在漏洞利用相关消息中,这个星期最受关切的是,Ivanti再度成为骇客发动Zero-day攻击的目标,该公司旗下SSL VPN、NAC产品线的零时差漏洞CVE-2024-21893已遭成功利用。这已是Ivanti本月要修补的第3个零时差漏洞。
已知漏洞被成功利用的情形,同样引发重视,最近有3起这样的情形,而且骇客都是针对1月才刚释出修补的漏洞。
首先,是持续整合开发工具Jenkins的重大漏洞CVE-2024-23897,开发团队1月24日释出修补,但骇客很快就锁定这个漏洞,两日后外部已有成功滥用情形。
另一是WordPress网域迁移辅助外挂程式Better Search Replace的重大漏洞CVE-2023-6933,开发商WP Engine在两周前释出1.4.5版修补,资安业者Wordfence则等到1月24日才揭露这个漏洞,但公布后就已侦测到2,500起漏洞利用攻击。
最后,是苹果在本月上旬修补的漏洞CVE-2022-48618,月底发现已遭成功利用,由于漏洞存在于WebKit,不只iPhone、iPad、Mac电脑Apple TV受影响,后续苹果也针对最近刚出炉的混合实境装置Vision Pro发布修补。
还有一个漏洞修补情形,其严重性我们认为也要多加留意,最近Fortra揭露GoAnywhere漏洞CVE-2024-0204,该公司表示,已在12月7日释出新版修补,但一个月后的此刻才公告这项消息。
其他重要漏洞消息,包括:Juniper Networks修补网路设备作业系统高风险漏洞,Google Cloud修补GKE的重大漏洞,以及多个Linux发行版本修补glibc程式库的3个漏洞。
在资安事件焦点上,这半个月来,所有资安媒体都在关注微软公司电子邮件遭入侵的事故,因为该公司持续向外界揭露更多资讯。微软自1月17日向美国证券交易所(SEC)提交资安事件报告后,19日更是明确指出攻击者是Midnight Blizzard(APT29),25日他们公布更多细节,包括汇整出他们发现攻击者的行动与手法,并说明攻击者是如何避过侦测。
在资安威胁态势上,这段期间以资料外泄与勒索软体的消息最多,我们整理如下:
●被视为OpenAI有力竞争者的AI新创Anthropic,最近通知客户坦承他们发生资料外泄,原因是外包商不慎将客户资料传给第三方组织。
●施耐德电机传出遭勒索软体Cactus攻击,导致Resource Advisor能源监测云端平台服务中断,数TB公司内部资料遭窃。该公司在网站公告发生资安事件,说明仅影响其永续发展业务部门,正采取复原的补救措施。
●英国美容保养品牌业者Lush在官方网站发布资安事件公告,先于1月11日揭露事件,30日证实成为勒索软体受害者。另一方面,勒索软体组织Akira宣称是他们所为,并窃取了110 GB资料。
●有勒索软体咨询服务业者Coveware揭露最新勒索软体的季度报告,我们看到几个重点,例如,2023第四季前4大勒索软体为Akira、BlackCat、Lockbit、Play,5到8名均为新入榜,分别是Silent、Medusa、NoEscape、Phobos。报告中也提到受害者付赎金的比例已不到3成,再创新低。
在资安防御态势上,有两则新闻备受关注,分别是反制国家级骇客攻击,以及车联网安全的进展。
例如,针对去年攻击美方关键基础设施的中国骇客组织Volt Typhoon,最近美国司法部宣布已采取行动,成功破坏该组织打造的僵尸网路与掌控的网路设备,也就是针对受感染的网路装置,删除当中的KV Botnet僵尸网路病毒,并将通知装置所有者,以及给予防护建议,另也针对SOHO装置制造商给予Secure by Design的指引;第一届Pwn2Own Automotive汽车骇客大赛在东京举办,透过奖励机制,来鼓励资安研究人员发现并且负责任地揭露安全漏洞,漏洞竞赛类别涵盖Tesla、车载资讯娱乐(IVI)系统、电动车充电器与作业系统,这场活动共找出49个漏洞。
有多组研究人员本周针对持续整合开发工具Jenkins的重大漏洞CVE-2024-23897提出警告,先是有人于程式码储存库GitHub公开滥用此漏洞的概念性验证程式码(PoC),随后,有些蜜罐陷阱也出现遭到骇客尝试利用漏洞发动攻击的情况。
但在此同时,仍有许多IT人员尚未部署相关更新软体,目前已知有多达7万台Jenkins伺服器曝险,可能成为骇客下手的目标。
1月上旬Ivanti公布的零时差漏洞引起多家资安业者的高度关注,原因是这项漏洞公布时该公司并未提供修补软体,接著便传出骇客大规模利用的情况。
但在一周后,又出现新型态的攻击手法,骇客将其部署以Rust打造的恶意程式,而使得行踪更难以捉摸,直到最近才有研究人员确定其攻击手法,但对于骇客的目的,研究人员并未进一步说明。