在7月第2个星期,适逢多家厂商释出每月例行安全更新,包含微软、SAP、Adobe、西门子、施耐德电机,Citrix、VMware也在这段期间发布漏洞修补公告,需要大家关注与尽快修补,而漏洞已遭利用的消息更需密切关注。
(一)微软修补4个零时差漏洞,有2个已遭骇客利用,包括:MSHTML平台漏洞CVE-2024-38112,以及Hyper-V漏洞CVE-2024-38080。另两个漏洞则是已被公开。
(二)Rejetto档案伺服器系统HTTP File Server(HFS)在5月底修补的漏洞CVE-2024-23692,近期已有一些资安业者示警,发现有骇客锁定并用于攻击行动。
(三)文件转换程式库Ghostscript在5月初修补的RCE漏洞CVE-2024-29510,该漏洞CVE编号于7月初公开,并有研究人员公布相关细节,同时警告该漏洞已被用于实际攻击行动。
还有一个名为Blast RADIUS(CVE-2024-3596)的漏洞揭露要留意,微软、Cloudflare及加州大学圣地牙哥分校的研究人员认为,设备厂商与标准组织IETF都应汰除RADIUS over UDP,考虑使用更安全的传输技术,或翻新此协定的设计。
在资安威胁焦点方面,有2则新闻我们认为值得优先关注,一是多国网路安全机构联手针对中国骇客组织APT40的攻击行动提出警告,同时揭露了锁定澳洲发动攻击的2起案例,供外界了解该组织的作案手法;一是资安业者揭露中国骇客组织SneakyChef的最新攻击行动,指出该组织从2023年8月开始针对欧洲、中东、非洲、亚洲,散布名为SugarGh0st的恶意程式,并常利用政府机关扫描文件作诱饵。
商业电子邮件(BEC)诈骗的威胁仍不容轻忽,本星期有两则这方面的新闻,首先,台湾近期有崴宝精密科技与其客户遭BEC诈骗,其客户依指示将3000万元款项汇至另一个不属于崴宝精密科技的帐户,所幸及时发现,特别的是,这是国内上市柜企业资安重讯发布,首次有企业主动揭露遭遇BEC诈骗;另一起事件是与恶意软体沙箱服务业者有关,他们揭露自身遭遇网钓与BEC诈骗活动,并进一步指出邮件备份应用程式PerfectData有邮件外泄的问题。
在资安事件方面,有3起与国内上市柜公司有关,有2起是国际间资料外泄的消息,包括:
●上市公司东元电机说明发生网路资安事件
●上市公司宅配通说明部份资讯系统遭受骇客网路攻击
●上柜公司圣晖系统工程代子公司公告,揭露圣晖系统集成集团发生资安事件。
●骇客论坛流传一份近100亿帐号密码的「rockyou2024.txt」档案,较2021曝光的版本多出15亿组资料。
●网路犯罪论坛传出有人公布Nokia的7千多名员工个资,以及微软的2千多名员工个资,并宣称这些资料来自两家公司的第三方合作伙伴。
值得注意的是,上述发布资安重讯的东元电机、宅配通,均属于东元集团,他们在证交所发布资安公告之后,后续在网路论坛有人讨论东元电机的空调及家电产品服务,似乎也受到资安事故的影响而停摆,例如,
最近1年新兴的勒索软体骇客组织不断出现,但大部分采用已被外泄的LockBit、Babuk开发工具或是程式码,加以修改就用于攻击行动,但现在资安业者Group-IB揭露的Eldorado相当不同,对方是自行从头打造恶意程式,使得他们的恶意软体不像其他的勒索软体容易推测其运作特征,而难以防范。
昨(7月9日)有许多软体业者发布每月例行更新及相关资安公告,其中微软这次的公告内容相当值得留意,因为他们一口气缓解143个漏洞,这样的修补规模,已超过值得留意的是,本次有4个零时差漏洞,其中有2个已被用于攻击而受到关注。但资安业者Rapid7、漏洞悬赏专案Zero Day Initiative认为,远端桌面连线授权服务、图像编码器、SharePoint的重大漏洞也必须优先处理。
针对即将到来的巴黎奥运,有研究人员发现,骇客锁定想要亲临现场观赏比赛的民众下手,架设冒牌购票网站行骗。他们指出,这些冒牌网站布置极为完整,使用者若非察觉网站有少量因翻译造成的拼写错误,很难察觉有异。
比较特别的是,这些骇客为增加骗得的金钱,冒牌网站的票价竟是正牌的3倍起跳。但是否有其他诱因能说服买家下单?研究人员推测,对方这样做的目的,很有可能是让消费者误以为支付较高金额能得到较佳的待遇,或是因正牌网站销售一空票价被哄抬。