在这一星期有多个已知漏洞出现首度遭利用的消息,其中1个是短短一周前才修补,就发现被利用于攻击行动,因此特别受关注,那就是Fortinet端点管理伺服器FortiClient EMS的漏洞CVE-2023-48788。
其他近期确认遭锁定利用的已知漏洞,还包括:微软SharePoint Server的漏洞(CVE-2023-24955),Ivanti EPM CSA的漏洞(CVE-2021-44529),以及门禁解决方案Nice Linear eMerge E3-Series OS的漏洞(CVE-2019-7256)。后两项本期资安日报尚未提及,一并补上。
另补充周末一则最新消息,是XZ Utils资料压缩程式存在漏洞CVE-2024-3094被揭露,由于该漏洞涉及SSHD(Secure Shell Daemon)供应链攻击,正受广泛关注。
关于零时差漏洞攻击的最新态势,持续受大众关注,随著2023年过去,最近Google公布这方面的年度报告,我们认为,有3个现象值得大家关注:(一)针对第三方元件攻击显著增加;(二)针对企业装置、资安产品攻击,比往年增长近5成,(三)中国政府支持骇客组织发动的攻击大增,去年利用了12个零时差漏洞发动攻击。
此外,关于上述提到中国骇客组织的危害,最近另一起资安新闻也提到这方面的状况。最近美国方面有新的消息,该国司法部起诉7名参与APT31的中国公民,其财政部也宣布制裁武汉晓睿智科技(Wuhan XRZ),已确认这是一家幌子公司,背后是负责APT 31行动的中国湖北省国家安全局设立。在此同时,还有多国网路安全机构与执法单位,出面指控近年遭到中国政府支持骇客组织的攻击,包括英国、芬兰、纽西兰与澳洲等。
在最近的资安威胁态势上,僵尸网路TheMoon的攻击活动,是本星期的一大焦点事件。这是因为,虽然它的攻击目标都是挟持生命周期终止(EOL)的家用及小型办公室(SOHO)路由器、物联网设备,但最近短短72小时内,竟有超过6千台华硕路由器被攻占。
在其他威胁态势方面,有勒索软体与网钓工具的揭露,值得企业与资安研究人员重视,还有一些攻击技术与资安风险的揭露,虽然存在于不同领域,但可能的危害情境贴近于生活日常,引发许多人的好奇与重视,我们整理如下:
●勒索软体Agenda的攻击在去年底显著增加,如今更是发现,攻击活动中会利用嵌入勒索软体档案的PowerShell指令码,对VMware ESXi、vCenter进行横向感染,窜改ESXi主机root密码。
●网路犯罪领域有新的攻击工具出现,被不同资安业者揭露,例如,半年多前现身的Tycoon 2FA的AiTM网钓攻击套件,最近有被广泛使用的情形;还有网路钓鱼套件工具包Darcula,是针对手机用户而来。
●饭店业者注意!全球数百万间的饭店房门能被一张复制的伪造钥匙卡破解,有资安研究人员发现,经常被应用在饭店与住宅大楼Saflok系统的RFID电子锁产品有漏洞(Unsaflok),由于门锁更新或更换耗时,五个月来进度仅完成36%。
●Google搜寻引擎近期加入SGE功能,将生成式AI融入搜寻结果,但有人发现给出的结果中,会推荐垃圾网站及恶意网站,推测可能是SEO中毒攻击造成。
●资安部落格KrebsonSecurity指出最近出现针对苹果用户的「MFA轰炸」攻击,这种钓鱼攻击,涉及一个看似苹果密码重置功能的漏洞。虽然近期资安日报尚未报导这方面消息,但已引发不小的讨论与关注。
另外,防御态势上,这星期有两项新进展,成为资安圈与开发圈的焦点。例如,上星期Pwn2Own漏洞挖掘大赛举行,参赛的资安研究人员在8个竞赛类别总计找出29个零时差漏洞,除了研究人员共获得113万美元的奖励,提供产品的厂商后续也将针对这些漏洞予以修补,目前Firefox、Google以针对各自不同的2个漏洞进行修补。
另一是美国CISA发布第4则Secure by Design Alert,强调SQL注入漏洞不该一再发生,他们并以去年骇客利用MOVEit Transfer漏洞大举入侵为例,呼吁开发人员、软体制造商在出厂前务必审查程式码是否含有SQL注入漏洞。
去年5月Google在I/O大会宣布启动搜寻引擎的
为了突破双因素验证(2FA)的防护机制,骇客采用中间人攻击(AiTM)网钓攻击套件的情况相当泛滥,最近出现新型态的工具包Tycoon 2FA,在短短半年内,已有骇客采行而滥用超过1千个网域,引起研究人员关注。
值得留意的是,这个套件采用多阶段攻击流程,其产生的钓鱼邮件不仅具有URL,也有出现QR Code的情况,这代表行动装置用户也可能是对方攻击的目标。