在这一周的漏洞消息中,有Oracle发布今年第2季例行更新要注意,还有一个受到更多IT界关注的漏洞修补,是老牌终端机及传档工具Putty的开发团队发布vuln-p521-bias漏洞通告,指出攻击者可透过CVE-2024-31497漏洞,获取NIST P521曲线演算法的ECDSA私钥,因此,用户除了更新软体,也要立即撤销并替换新的私钥。所幸的是,这次漏洞仅有使用521位元的ECDSA私钥的用户受影响。
在漏洞利用方面,有一则已知漏洞新传出遭利用的消息,3月时中继资料管理工具OpenMetadata维护团队修补了5个漏洞,近期有研究人员发现,有攻击者利用这些漏洞攻击企业K8s环境,并部署挖矿软体。
另一值得留意的是,上期周报提及Palo Alto Networks修补已遭利用的零时差漏洞CVE-2024-3400,后续有研究人员指出,全球有8.2万台曝险,台湾也有1,344台这类设备,它们都是处于暴露于网际网路且尚未修补此漏洞的状态。
在资安威胁焦点方面,近期有3类型的攻击活动,我们认为值得多加留意,包括锁定VPN与SSH的攻击,锁定路由器的攻击,以及网钓威胁与活动。
●多个厂牌的VPN系统或SSH服务正被攻击者锁定,发起大规模暴力破解攻击,思科表示不只是自家产品,还有Check Point、Fortinet、SonicWall、Miktrotik、居易、Ubiquiti的设备遭锁定,并发现针对远端桌面的网页存取服务攻击的情况。
●过去几周有不少僵尸网路锁定路由器攻击的状况,最近又有新的活动被揭露,有资安研究人员发现Moobot、Miori、Condi、 AGoent、Gafgyt与Mirai变种这6种僵尸网路病毒,都在利用TP-Link去年修补的路由器漏洞发动入侵。
●近期一家美国电信服务商员工帐密遭网钓、内部系统遭存取的事件引发思科示警,因为该电信商负责Duo用户的MFA简讯通知及VoIP讯息,因此思科提醒用户,留意遭窃资讯可能被攻击者用于社交工程攻击。
●去年一起锁定美国大型汽车制造商的攻击行动被资安业者揭露,当中指出攻击者一开始发送的网钓邮件,是假冒免费IP位址扫描工具软体Advanced IP Scanner为诱耳,显然,IT人员持续成为骇客发动网钓的目标,必需抱持更大警觉。
关于前几个星期发生的两起重大事件,最近有后续消息传出。首先,对于日前XZ/liblzma后门事件,攻击者竟潜伏为合法维护者的状况,近日OpenJS基金会示警,表示收到一系列电子邮件,其内容是要求为热门JavaScript专案指定新的维护者,因此他们与OpenSSF共同提醒开源维护者,需慎防这样的社交工程攻击手法;另一是上周苹果罕见对全球92国iPhone用户提出警告,如今有研究人员透露进一步细节,指出攻击者使用的间谍软体是LightSpy。
在其他资安威胁态势上,全球近来发生不少重大网路攻击事件,都与政府或关键基础设施有关,我们整理如下:
●台湾外交部的机密资料传出在暗网被兜售,外交部指出这些资料的来源可疑,涉及境外变造、伪造等不法行为,以及操弄认知作战的意图,将持续调查。
●在南海局势升温之际,有资安业者揭露近期中国骇客针对菲律宾的假讯息与骇客攻击活动增加3倍。
●联合国开发计划署近期表示,哥本哈根联合国城的IT基础设施上月底遭网路攻击,部分人力与采购资料遭窃。
●俄罗斯骇客组织Sandworm近期动作频频,不只锁定乌克兰关键基础设施,也锁定美国、波兰的供水设施,以及法国的水力发电系统发动攻击。
●针对俄罗斯持续发动网路攻击,乌克兰方面近期传出反击,该国骇客组织Blackjack宣称,已入侵俄国工业感应器及监控基础设施制造商Moscollector。
还有3起勒索软体攻击事件也成新闻焦点。包括:总部位于荷兰的晶片制造商Nexperia遭遇勒索软体攻击,旅馆集团Omni传出遭勒索软体骇客组织Daixin攻击,以及本期日报尚未提及的另一事件,那就是台湾电子零组件大厂群光电子传出遭Hunters international勒索软体攻击,在周末期间揭露,虽然影响似乎不大,因为群光回应媒体表示,事件未达重讯发布标准。
但因消息曝光在周末,且涉及台湾上市公司,加上骇客声称取得1.2TB、414万个档案,因此受到国人关切。在事件曝光后,
上个月底研究人员发现资料压缩程式库XZ Utils专案遭遇供应链攻击,影响采用的SSHD元件,但采用此程式库套件及其中的LZMA资料压缩程式库liblzma专案甚多,难道只有SSHD中招吗?
事隔两周,目前尚未有相关组织或是研究人员提出进一步说明,然而,在此不明朗的情况下,类似的供应链攻击事故再度传出。
上个月思科针对旗下防火墙用户提出警告,指出这些设备的VPN服务遭到密码泼洒攻击,如今该公司提出新的发现,还有其他厂牌的设备也遭遇类似攻击。
值得留意的是,不光是VPN系统成为攻击目标,还有数个厂牌的网路设备也是对方下手的对象,他们透过SSH连线尝试进行暴力破解攻击。
也与该公司整合的SSL VPN服务GlobalProtect有关。资安业者Palo Alto Networks公布防火墙漏洞CVE-2024-3400引起各界关注,原因不光这项漏洞的CVSS风险评分达到10分,还有漏洞发生的原因也与GlobalProtect的SSL VPN服务有关。
值得留意的是,之前才发生大规模,使得上述漏洞各外受到许多研究人员的重视。
此外,对于日前XZ/liblzma后门事件,攻击者竟潜伏为合法维护者的状况,近日OpenJS基金会示警,他们表示收到一系列电子邮件,其内容是要求为热门JavaScript专案指定新的维护者,因此他们与OpenSSF也共同提醒开源维护者,需慎防这样的社交工程攻击手法,并对潜在威胁保持警惕。