1月上旬Ivanti公布的零时差漏洞引起多家资安业者的高度关注,原因是这项漏洞公布时该公司并未提供修补软体,接著便传出骇客大规模利用的情况。
但在一周后,又出现新型态的攻击手法,骇客将其部署以Rust打造的恶意程式,而使得行踪更难以捉摸,直到最近才有研究人员确定其攻击手法,但对于骇客的目的,研究人员并未进一步说明。
【攻击与威胁】
中国骇客组织Volt Typhoon挟持生命周期已经结束(EOL)、缺乏安全防护措施的思科、Netgear路由器架设僵尸网路KV Botnet,渗透美国关键基础设施(CI),日前有知情人士透露美国政府已采取行动反制,如今这项传闻得到证实。
1月31日美国司法部(DOJ)宣布,联邦调查局(FBI)在去年12月取得法院授权,远端从受到感染的网路装置当中删除了KV Botnet僵尸网路病毒。网路安全暨基础设施安全局(CISA)局长Jen Easterly指控,Volt Typhoon意图埋伏美国关键基础设施,准备在美国发生重大危机或是冲突时,发动破坏性的网路攻击,破坏天然气管道、污染水利设施、切断电信网路,或是瘫痪交通系统。
值得留意的是,DOJ认为,FBI切断路由器与僵尸网路之间的连结,只有暂时性的效果,一旦使用者重新启动路由器,就有可能再度感染僵尸网路病毒而受到控制,对此,FBI著手通知这些装置的所有者并提供防护建议;CISA针对SOHO装置制造商,发布安全设计(Secure by Design)的指引。
资料来源
1月25日程式码储存库GitLab针对社群版(CE)、企业版(EE)发布安全性更新16.8.1、16.7.4、16.6.6、16.5.8版,当中总共修补了5个漏洞,其中最值得留意的是重大等级的CVE-2024-0402。
这项漏洞允许攻击者在通过身分验证的情况下,在建立工作区(workspace)的过程中于GitLab伺服器的任意位置写入档案,CVSS风险评分为9.9。
其他漏洞为中度风险等级,而有可能导致正规表示的阻断服务(Regular expression Denial-of-Service,ReDoS)攻击、HTML注入、透过RSS来源泄露使用者的电子邮件地址。
【资安防御措施】