在这一星期的漏洞消息中,有4起漏洞利用情况须优先关注,其中以Google修补浏览器漏洞的影响需要特别重视:
(一)Google在28日修补已遭利用的Chrome浏览器零时差漏洞CVE-2023-6345,值得关注的是,该漏洞存在于Skia绘图引擎,又是涉及底层,因此可能影响范围还包括了Android、ChromeOS、Firefox OS、Firefox/Thunderbird、Flutter、Avalonia及LibreOffice等。
(二)苹果在30日修补两个已遭到攻击的零时差漏洞,分别是CVE-2023-42916、CVE-2023-42917),由于这些漏洞是Google威胁分析团队(TAG)通报,且Google前两日才修补Chrome零时差漏洞,这些漏洞是否可能同一起攻击活动所利用,有待后续更多消息揭露。
(三)档案共享平台ownCloud在11月21日修补3个重大漏洞,其中CVSS满分的漏洞CVE-2023-49103,本身并不复杂,修补发布后已快速遭攻击者用于攻击行动,用户需尽速进行缓解或补强。
(四)资料分析系统Qlik Sense有3个已知重大漏洞(CVE-2023-41266、CVE-2023-41265和CVE-2023-48365)被用于攻击行动,骇客锁定这些漏洞进而发动勒索软体Cactus攻击。
其他可留意的漏洞消息,包括:兆勤修补旗下NAS设备的6个重大漏洞,以及AI框架Ray被揭露存在重大漏洞,但开发商Anyscale目前未有修补打算,
在国内,有两大事件成为焦点,都与上市公司有关,首先是上海商银发生1.4万客户资料外泄事件,由于事件发生后竟缺乏相关资讯可追查,成为金管会开罚重点,依据银行法开罚1千万元;关于中石化在11月中旬发布资安事件重大讯息,说明遭受骇客网路攻击事件,近期有后续消息传出,疑为勒索软体骇客组织BlackCat所为,该组织声称取得41.9 GB资料。
另一起事件也与台湾有关,是即时通讯软体Line的母公司发布资安通告,说明发生44万用户、合作伙伴、员工个资恐外泄事件,而当中有100笔资料属于台湾用户,而目前Line已说明初步调查结果,是承包商员工的电脑感染恶意软体。
在资安威胁与事件方面,我们认为有下列4起事件值得留意:
●先前10月身分验证管理业者Okta资料外泄事故有新的调查结果,该公司指出所有曾经存取客户支援系统的用户都受波及,影响范围比之前公布的更大。
●荷兰半导体业者恩智浦(NXP)惊传前几年遭骇,当地新闻媒体NRC报导指出,中国骇客组织Chimera自2017年到2020年初渗透该公司网路环境,并窃得与晶片设计相关的智慧财产。而台湾资安业者奥义智慧之前也曾揭露,台湾在2018年及2019年至少7家半导体业者曾遭到中国骇客集团Group Chimera锁定。
●北韩骇客发动供应链攻击的事件,英国NCSC与韩国NIS提出警告,骇客先挖掘出韩国资安业者Dream Security开发的身分验证系统MagicLine4NX的零时差漏洞,作为攻击跳板,再利用另一连网系统的零时差漏洞来入侵特定目标。韩国资安业者AhnLab指出,这起事件是骇客组织Lazarus所为。
●财星500大企业中有数百个曝露了Kubernetes机敏资料,揭露此事的资安业者指出,他们主要针对dockercfg、dockerconfigjson这两种类型的机敏资料进行调查所发现。
此外,我们还看到,近日国际间持续有多家大型业者遭遇网路攻击的消息,受害企业与组织遍及研究单位、医疗、关键CI等领域,包括:日本航太研究机构JAXA的AD伺服器遭非法存取,美国医疗保健业者Henry Schein传出遭遇勒索软体BlackCat攻击,以及美国宾州自来水公司的工业控制系统传出遭骇客劫持,斯洛维尼亚大型能源供应商HSE遭遇勒索软体攻击等。还有骇客声称窃取了奇异(General Electric)的资料,当中并包含大量美国DARPA的军事资料。
关于资安防护进展方面,有一项消息值得AI系统开发人员注意——英国NCSC与美国CISA在11月26日共同发布全球首份「安全AI系统开发指南」,当中将AI系统开发生命周期分四大阶段,包括:安全设计、安全开发、安全部署及安全维运,主要提供AI系统开发的必要建议,确保每个阶段都让开发者有适当的安全措施可遵循。
这几年勒索软体攻击极为泛滥,一旦遭遇相关攻击,企业组织就有可能必须与骇客交涉。但受害组织在谈判的过程,也要同时采取相关的因应措施,来防范骇客翻脸不认人的情况。
例如,最近有一起大型资安事故当中,骇客疑似因不满谈判结果,再度对受害企业发动攻击,瘫痪该公司包含电子商务平台等多项应用系统,并打算公布窃得的资料。
金管会最近针上海商银资料外泄事故祭出高额裁罚引起举国关注,上海商银在事发后仅公告证实遭罚,但根据现在已知的资讯,仍难以判断具体发生资料外泄的行为与过程,期昐上海商银未来能提出更详细的说明。而对于接下来要进行的检讨与改善,上海商银也势必要尽快公开这方面的资讯。
美国宾州阿里奎帕市水务局证实增压站遭到伊朗骇客入侵,因采用以色列厂牌工控设备而遭到锁定。骇客也宣称,他们正在对采用这类OT设备的水利设施发动攻击。
值得留意的是,在美国网路安全暨基础设施安全局(CISA)发布的资安公告当中,指出骇客可能是透过配置不当的情况发动攻击,而非透过漏洞入侵受害组织。
10月身分验证管理业者Okta资料外泄事故范围扩大,存取该公司客户支援系统的用户皆受影响
值得留意的是,在美国网路安全暨基础设施安全局(CISA)发布的资安公告当中,指出骇客可能是透过配置不当的情况发动攻击,而非透过漏洞入侵受害组织。
10月身分验证管理业者Okta资料外泄事故范围扩大,存取该公司客户支援系统的用户皆受影响