【资安周报】2024年3月11日到3月15日

这一星期适逢多家厂商发布每月安全更新,包括微软、Adobe、SAP等多家IT业者,以及西门子、施耐德电机等ICS工控业者,大家关切这些例行修补之余,还有一些安全性弱点消息也要留意,例如:威联通NAS,思科SSL VPN用户端软体,以及应用程式开发平台OpenEdge的漏洞修补。

特别的是,我们近期还注意到WordPress有多个外挂程式漏洞的陆续揭漏,当中以存在Bricks Builder外挂编辑器的重大RCE漏洞CVE-2024-25600,需要特别重视,因为多家业者发现已将其用于攻击行动。此外,另一外挂程式Popup Builder去年修补的漏洞CVE-2023-6000,近期也发现被遭骇客积极锁定利用的状况。

在资安事件方面,有一起关于台湾企业的事件引发极大关注,是宏碁菲律宾分公司传出资料外泄,宏碁已证实当地分公司有部分员工资料被存取,是菲律宾的外部供应商发生资料外泄事故造成。值得注意的是,日前我们报导上市柜遭网路攻击的现况时,资安专家指出,现在勒索攻击的型态,并不全是用加密方式绑架资料而进行勒索,「偷资料的勒索」也逐渐成为常态,而上述事件中,目前传出消息是只有资料被偷,对方并未使用勒索软体或是加密档案,至于后续是否有向宏碁勒索的行为,暂不得而知。

此外,国际间也有多起重大资料外泄消息,例如,美国移民主管机关的敏感资料流入骇客论坛,原因是IT承包商遭骇,以及法国失业救济机构France Travail遭入侵,4,300万人个资恐流出。

国际有个重大资安事故的消息,全球也正在关注后续发展。法国总理办公室最近公开表示,当地多个政府机构遭受了「前所未有的强度」的网路攻击,据当地媒体指出,法国各部会网站是遭DDoS攻击,而法国政府也采取措施,成立危机反制小组来应对,由于今年7月法国将举办2024奥运,还有6月举行的欧洲议会选举,该国国防顾问先前也是警,近期相关活动可能成为网路攻击的重要目标。

在威胁态势上,美国联邦调查局(FBI)发布2023年度网路犯罪报告,强调勒索软体骇客攻击关键基础设施日益频繁,我们在此列出重点,帮助大家快速了解。
●勒索软体的影响再次上升,在FBI接获的2,825件勒索软体攻击事故中,有1,193件是针对关键基础设施(CI)有关的组织而来,相当于每5起事故就有2起是针对CI,这样的比例比前一年度更高。
●从犯罪型态来看,商业电子邮件诈骗(BEC)危害程度居高不下,FBI表示,2023年此类犯罪损失高达29亿美元。我们对比了前两年的BEC损失,分别是23亿美元、27亿美元,可看出企业必须持续严防这类威胁。
●投资诈骗问题越来越大,2022年损失达33亿美元,超越BEC而成为伤害最大的犯罪型态,2023年这类损失金额更是达到45亿美元。

在其他重要威胁态势上,这星期还有不少勒索软体最新动向的揭露,我们整理如下:

●勒索软体骇客组织BianLian最近的攻击行动,是利用前一阵子TeamCity的漏洞来发起入侵。
●由勒索软体骇客组织GhostSec、Stormous发起的双重勒索攻击,正利用名为GhostLocker 2.0的勒索软体,锁定中东、非洲、亚洲企业发动攻击。
●去年4月出现的勒索软体骇客组织RA World,攻击目标原本是美国、韩国,后续扩展至德国、印度,以及台湾,拉丁美洲现在也被锁定。

回到国内,关于上市柜公司资安事件揭露的规范,最近有重要消息发布。我们先前报导台湾证券交易所发布新版重讯问答集,里面具体列出「上市公司」的资安事件重大性标准,而对于「上柜公司」资安事件重大性标准的规范,则是在3月8日公布。简单来说,当中明订核心系统遭骇,官网遭骇、DDoS、个资外泄、造成服务受影响中断等,都属重大性事件,而且,都需要发布重大讯息告知投资人。

 

上周JetBrains发布CI/CD开发工具TeamCity 2023.11.4版,当时修补2个高风险层级的身分验证漏洞,并衍生该软体业者与通报漏洞的研究人员对于漏洞公开出现意见不一致的状况。如今,这些漏洞已被用于实际攻击行动──资安业者GuidePoint在恶名昭彰的勒索软体骇客「变脸」近期攻击行动里,发现骇客运用上述漏洞入侵目标组织,部署后门程式以进行后续攻击行动。由于这项开发工具相当普及,且针对这套系统的攻击行动这一年来越来越常出现,IT人员应尽速套用相关缓解措施。

随著生成式AI的运用日益广泛,这类聊天机器人无法只根据机器学习模型回答问题,因此系统开发者将其串连线上搜寻引擎、程式码储存库、CRM等各类服务,并进行资料交换,形成新的生成式AI生态圈,这么做可能提升AI的功能,却也带来潜在的资安风险。

 

研究人员最近针对ChatGPT的相关功能著手进行调查,证实上述的情况。而这种允许使用者与第三方服务串连的功能模组,在ChatGPT被称为外挂程式(Plugins)。