这一星期3则漏洞利用消息,有两起涉及零时差漏洞利用,当中最受关注的是,思科修补了旗下ASA及FTD防火墙的2个零时差漏洞CVE-2024-20353、CVE-2024-20359,原因在于,思科Talos同时公布了调查状况,指出年初经客户通报安全性问题,调查后发现当时已有攻击活动,并是国家级骇客UAT4356(亦称Storm-1849)所为。
另一事件发生在档案伺服器软体CrushFTP,该团队宣布修补已遭利用的零时差漏洞CVE-2024-4040,有研究人员指出骇客很可能是锁定政治目标收集情报。
还有一个已知漏洞利用情形,是微软详细揭露了俄罗斯骇客组织APT28近年的攻击手法,当中利用了Windows Print Spooler服务漏洞CVE-2022-38028。因此,近日美国CISA将之列入已知利用漏洞清单。
其他漏洞消息方面,有一则影响全球10亿用户的消息,是市面上常见的中国拼音输入法被发现存在诸多漏洞。为了帮助这些用户不受攻击者监控输入内容,加拿大公民实验室已向8家输入法供应商通报大批漏洞,多家厂商已针对最严重的漏洞进行修补,但Vivo、小米却并未针对通报回复。
在资安威胁态势方面,有4则新闻我们认为值得重视,这些攻击趋势研究的面向,涵盖SAP用户、网页伺服器被锁定、CDN快取遭滥用、以及AI的趋势,我们整理如下:
●SAP用户注意,有两家资安业者警告,锁定SAP旗下应用系统的勒索软体攻击行动在2023年大增,不仅攻击活动比两年前暴增4倍,SAP的RCE漏洞在黑市的价格也水涨船高,显示骇客正对此有高度兴趣。
●锁定网页伺服器已知漏洞并部署Web Shell的攻击行动被揭露,目的是植入勒索软体Adhublika,而全球受害数量最多的国家除了美国与印度,台湾居于第三。
●骇客组织CoralRaider攻击行动被揭露,研究人员指出对方使用CDN快取伺服器存放恶意程式,这将导致网路防御系统可能无法对其进行侦测而放行。
●最新一项大学研究报告指出,LLM Agents将能自动利用具CVE编号、已被揭露的One-day漏洞,实测10个LLM的结果显示,GPT-4成功完成这项工作,再次显现AI带来的风险与挑战。
此外,本期周报也新补上一则AI监管的最新动向,是特别的是,还有一起案外案,是北韩云端伺服器组态不当造成资料外泄,当中资料显示,疑似美国多家影音平台动画制作外包给中国公司,中国公司又外包给北韩动画公司,导致违反美国政府禁令的状况曝光。
在防御态势上,这一星期有2项新进展,首先,我国数位发展部正式公布国家资通安全研究院(资安院)接手TWCERT/CC,这项消息其实我们在1月初采访TWCERT/CC得知并揭露,2月也有对此的专访报导,最近4月24日,一月份Ivanti针对Connect Secure公布两个零时差漏洞,当时通报此事的资安业者Volexity就表示,这些漏洞自去年底就被中国骇客用于攻击行动,但迄今鲜少有组织出面证实受害。
但讽刺的是,传出受害的组织,竟然都是引领全球资安防御的机构。上个月,美国网路安全暨基础设施安全局(CISA)传出遭到攻击,而到了最近,维护资安防护框架的资安研究机构MITRE,也证实受害。
伺服器存取未设密码保护在网路「裸奔」的离谱情况不时传出,但过往这类事故外界关注的焦点,通常是这些资料曝光造成的危害,如今有一起事故成为国际的政治焦点。
近期有专门研究北韩相关事务的媒体指出,他们发现1台配置错误的云端储存伺服器,其内容与动画制作有关,而且当中存放的资料当中,竟然有多个美国串流服务平台播放的动画,以及制作这些数位内容的工作讨论。
利用Google广告散布恶意程式的攻击行动频传,但最近有一起散布后门程式MadMxShell攻击行动,特别引起研究人员的注意。因为,有别于相关攻击行动主要是针对个人,这起攻击行动背后恐怕有更大的目的。
这些骇客声称提供多种网路管理工具,并希望引诱IT人员上当,进而取得入侵整个组织的管道。