在2024年7月资安新闻中,虽然CrowdStrike引发全球电脑大当机事故的消息不断,占据不少新闻版面,但其实还有不少重要消息需要大家共同关注,因此我们特别选出下列7大焦点,帮助大家快速回顾本月发生的重要事件。
焦点1:震撼全世界的IT大当机,罪魁祸首竟是资安厂商的产品更新。台湾时间7月19日下午1点多,包含台湾与全球都传出Windows电脑大当机的情形,预估有850万台电脑受波及。这起事故的后续消息不断传出,涵盖灾情影响、事故原因、企业应对的报导,甚至还有许多衍生问题的讨论。
因此我们预期,接下来8月还会有更多讨论,持续关注该如何避免这样的问题发生。毕竟,这次事件冲击许多民生关键基础的服务提供,造成的影响甚至比许多网路攻击事件还要严重。
焦点2:台湾上市柜公司资安重讯的新闻在7月明显增加,几乎每隔几天的资安日报中就有相关报导。值得注意的是,这些资安重讯揭露的事件创下单月数量新高,共有10起,包括骅讯、东元、宅配通、圣晖系统集成集团(圣晖代子公司公告),宏盛、助群营造(宏盛代子公司公告)、灿坤、灿星网、光宝科、华经。
特别的是,以东元的事故而言,当时有网友表示报修冷气时,自己无法连上报修网站,前来维修的人员也指出领料系统有状况。以灿坤的事故而言,其线上购物网站至今仍未能复原。
焦点3:国际有多起重大资安事故。7月有AT&T、日本夏普、Twilio、TeamViewer等多起资安事故,美国洛杉矶高等法院也传出遭勒索软体攻击,而被迫关闭网路系统。
先前揭露的polyfill易主后的供应链攻击事件,后续消息也不断传出。较特别的是,这个月还有在特定区域之内发生的软体供应链攻击,7月初我们看到两起事故的揭露,包括印度软体开发业者Conceptworld遭遇软体供应链攻击,以及韩国ERP系统更新伺服器遭软体供应链攻击,显示骇客锁定这些国家,动机不单纯。
焦点4:APT骇客组织的最新攻击活动揭露,也让许多资安事故曝光。例如,以中国骇客组织APT40而言,多国网路安全机构联手对该组织的攻击行动提出警告,同时公布2起澳洲遭遇攻击的案例,让外界了解其手法;以北韩骇客组织APT45而言,多家资安大厂与美国司法部相继揭露该组织的威胁现况,尤其是美国司法部指出有多个重要组织遇害,不只是美国国防承包商、两个美国空军基地、NASA监察长办公室,台湾的国防承包商同样是受害者,这也成为国内需要关切的事件。
焦点5:涵盖范围广泛的高风险漏洞。OpenSSH在7月1日修补了一个RCE重大漏洞CVE-2024-6387,发现与通报这项漏洞的资安业者Qualys,将该漏洞称为regreSSHion,Qualys特别指出,这是OpenSSH问世以来,首次出现可授予完全Root权限的未经授权RCE漏洞。
还有一个漏洞消息值得留意,就是Blast RADIUS(CVE-2024-3596),因为揭露这项漏洞的微软、Cloudflare及加州大学圣地牙哥分校的研究人员指出,这不仅会导致RADIUS通讯协定被攻击者用来发动中间人(MitM)攻击,甚至认为设备厂商应汰除RADIUS over UDP,使用更安全的传输技术,或是标准组织IETF应翻新此协定的设计。
至于最新漏洞利用态势,本月有14个被CISA列入已知漏洞利用清单,包括:Acronis、Adobe、Cisco、微软、OSGeo、Rejetto、ServiceNow、SolarWinds、Twilio、VMware的漏洞,我们在每期资安周报已经不断强调其严重性,需要尽速因应。特别的是,从数量上来看,这次7月有14个算是多的月份,之前6月是9个,5月是14个,4月是10个。
