上个月底研究人员发现资料压缩程式库XZ Utils专案遭遇供应链攻击,影响采用的SSHD元件,但采用此程式库套件及其中的LZMA资料压缩程式库liblzma专案甚多,难道只有SSHD中招吗?
事隔两周,目前尚未有相关组织或是研究人员提出进一步说明,然而,在此不明朗的情况下,类似的供应链攻击事故再度传出。
【攻击与威胁】
程式库liblzma原是在XZ Utils实作的LZMA资料压缩程式库,有人以Rust程式语言打造同名程式库,上架于Rust套件库crates.io,提供给开发者运用。
对此,研究人员9日于该专案的程式码储存库GitHub通报此事,数个小时后开发者移除相关程式码。在下架之前,受影响的liblzma、liblzma-sys程式库分别被下载5,500及1,100次。
4月4日日本光学设备制造商Hoya证实,他们在3月30日侦测到网路安全事故,日本总部及数个事业部门的IT系统受到影响,现在有更多消息传出。
新闻媒体LeMagIT透露Hoya遭遇勒索软体攻击,并指出攻击者的身分是Hunters International,对方声称取得约2 TB的内部资料,档案数量约有170万个,并向Hoya索讨1千万美元赎金,要胁不得讨价还价。
不过,这些骇客并未公布档案内容的萤幕截图,也没有透露取得的资料及档案类型,或是公布部分资料让买家进行验证,因此相关资讯的真实性仍有待进一步确认。
4月10日资安业者Volexity侦测到骇客组织UTA0218针对客户部署的Palo Alto Networks防火墙从事攻击行动,对方锁定防火墙作业系统PAN-OS的防护功能GlobalProtect,触发其零时差漏洞,随后研究人员收到客户防火墙可疑流量的警报,进一步调查确认设备遭到破坏。隔日,他们又看到同一组人马利用相同漏洞从事攻击行动。
研究人员进一步调查,这些骇客先从远端渗透该厂牌防火墙,得逞后建立反向Shell,然后下载其他作案工具,其中包含后门程式Upstyle(但并未成功)。最终对方将防火墙的配置资料汇出,并以受害设备做为入侵目标组织的管道,然后进行横向移动。他们研判对方从3月26日就开始从事相关攻击,当时就有多个组织受害。
对此,研究人员进行通报,Palo Alto确认这是命令注入漏洞CVE-2024-3400,CVSS风险评分为10,影响执行PAN-OS 10.2至11.1版作业系统的防火墙设备,云端版本的Cloud NGFW,以及Panorama设备、Prisma Access不受影响。该公司也证实,该漏洞已被用于攻击行动的情况,并从14日开始发布部分版本修补程式。