回顾这一星期的资安新闻前,先来聊聊最近台湾上市柜公司接连发布资安事件重大讯息的现况,最近我们发布的封面故事,就是特别以此为题的报导与探讨,当中整理出2023年台湾上市柜公司有23起资安事件相关重大讯息,并得知这些资安事故的背后,多半是勒索攻击造成,另一方面,早已不断受媒体关注的个资外泄消息,近一年也登上重讯版面,在我们进一步追踪下,更是发现先前诺贝儿、雄狮遭网路骇客攻击事件的后续消息,就有因个资外泄受个资法的情形,且开罚金额已经提高至200万,不同于过去的20万。
这些现象的出现,在在突显企业经营层在看待营运风险时,需更重视勒索攻击的危害,以及个资外泄的影响。特别的是,在我们与证交所联系过程中,还发现资安事件「重大性」的认定,已有明确标准可依循,上市公司的部分在1月已经完成相关修订,上柜公司的部分也确定即将发布。
在关注企业揭露资安事件之余,我们还有不同资安领域的消息需要重视。
在本星期的漏洞利用消息方面,有3个重点,企业需优先因应的是苹果与JetBrains的漏洞。
(一)苹果修补多款产品的2个记忆体损坏漏洞CVE-2024-23225、CVE-2024-23296,都是已遭锁定攻击的零时差漏洞。
(二)JetBrains修补旗下CI/CD软体平台TeamCity的两个漏洞,特别的是,由于该公司没有知会通报漏洞的Rapid7、私下修补且不公开漏洞,使得Rapid7同日公开漏洞细节。后续,外界发现漏洞CVE-2024-27198已遭锁定利用。
(三)两个老旧漏洞近期发现遭锁定利用,包括:2021年8月的Sunhillo SureLine OS命令列注入漏洞(CVE-2021-36380),以及去年6月的Android Pixel资讯揭露漏洞(CVE-2023-21237)。本期资安日报尚未提及,在此补上。
其他可留意的漏洞修补消息,包括VMware修补旗下多款产品的4个重大漏洞,以及脸书修补密码重置漏洞。
在资安事件焦点方面,一开始提及勒索软体与个资外泄的威胁态势,本周也有多起这方面的新闻报导,我们整理如下:
●勒索软体骇客组织Dunghill在2月29日声称入侵上柜公司安瑞科技,我们取得安瑞的回应,他们表示子公司Array US于3月1日,侦测到资讯系统遭受病毒攻击。目前调查未有客户敏感资料外泄,也不影响营运。
●美国CISA等多个机构针对近期勒索软体Phobos的攻击态势提出警告,2月有新的变种出现,主要锁定关键基础设施、地方政府、急难、教育与医疗单位。
●去年底Line用户个资外泄事件有后续消息,原因是LYC与关系企业Naver Cloud因部分系统共用,而双方于韩国采用的外包厂商,其员工电脑遭到恶意程式感染,因此最近日本总务省要求两家公司应切割IT基础架构。
●美国运通向客户通知发生资料外泄事件,原因是第三方信用卡交易处理服务提供商的系统遭骇客入侵 ,导致有未经授权存取的情况。
还有一项针对我国而来的攻击活动,需要大家关注。继月前有资安业者Trellix发布报告,指出台湾总统大选投票前一天所遭受的网路攻击大幅增加,近日又有趋势科技揭露这方面的态势,指出中国骇客组织Earth Lusca在去年12月至今年1月的新一波攻击活动中,会使用地缘政治议题为诱饵来发动网钓攻击,并且其内容疑似盗用未发表的专家文章。由于研究报告中提到相关文章遭盗用、相关政治专家或所属组织可能遭入侵,我们认为,上述人士需赶紧检视自身装置、帐号的防护,避免受害却仍不自觉。
在资安防御态势上,我们注意有3个重点,主要针对开发安全与LLM的安全。
首先,开发者要注意!最近GitHub将去年推出的推送保护(Push Protection)功能,改为预设启用。特别的是,我们发现GitHub在宣布此消息之余,同时提到他们最近在公开储存库扫描时的发现:今年已侦测到上百万笔机密资料泄漏(API金钥、令牌与各种机密),如此大量只发声在短两个月内。此一情形,很有可能就是现在将Push Protection改为预设启用的原因。
此外,前几年美国白宫邀科技大厂解决开源安全问题时,改用记忆体安全程式语言,就是十大重点工作之一,最近美国白宫更是发布相关报告,亲自呼吁科技界主动减少网路攻击面,不要使用缺乏记忆体安全相关功能的C和C++。这样的态势值得台湾政府及所有IT资讯产业关注,毕竟要打造可信赖的供应链生态体系,软体开发安全亦是关键,尤其是各种可滥用的软体漏洞中,记忆体安全漏洞占了绝大多数,因此是所有程式开发相关都要设法克服的挑战。
最后是大型语言模型(LLM)当红,如今面对提示词注入、模型拒绝服务,以及敏感资讯泄漏这三种模型攻击,如何设法应对成挑战,最近开始有资安业者发表可应对这些威胁的网页应用防火墙(WAF),Cloudflare指出,其作用可阻挡有问题的请求输入模型,并具备敏感资料侦测能力,可用于阻止在回应中泄漏机密资料,另一方面,也可阻止使用者将资料传送到公用LLM。
上个月有资安业者Trellix揭露针对台湾总统大选而来的网路攻击行动,并指出攻击行动在投票日前24个小时达到高峰,骇客的目的是收集特定候选人情资。而针对这场选举而来的网路攻击不仅止于此,最近有研究人员公布与此有关的资安威胁活动。
趋势科技近期公布中国骇客组织Earth Lusca的网路钓鱼攻击,巧合的是,这起事故发生在选举前2天,骇客疑似透过地缘政治议题来引诱使用者上钩。