透过传送大量讯号瘫痪设备运作的攻击手法,可说是相当常见,但最近有研究人员揭露一种造成通讯无限循环而产生大流量的方法,一旦触发,就算是攻击者也无法将其停止。
值得留意的是,这种新方法估计有30万台伺服器曝险,虽然尚未有人将其用于实际攻击行动,但研究人员呼吁,IT人员还是应尽速采取因应措施。
【攻击与威胁】
Ivanti自1月上旬至2月初,揭露Connect Secure、Policy Secure多个漏洞,包括:CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893、CVE-2024-22024,并出现多起漏洞利用攻击事故,现在传出美国政府机关受害的情况。
根据资安新闻网站Recorded Future News的报导,美国网路安全暨基础设施安全局(CISA)表示,他们在一个月前发现使用的Ivanti产品,遭到漏洞利用的活动,并指出仅有2个系统受到影响,CISA随即将其下线,并表示暂时不会对营运造成影响。但对于攻击者的身分,以及是否有资料遭窃,CISA并未进一步说明。
知情人士透露,遭到攻击的系统分别是:基础设施防护闸道(Infrastructure Protection Gateway),以及化学品安全评估工具(Chemical Security Assessment Tool,CSAT)。CISA不愿对此说法进行证实,亦并未说明上述两个系统的运作状态。
3月13日资安业者Fortra发布公告,指出旗下的档案传输系统FileCatalyst存在重大漏洞CVE-2024-25153,此弱点与资料夹穿越有关,出现在该系统的工作流程(Workflow)入口网站,一旦攻击者发出特制的POST请求,就有机会从外部上传档案到特定资料夹,CVSS风险评分为9.8。
这项漏洞在去年8月发现,影响FileCatalyst 5.x版,当时该公司已推出5.1.6 Build 114版予以修补。但为何现在才发布公告?该公司表示,他们在去年12月取得CVE编号管理者(CVE Numbering Authority,CNA)资格,并因应通报该漏洞的威胁情报业者LRQA Nettitude的请求,将这个漏洞进行列管。LRQA Nettitude也于3月13日,公布该漏洞的细节及概念性验证(PoC)程式码。
资料来源
资安业者Wordfence指出,他们在举办第2届漏洞悬赏活动的过程中,收到miniOrange开发的WordPress外挂程式Malware Scanner权限提升漏洞通报,一旦攻击者加以利用,就有机会在未经身分验证的情况下,透过更新密码的管道取得管理员权限,由于超过1万个网站采用此外挂程式,影响范围相当广泛。
然而,该公司的威胁情资团队对漏洞进行确认的过程中,发现这名开发者另一个外挂程式Web Application Firewall也有相同的漏洞。此漏洞被登记为CVE-2024-2172,影响上述两款由miniOrange开发的外挂程式,CVSS风险评分达到9.8,3月5日Wordfence向开发者通报相关细节,对方决定停止提供这些外挂程式因应,对此,Wordfence呼吁网站管理者尽速移除,并寻找替代方案。
【资安产业动态】
此外,该修复工具可提供程式码建议,让开发者在几乎不需要编辑程式码的情况下,修复超过三分之二的漏洞。