在这一星期的漏洞消息方面,包含微软、SAP、Adobe、西门子、施耐德电机等每月例行安全更新修补释出,Rust开发团队修补CVSS满分10分的重大漏洞,以及LG修补智慧电视多个漏洞,而且,传出5个漏洞已遭利用的消息。
(一)微软修补了两个已经遭利用的零时差漏洞,分别是涉及SmartScreen绕过的漏洞CVE-2024-29988,以及关于Proxy Driver欺骗的漏洞CVE-2024-26234。
(二)台厂D-Link停止维护的多款NAS机型被发现多个新漏洞,其中2个已遭利用,除了本周资安日报提及的漏洞CVE-2024-3273,还有还有两项漏洞的揭露也值得留意,一是影响多个专案的新型态HTTP/2漏洞遭揭露,已登记9个CVE编号,另一是有研究人员发现网页伺服器元件Lighttpd漏洞曾在2018年被默默修补,不只影响AMI MegaRAC的BMC韧体,进而影响Intel、联想伺服器厂商。
在资安事件焦点方面,国内上市柜接连遭遇资安事件的状况备受瞩目,等于短短一周内,就有5家公司发布资安重讯,我们整理如下:
●4月7日,上柜生技医疗业佰研说明旗下电商「无毒的家」会员资料外泄事件。
●4月8日,上柜观光餐旅业富野说明旗下分公司资讯系统遭受网路攻击。
●4月9日,上市塑胶工业联成说明发生网路资安事件。
●4月9日,上市食品工业联华说明发生网路资安事件。
●4月11日,上市光电业联合再生公告有部分系统遭受骇客攻击,导致工厂停工。
值得注意的是,富野是近两个月第二度遭遇事件,该公司表示上次事件后已规画资安强化作为,但需要更多时间建置,因此未能阻挡这次攻击;关于联合再生的后续状况,
勒索软体骇客组织更换名称卷土重来的情况,迄今已有数起,最近有个名为Red CryptoApp的骇客团体,宣称已攻击超过10个企业组织。察觉该组织行动的资安业者Netenrich推测,很有可能是2020年收手的Maze成员组成。
值得留意的是,Red CryptoApp的做法较为激进,因为他们直接公布受害组织的资料,企图借此形成压力让受害组织乖乖付钱。
昨天(9日)有许多厂商发布本月份的漏洞例行更新,微软、Adobe、SAP、西门子、施耐德电机皆公布相关资安公告及修补程式,用户应留意相关资讯,并尽速安排、部署相关更新软体。
其中最值得留意的部分,是微软这次公告的内容,他们总共缓解了149个漏洞,数量再创新高,一举超越散布窃资软体的攻击行动频传,其中结合时下热门的生成式AI服务为诱饵的情况,相当值得留意。最近就有一起假借提供桌面版程式的攻击行动,骇客透过脸书广告来从事攻击行动,使用者若是依照指示取得对方提供的桌面版软体,电脑就有可能被植入窃资软体。
特别的是,攻击者其中一个脸书粉丝页竟维持长达一年,累积120万用户追踪,但为何此粉丝页这么久才被发现,研究人员并未说明。