在这一周漏洞利用消息中,有两个新揭露的已知漏洞随即遭攻击者锁定的消息,持续提醒企业及时修补的重要性。
(一)Apache软体基金会的讯息导向中介软体ActiveMQ,在10月25日释出新版修补CVSS风险高达10分的漏洞CVE-2023-46604。相隔两日,资安业者发现勒索软体HelloKitty的骇客开始锁定此一已知漏洞,针对尚未修补该漏洞的企业发起攻击行动。
(二)F5在10月27日针对应用程式交付平台BIG-IP修补两个漏洞,分别是CVE-2023-46747与CVE-2023-46748,到了10月30日,F5更新公告指出,修补释出后发现开始有攻击者在攻击行动中利用这两个已知漏洞。
其他重要漏洞修补消息中,包括适用于K8s环境的Nginx Ingress控制器有多个漏洞修补,以及Atlassian针对DevOps协作平台Confluence的重大漏洞修补,已有研究人员与业者示警应尽速修补。
在资安防御进展上,本周我们关注到有多个焦点,统整为以下五大范畴:漏洞评分标准、攻击手法解析、勒索软体防范、AI安全法规推动,以及科技大厂宣布调整资安应对策略。
●FIRST推出新版漏洞风险评分系统CVSS 4.0:这是2019年6月CVSS 3.1版推出后的重大改版,新版分数呈现上不只有列出基本分数的CVSS-B,还加上威胁评分的CVSS-BT、加上环境评分的CVSS-BE,以及统合3种分数的CVSS-BTE。
●MITRE发布第14版ATT&CK:当中指出随著攻击者不断发展对人性弱点(human vulnerabilities)的利用,因此这次版本扩大到这类非技术攻击面,例如:金融窃盗的T1657、T1656的模拟冒充、T1598.004的鱼叉式网路钓鱼语音。
●AI安全持续受全球政府关切:10月30日美国总统拜登签署首个AI行政命令,11月1日英国号召的首届AI安全高峰会(AI Safety Summit)举行,多国签署布莱切利宣言,并就人工智慧最前线(Frontier AI)所带来的机会与风险达成共识。
●对抗勒索软体威胁仰赖全球合作:美国主导的国际反勒索软体高峰会(CRI)今年迈入第3届,制订首个CRI联合政策声明,成员数目亦达到50个,新增国际刑警组织,以及埃及、希腊、约旦等12国。
●面对持续升温的网路威胁,微软宣布即日起将采新应对措施:该公司提出Secure Future Initiative(SFI)的未来安全倡议,将从三大方面著手,发展基于AI的安全防御、落实安全软体开发,以及呼吁制定更全面性的国际资安规范。
在威胁事件焦点方面,近日有两起受关注,一是航空制造业龙头波音证实遭遇网路攻击,导致零件配送网站服务中断,另一是身分验证解决方案业者Okta再传资料外泄,起因为第三方供应商遭骇。
我们也特别注意到一个新的威胁态势,近期有资安业者揭露网路犯罪供应链的分工是越来越细致,不只是前几年常提到的「初始入侵管道掮客(Initial Access Broker)」,就连攻击者使用的短网址也有专门供应商服务,并指出这样的组织至少已存在4年之久,注册上万网域来提供攻击行动的短网址服务。
另一个无法忽略的状况是,今年早先发生的资安事件,至今仍持续有相关消息传出,显示后续影响仍大。例如,近期有多家业者传出的资安事件,起因公布是先前MOVEit Transfer零时差漏洞攻击所导致;有加密货币窃盗事故,研究人员指出起因疑与先前密码管理解决方案LastPass资料外泄有关;此外,针对2020年SolarWinds供应链攻击事故,美国证券交易委员指控该公司蓄意隐瞒。
过往不断有研究人员对开发者提出警告,将专案所需存取的帐密资料写入程式码,将有可能带来危害。而最近研究人员发现的挖矿攻击行动EleKtra-Leak,就是这样的典型例子,攻击者从公开的GitHub储存库收集AWS帐密资料,再趁机夺取这些用户花钱租用的EC2执行个体服务进行挖矿。
特别的是,骇客利用这些帐号挖矿之后,竟然把它们列入黑名单,这样的手法可说是相当少见。
伊朗骇客攻击中东国家的情况越来越频繁,最近出现了新的骇客Scarred Manticore,他们主要针对目标组织的Windows伺服器而来。
但值得留意的是,这些骇客的恶意程式与C2连线的管道相当特别,竟是透过作业系统底层的驱动程式来进行,这种手法使得受害组织难以察觉他们的攻击行动。
但值得留意的是,这些骇客的恶意程式与C2连线的管道相当特别,竟是透过作业系统底层的驱动程式来进行,这种手法使得受害组织难以察觉他们的攻击行动。