在这一周漏洞利用消息中,有两个新漏洞及两个已知漏洞遭锁定的消息,成为企业必需关注的重点,包括:
(一)思科公开网路设备作业系统IOS XE作业系统的零时差漏洞CVE-2023-20198,严重等级达到CVSS满分,并警告大家已出现攻击者成功利用该漏洞的情形,他们建议,目前用户系统若是暴露在公开网路,应将IOS XE的HTTP Server功能关闭,并注意后续修补更新的释出。揭露此消息之后的隔天,随即有资安业者回报灾情,因为他们发现多达数千台Cisco IOS XE装置已被植入了恶意档案。
(二)近期Milesight工控路由器(industrial cellular routers)漏洞CVE-2023-43261已公开揭露,尽管该设备商表示早已修补,但值得注意的是,有资安业者透露此漏洞可能已被恶意利用,并指出这类产品用于铁路货运运输、自动提款机(ATM)网路与紧急车辆使用。依此态势来看,交通与金融服务均可能面临威胁。
(三)今年7月WinRAR修补的零时差漏洞(CVE-2023-38831),自4月即遭到攻击者成功利用,本周有多家资安业者分别指出,发现俄罗斯与中国国家骇客组织所发动的网钓攻击,正积极利用这个已知漏洞。
(四)今年9月JetBrains修补CI/CD软体平台TeamCity重大漏洞(CVE-2023-42793),如今传出有北韩骇客组织Lazarus及旗下团体Andariel锁定该已知漏洞利用的消息。
其他漏洞消息方面,包括:Juniper Networks修补网路设备作业系统逾30个漏洞、Oracle季度安全更新修补185个漏洞。
在网路威胁焦点上,我们选出几个重大事件,包括2个新攻击手法,以及4个锁定不同产业而来的网路攻击行动的揭露:
●新型态Magecart信用卡侧录(Card Skimming)攻击行动的揭露,骇客使用了网站预设404错误讯息页面来隐藏他们的恶意程式码。我们甚至看到揭露的资安研究人员指出,这是他们前所未见的创造性隐匿手法。
●还有攻击者部署窃资软体时的新手法揭露,骇客滥用了币安智能链(BSC)数位货币合约,也就是先利用植入WordPress的恶意程式码,将流量导向币安,再从区块链取得恶意指令码注入网站,这也导致攻击程式码难以清除的挑战。
●关于电信产业的威胁,乌克兰电脑紧急应变小组(CERT-UA)指出,最近半年来,该国至少11家电信业者遭到俄罗斯骇客组织Sandworm攻击,他们也公布目前发现的骇客攻击手法。
●东南亚国协会员国的外交单位遭锁定,资安研究人员发现中国骇客使用的后门程式Bloodalchemy。
●东欧石油产业、天然气公司、国防工业遭后门程式框架Meta锁定,资安业者发现攻击者从工控环境入侵总公司内部网路,并利用钓鱼邮件、IE浏览器漏洞CVE-2021-26411触发感染链,入侵财务系统的伺服器。
●程式开发与资料科学领域常用的Jupyter Notebook遭锁定,骇客除了将伺服器的运算资源拿来挖矿,也企图窃取组织使用的AWS、Google Cloud云端服务帐密资料,进一步扩大危害的范围。
另外,还有3起资料外泄消息,包括:卡西欧坦承他们的教育网页应用程式ClassPad.net的开发环境伺服器,遭到未经授权存取而泄漏资料,波及149国客户;基因检验业者23andMe传出资料外泄,410万笔英国民众资料流入骇客论坛;台湾网路设备厂商友讯科技(D-Link)传资料外泄,该公司证实的确有程式码外泄的情况,起因是员工遭网钓攻击,而且,他们表示,外流资料并非骇客宣称的D-View原始码,而是旧的会员注册网站的程式码。这项说法显然有别于先前传闻,孰是孰非仍有待观察。
至于防护态势上,开源软体供应链安全领域今年受到各界重视,范围相当广泛,虽然多家厂商均宣示要强化管控,但在开发人员之间流通的各种延伸套件,资安问题仍层出不穷,现在终于出现提升能见度的新做法。由于过去缺乏恶意套件公共资料库,不易汇总相关发现与报告,因此开源安全基金会OpenSSFGitHub上推出恶意套件储存库,帮助外界更有效掌握已知恶意套件;在金融诈骗安全防护领域,台湾今年积极引进与推动AI进行协助,例如,内政部警政署刑事警察局4月成立AI鹰眼识诈联盟,其AI侦测专利技术的「鹰眼模型」由北富银与内政部刑事警察局合作开发,本周有32家银行宣布加入该联盟,扩大鹰眼模型防护范围,预计明年6月前完成导入。