在今天的资安日报当中,已知漏洞的攻击行动占据大部分版面,其中又以DevOps协作平台Atlassian Confluence的攻击行动最值得留意,对方将其用来散布勒索软体Cerber。
值得留意的是,这个漏洞修补至今已近半年,但骇客仍能将其用于发动攻击,这代表仍有不少Confluence伺服器尚未套用修补程式,而曝露相关风险。
【攻击与威胁】
研究人员指出,由于在预设组态中,Confluence伺服器以低权限使用者(confluence)执行,因此该勒索软体能加密的档案有限,仅为该帐号能够存取的资料。但若是攻击者能够取得较高权限,加密档案的范围将会扩大。 值得留意的是,骇客利用这项漏洞散布Cerber已非首例。去年11月,资安业者Rapid7发现该勒索软体的攻击行动,对方其中一个利用的漏洞就是CVE-2023-22518。
资安业者Fortinet指出,他们最近发现有6种僵尸网路病毒利用上述漏洞,包括Moobot、Miori、Condi,Go语言打造的AGoent,以及Gafgyt和Mirai变种病毒。自今年3月开始,试图利用该漏洞的攻击行动大多一天超过4万次,到了3月底更出现接近5万次的高峰。
两天后攻击者进行侦察,确认FortiClient EMS是否仍旧存在漏洞,然后下达经过混淆处理的命令执行数次SQL注入攻击,并透过恶意指令码下载远端管理工具ScreenConnect,以及渗透测试框架Metasploit的套件Powerfun。 由俄罗斯军方指使的骇客组织Sandworm近期动作频频,有研究人员发现,这些骇客打著其他组织的名号,企图埋藏其攻击行动。 资安业者Mandiant发现,这些骇客经营至少3个Telegram频道,并自称是XakNet Team、Cyber Army of Russia Reborn(CARR)、Solntsepek来从事攻击行动,其中CARR与Sandworm的关系似乎最为密切,而且他们的YouTube频道是透过Sandworm的基础设施设置。 值得留意的是,虽然CARR在Telegram频道宣称大部分的目标是乌克兰实体,但研究人员发现,这些骇客也承认对美国及波兰的供水设施,以及法国水力发电系统发动攻击,并公布影片与萤幕截图,证明他们已控制受害环境的操作科技(OT)资产。 其他攻击与威胁 FortKnox网路防护储存与复原服务是Cohesity资料云服务的一部分,透过引进Intel SGX技术,可以加密在记忆体中处理的资料,防止任何特权帐户查看或下载记忆体中的资料,让用户在云端环境进行安全的机密运算。而透过记忆体内容的加密,也补上了网路传输端的动态加密,与储存装置端静态加密之间的安全性缺漏环节。