在这一星期的漏洞消息中,以微软与Google的5个零时差漏洞修补最受关注,并有4个是修补释出前已发现遭锁定利用。
(一)微软发布5月例行安全更新,修补60个漏洞中有3个零时差漏洞,其中MSHTML平台安全功能绕过的CVE-2024-30040,以及涉及桌面视窗管理员(DWM)核心程式库权限提升的CVE-2024-30051,这两个漏洞已被用于攻击行动。
(二)Google这一周又再修补两个已遭利用、存在于JavaScript引擎V8的零时差漏洞,分别是:记忆体越界写入漏洞CVE-2024-4761以及,类型混淆漏洞CVE-2024-4947。短短7天内,Google已修补3个零时差漏洞。
(三)D-Link旗下老旧路由器有两个漏洞CVE-2021-40655、CVE-2014-100005,被美国CISA在5月16日列入已知漏洞利用清单,这也显示产品寿命结束的产品仍持续遭攻击者锁定利用。
还有多家IT厂商的每月例行安全更新修补发布,包括微软、SAP、Adobe,Intel,以及西门子、施耐德电机、三菱电机、江森自控、Rockwell等,其他重要漏洞修补动向,包括:开源网路效能及配置管理框架Cacti,以及VMware、HP Aruba Networking、Cinterion。
在资安新闻焦点方面,本周适逢2024 CYBERSEC台湾资安大会举行,今年是第十届,举办规模更盛大,持续成为资安产业搭建一座技术交流、拓展商机的专业平台,受到政府、资安产业与广泛企业的重视。
例如,总统蔡英文第6度出席大会并在开幕典礼致词,说明政府将持续建立防御机制、加强研发能量、积极培育人才,以提升国家数位韧性,并感谢长期对资安领域用心付出的大家。
在520接任总统的赖清德,也在2024台湾资安大会的第二天,率领新政府与资安发展相关的主管一同到场,共同关心台湾资安产业的发展,他向大家承诺,新政府仍将继续支持资安产业发展。
此外,为了加速因应量子破密威胁,数位发展部数位产业署也在2024台湾资安大会第三天的活动,宣布「后量子资安产业联盟」成立,希望建立强健的公私伙伴关系,加速我国后量子资安产业的发展,并确保台湾具有后量子密码准备能力。
在资安威胁态势方面,国际上有不少政府遭受网路攻击的揭露,并有多起涉及半导体、金融、医药产业的企业资安事件,受到资安界重视。我们整理如下:
●韩国警察厅国家搜查本部在13日发出声明,指出发现北韩骇客曾入侵该国法院长达两年,大量民众个资与详细金融资料窃取,因为这些文件包含自述书、破产报告、结婚证书、医疗证明文件等。
●Google Cloud Mandiant Intelligence副总裁Sandra Joyce在台湾资安大会主题演说中指出,中国骇客Dragonbridge对台发起最新一波的Information Operations网路攻击,是围绕2024年1月台湾总统大选而来。
●欧洲刑警组织证实入口网站遭骇,对方声称窃得员工资讯、原始码、内部机密文件,由于该组织经常协调各国打击网路犯罪,此事件也突显骇客越来越嚣张。
●芬兰首都赫尔辛基市公布教育部门因存在已知漏洞未修补而遭入侵,导致上万学生家长发生个资外泄事故。
●国内又有半导体产业遭网路攻击,台湾上柜公司逸昌科技发布资安事件重大讯息,说明发现网路传输异常,部份伺服器遭受骇客攻击。
●金融领域在全球有两大事件发生,一是桑坦德银行传出资料外泄,起因是第三方供应商遭骇,由于影响智利、西班牙、乌拉圭客户而备受关注;另一是汇丰、巴克莱银行传出遭初始入侵管道掮客声称窃得其资料库、原始码等敏感资料。
●澳洲电子处方笺业者MediSecure遭遇供应链攻击,骇客加密档案导致网站服务与电话中断。
此外,还有一个值得关注的威胁态势,是Black Basta勒索软体攻击者近期发起的社交工程攻击活动,是锁定MDR客户而来,攻击者先是利用寄发大量垃圾信件让邮件安全防护方案失灵,然后再假冒技术人员致电表明提供协助,要求使用者部署远端管理工具,或启动Windows内建远端协助工具「快速助手(Quick Assist)」,进而对目标电脑进行控制。
在资安防御动向上,还有我国行政院5月9日通过打诈专法「诈欺犯罪危害防制条例」的消息,这是针对网路广告平台应尽防诈义务的重要规范,涵盖对象包括网路广告平台、电商业者、第三方支付业者、网路连线游戏业者,当中并有5大重点,包括:境外业者提报法律代表,广告中应揭露必要资讯,建立防诈管理措施,处理与通报诈欺广告,以及配合检警调或目的事业主管机关下架诈欺资讯。
本周芬兰首都赫尔辛基证实教育部门的资料外泄事故,骇客借由存在已知漏洞的远端存取伺服器,成功入侵教育部门的网路磁碟,存取大量内部档案。
至于为何该伺服器尚末修补?有待进一步厘清。对此,针对这起事故发生的原因,他们认为与漏洞修补与装置管理不力有关。
仅管这次公布的漏洞数量大幅减少,但值得留意的是,这次有3个零时差漏洞,其中又以桌面视窗管理员(DWM)核心程式库权限提升漏洞CVE-2024-30051最值得留意,因为有多组研究人员向微软通报,并指出他们看到骇客将其用于攻击行动。
近年来医疗设备的资讯安全逐渐受到重视,有不少研究人员公布他们的分析结果,攻击者很有可能借此得知病人的资料,甚至是窜改仪器量测的结果。
例如,最近资安业者Nozomi Networks揭露GE HealthCare超音波医疗设备的漏洞,他们表示,虽然攻击者必须实际接触设备,才能利用他们发现的漏洞,但这些设备通常会放置于公开的环境,一旦出现无人看管的空档,就有机会对其下手。
近年来医疗设备的资讯安全逐渐受到重视,有不少研究人员公布他们的分析结果,攻击者很有可能借此得知病人的资料,甚至是窜改仪器量测的结果。
例如,最近资安业者Nozomi Networks揭露GE HealthCare超音波医疗设备的漏洞,他们表示,虽然攻击者必须实际接触设备,才能利用他们发现的漏洞,但这些设备通常会放置于公开的环境,一旦出现无人看管的空档,就有机会对其下手。