在这一星期IT界与资安界最重大的新闻,就是有开发人员意外发现了XZ/liblzma被植入后门的事件,红帽也公布了XZ相关漏洞CVE-2024–3094,本期有多篇新闻与此事件有关。
所幸的是,这次能够及早揪出了这个潜藏的后门,目前只有部分Liunx版本受影响,影响层面还不是太广,然而,这起针对开源软体的供应链攻击事件,正持续受到调查与探讨,
不只是意外发现的过程,后门植入的手法,更让各界吃惊的是,涉及此事件提交的GitHub帐号,竟是从2021、2022年就开设帐号,并逐渐取得原始XZ维护者的信任,这样的潜伏历程备受瞩目,也再次引发各界对于开源软体安全议题的探讨。
还有两个Linux漏洞的揭露值得关注,一是名为Flipping Pages、涉及netfilter元件的漏洞,一是名为WallEscape、涉及util-linux 套件的漏洞。这两个漏洞的修补,分别在今年1月底与3月底释出,近期研究人员各自揭露漏洞细节与并利用场景,同时呼吁尚未因应的用户尽速更新。
在其他漏洞利用消息方面,使用AI框架Ray的企业组织需特别留意,去年11月底Anyscale揭露5个漏洞,唯有CVE-2023-48022漏洞没有修补,甚至认定这并非漏洞,但如今有资安业者揭露名为ShadowRay的攻击行动,并指出该漏洞已被用于攻击行动。
Google Pixel手机用户也要当心,在Android的4月安全更新公告中,有两个Pixel的资讯泄漏漏洞已有迹象受到针对性利用,分别CVE-2024-29745、CVE-2024-29748,本期资安日报尚未提及,在此补上。
在最近的资安事件中,还有2则新闻我们认为值得重视,分别发生在美国网路安全暨基础设施安全局(CISA),以及非营利组织OWASP基金会。我们整理如下:
●美国CISA亦受到年初Ivanti系统漏洞影响,骇客针对美国联邦高风险化学关键设施,入侵CISA提供的化学品资安评估工具(CSAT),并成功部署了Web Shell,且另一关键基础设施资安资讯工具CISA Gateway也受影响。
●以公布十大网站资安风险而广为知名的OWASP基金会,最近发布资料外泄通知,说明2006至2014年的成员简历档案可能外泄,原因出在一台旧的维基(Wiki)网页伺服器,当中存在组态配置不当的问题。
此外,国内发生一起7所高中校务系统遭骇的事件,我们认为,当中有两个议题值得留意与警惕。一是关于骇客勒索的对象,并非这些学校,而是打造校务行政系统的亚昕资讯,另一是通用帐号密码的问题,调查中发现骇客先入侵1所学校的系统,获得登入该校务系统的帐密,但骇客利用同一组帐号密码,也能成功登入其他6所学校的系统。