondTrust、Celo的产品遭零时差漏洞利用,微软、Adobe今年的已知漏洞,以及京晨科与Reolink的NVR与IP Cam老旧漏洞遭利用。
●BeyondTrust修补旗下以遭利用的远端支援系统、特权远端存取系统的零时差漏洞CVE-2024-12356,已发现攻击者用于入侵其SaaS环境用户,两日后再发现攻击者还利用另一零时差漏洞CVE-2024-12686。
●Celo修补三款MFT档案传输系统的零时差漏洞CVE-2024-55956,有资安业者指出12月初已有利用迹象,勒索软体组织Cl0p宣称是其所为。
●微软在6月修补Windows Kernel Mode的漏洞CVE-2024-35250,以及Adobe在3月修补ColdFusion的漏洞CVE-2024-20767,近日发现有骇客针对未修补用户攻击。
●台湾京晨科技(NUUO)网路监控主机NVRMini2的老旧漏洞CVE-2018-14933、CVE-2022-23227,以及中国Reolink多款IP摄影机的老旧漏洞CVE-2019-11001、CVE-2021-40407,近日美国CISA将之列入已知漏洞利用清单。
还有一个重大漏洞修补需要重视,那就是12月中旬修补的Apache Struts漏洞CVE-2024-53677,有资安研究机构警告发现有攻击者尝试扫描这项漏洞的迹象。
至于资安事件方面,国内有两家上市柜公司发布资安事件重讯,巧合的是,12月18日美国政府才向使用京晨科技产品的企业警告,发现攻击者锁定其产品已知漏洞进行攻击,19日京晨科技又因自家企业遭骇客攻击而发布资安重讯。
●上市半导体业盛群的MCU创意竞赛网站遭受骇客网路攻击
●上柜光电业京晨科有部分资讯系统遭受骇客攻击
●日本知名影音共享平台Niconico、角川书店半年前遭骇,如今传出角川集团支付勒索集团300万美元的消息。
在资安防御上,随著2025即将来到,有多家市场分析机构与厂商都对未来的资安态势,提出预警,例如,在新的PQC加密逐渐普及下,网路安全产品也要应对隐藏于加密流量的网路威胁;生成式AI的资安威胁已探讨多时,如今还强调企业须重视建立AI BOM清单来强化资安防护力;还有中国国家级骇客转向勒索软体维生的全新态势,提醒中小企业将面对更严峻的网路威胁。