在这一星期的资安新闻中,有两起资安事件引发关注,国内有华硕电脑发布资安重讯,说明因资讯系统的参数设定不当,使该公司产品资料发生不慎曝光的情况;国外则是勒索软体LockBit声称入侵美国联准会,不过,根据骇客目前释出的资料,有资安业者指出这批资料实际应来自一家美国金融机构。
在资安威胁态势上,中国骇客组织RedJuliett近期锁定我国75个企业组织攻击的消息,令人担忧。资安业者Recorded Future指出,该组织主要从事情报搜集行动,在去年11月至今年4月间,这群骇客针对的目标包括:台湾的科技产业、外交机构,还有8所大学、11个政府机关,以及媒体、慈善机构、NGO等社会运动团体。该组织使用哪些攻击手法?包含:以devilzShell、AntSword等开源Web Shell从事后期行动,以及利用SoftEther VPN存取目标基础设施。
在其他威胁态势上,我们认为有5个消息值得留意,包含软体供应链攻击、后门程式部署,以及勒索软体与僵尸网路的最新动向,我们整理如下:
●前端开发人员注意!知名的Polyfill程式库polyfill.io在今年2月卖给一家中国CDN业者后,有资安业者发现新版本已被嵌入恶意程式,需尽速移除。
●网站管理者请提高警觉!须留心骇客组织Boolka随机对全球网站发动SQL注入攻击的情形,目的是针对浏览这些网站的使用者电脑,植入木马程式Bmanger。
●有资安业者揭露亚洲一国的多家电信业者遭植入后门,并说明该攻击活动使用的工具与多个中国骇客组织有关,并表示这桩攻击最早可追溯至2021年。
●今年新窜起的勒索软体RansomHub,最近有研究人员指出该组织不只针对Windows、Linux电脑下手,也锁定VMware ESXi虚拟化环境攻击。
●对于去年7月兴起的僵尸网路P2PInfect,最近研究人员发现骇客针对绑架电脑的病毒,增加勒索软体功能。
在漏洞消息方面,这星期有3个已知漏洞被美国CISA列入已知漏洞利用清单,分别是2020年Roundcube Webmail修补的漏洞(CVE-2020-13965),以及2022年Linux Kernel修补的漏洞(CVE-2022-2586),GeoSolutionsGroup修补JAI-EXT的漏洞(CVE-2022-24816),需要限时确认修补。
其中的CVE-2022-24816漏洞不容小觑,因为它影响发布地理空间资讯的GeoServer开源专案,并显示目前正被积极利用,这让我们联想到资安业者中芯数据今年5月示警,当时指出我国GIS系统与相关单位遭中国骇客组织攻击,该公司研判攻击目的是不断试图情搜本国地理资讯。虽然上述两件事不一定彼此相关,但也突显地理资讯系统已成为骇客攻击的目标。
还有Phoenix UEFI韧体存在高风险漏洞(CVE-2024-0762)的消息,登上iThome网站当周最多浏览资安新闻之一。由于收到通知的Phoenix已在4月释出缓解措施,5月中旬漏洞正式对外公布,如今研究人员则是进一步公布漏洞细节,并提醒用户注意笔电厂商发布的韧体更新消息。
其他也可留意的漏洞修补动向,包括:Progress针对MOVEit产品线的修补、西门子针对工业控制系统SICAM产品线的修补,以及Zyxel Networks针对已终止支援的NAS产品,破例修补重大漏洞。