这一星期的漏洞消息,在留意Atlassian修补CI/CD工具Bamboo重大漏洞,以及Ivanti修补同步应用系统Standalone Sentry的重大漏洞之余,还一个大家可能容易忽略的消息是,1月HTTP非同步传输框架Aiohttp修补漏洞CVE-2024-23334,近期出现利用该漏洞的攻击行动,研究人员认为,可能是勒索软体骇客组织ShadowSyndicate所为。
在重大资安新闻方面,我们认为,最需要优先关注国际货币基金组织与富士通的遭骇事件。
国际货币基金组织(IMF)在15日公布遭遇网路攻击事件,全球也正在关注后续发展。基本上,IMF是在二战后为了稳定国际金融而成立,最近他们公布在一个月前发现遭遇网路攻击,有11个电子邮件帐号被入侵。这不免令人联想到1月微软、HPE遭俄罗斯骇客Midnight Blizzard攻击的事件,因为共通点这些机构都使用微软云端电子邮件服务。
另一个IT界很关注的消息是富士通遭骇,该公司在15日发布资安公告,说明IT系统遭入侵,发现多台电脑出现恶意软体,目前该公司正调查被入侵的情况与确认资料是否外泄,暂不清楚是否有其他企业或其客户资料受波及,有待后续调查结果公布。
至于台湾资安近况方面,趋势科技近期发布2023年资安威胁态势报告的新闻稿,当中特别强调台湾须留意骇客组织Earth Estries动态,并指出对方专门针对政府机关与科技业而来,大家要密切关注后续状况。
其他重要资安新闻焦点,包括涉及Firebase曝险、窃资软体与中国骇客组织动态的新闻,我们整理如下:
●企业需注意Firebase配置不当的曝险问题,研究人员进行这方面的大规模盘点,发现有900个网站曝险,暴露近2千万笔明文帐密资料。
●骇客不只利用HTML Smuggling手法来回避侦测,最近还出现新的作法,例如窃资软体AZORult还用上反射式程式码载入的手法来规避侦测并启动。
●中国骇客组织Earth Krahang近两年的攻击活动被揭露,有45国、上百个组织被锁定,已确认70个组织遭入侵,多是政府机关,另发现116个组织遭锁定。
关于新攻击手法研究与漏洞的揭露,我们认为有3项消息,值得企业与资安研究人员重视,涵盖DoS攻击、LLM漏洞,以及利用处理器微架构特性的旁路攻击手法:
(一)发现新型阻断服务攻击手法Loop DoS,德国CISPA亥姆霍兹资讯安全中心指出,利用UDP通讯协定的弱点CVE-2024-2169,可导致彼此讯息无限循环回应,不只老旧通讯协定有同样状况,目前普遍常用的DNS、NTP、TFTP也受影响。
(二)有研究人员揭露3个新的Google Gemini聊天机器人潜在的威胁,分别是可绕过安全防护机制的漏洞,利用Gemini Pro虚构生成功能的提示越狱漏洞,以及模拟重新设定的漏洞。
(三)多名大学研究人员共同揭露GoFetch微架构旁路攻击,资安日报近期尚未报导这方面消息,但已引发不小的关注,此手法是透过记忆体资料预先读取机制(DMP),从常数时间程式实作中窃取加密金钥,且苹果M系列处理器易受此攻击影响。
在防御态势上,这星期有2项新进展,成为资安圈与开发圈的焦点。例如,提升组织内软体供应链可见性的软体安全评估工具GUAC,如今成为OpenSSF孵化专案,以及程式码储存库GitHub发布程式码自动扫描修复功能(Code Scanning Autofix),可协助开发者快速解决程式码中的漏洞,目前已经支援JavaScript、TypeScript、Java与Python。
此外,国际间还有两个安全指引的颁布,可以作为企业组织的借镜与参考。一是英国发布云端资料收集与监控系统(SCADA)安全指引,因为已有许多企业组织将SCADA迁移到云端,这部分资讯的确过去较少见;另一是因应针对中国骇客组织Volt Typhoon的威胁,最近英美等多国网路安全机构,提出防御指引。
半个月前伺服器配置不当的情况,过往最常出现的是在公有云系统,但应用程式开发系统出现配置不当的问题,也相当值得留意。
最近有研究人员针对Google旗下的行动与网页应用程式开发平台Firebase进行调查,一口气找到超过1亿笔机敏资料(Secrets),值得留意的是,当中包含不少明文密码。
透过传送大量讯号瘫痪设备运作的攻击手法,可说是相当常见,但最近有研究人员揭露一种造成通讯无限循环而产生大流量的方法,一旦触发,就算是攻击者也无法将其停止。
值得留意的是,这种新方法估计有30万台伺服器曝险,虽然尚未有人将其用于实际攻击行动,但研究人员呼吁,IT人员还是应尽速采取因应措施。