焦点6:电脑与伺服器韧体安全层出现重大危机。韧体安全公司Binarly在7月25日揭露名为「PKfail」的漏洞,指出这是韧体供应链在加密金钥管理实务上的问题,从Binarly公布的受影响产品列表来看,这个问题有9家电脑、主机板与伺服器品牌业者、将近850款产品受影响,恐影响数百万台装置。
值得我们注意的是,当中以台厂技嘉的651款最多,其次为 Supermicro的72款、Dell的48款。这些厂商受影响的数量落差相当悬殊,尤其是技嘉,他们应该要对此提出说明,并尽快解决相关问题。若细部检视PKFail漏洞影响的产品型号,以技嘉而言,涉及的产品类型相当广泛,例如,包括多种类型伺服器(协同运算伺服器、机架式伺服器、高密度伺服器、边缘运算伺服器、储存伺服器、资料中心伺服器)、主机板,以及迷你准系统电脑、嵌入式电脑、笔电等。
焦点7:有国家推动更进阶的MFA机制,要求不要使用OTP码(One-Time Passwords)。在这一星期的漏洞利用消息中,最优先要关注的漏洞利用情形,是Cisco针对NX-OS零时差漏洞CVE-2024-20399提出警告,多款Nexus系列交换器与MDS 9000系列产品线受影响,虽然思科已释出新版修补程式,但也提醒该漏洞在今年4月已有被骇客用于攻击行动的迹象。通报这项漏洞的资安业者Sygnia同时揭露此攻击活动的调查结果,并指出是中国骇客组织Velvet Ant所为。
还有两个重要漏洞修补,需要特别关注,一是开源加密程式库OpenSSH的RCE漏洞,一是苹果应用程式相依性管理套件CocoaPods存在重大缺陷,揭露的不同研究人员均提醒应须尽速修补。
(一)7月1日OpenSSH修补RCE重大漏洞CVE-2024-6387(regreSSHion),提供对于ChamelGang组织的见解,让他们能将其与CatB勒索软体、BeaconLoader联系起来。
在其他资安事件与威胁揭露方面,台湾再度传出半导体业者遭网路攻击的情况,国际间也有Twilio、TeamViewer等的资安事故引发关注,我们整理如下:
●上柜的半导体公司骅讯7月3日发布资安事件重大讯息,说明侦测到部份资讯系统遭受骇客网路攻击。
●Authy用户注意!云端通讯平台Twilio发布资安事故公告,说明他们发现有骇客可经由未经身分认证的节点,辨识出Authy用户的帐户资料,同时他们也要求所有用户尽速更新Authy App。
●远端桌面程式供应商TeamViewer发布资安公告,说明6月底侦测一名员工帐号遭未经授权人士存取,调查显示与APT 29(或称Midnight Blizzard)的俄罗斯骇客有关,7月4日他们再次更新消息,确认影响仅限于该公司内部企业IT环境。
●资安业者揭露有骇客为了散布窃资软体Vidar Stealer,其方法很特别,竟是借由蓄意打造IT技术支援网站,假借提供PowerShell指令码「解决」Windows更新错误,欺骗使用者下载恶意程式载入工具并被植入窃资软体。
此外,先前发生的重大资安事件,现在有更多后续消息传出,包括:前一星期传出的Polyfill供应链攻击事故,已有多个资安业者示警受害规模扩大;去年底俄罗斯骇客Midnight Blizzard入侵微软邮件系统事件也延烧至今,近期传出微软正通知一些美国政府机构,说明可能部分资料遭窃,包括美国国际媒体署、美政府资助的和平部队,以及维吉尼亚州,都受到该次事件的影响。
此外,先前其他国家发生的重大资安事件,最近有更多后续消息。包括:今年3月富士通揭露IT系统遭入侵,如今调查结果出炉,说明发现一个进阶伪装技术的蠕虫程式,从一台公司电脑进而感染49台电脑,并研判部分客户姓名和公司资讯外泄,已通知受影响客户;今年5月美国最大售票平台Ticketmaster遭骇,近期传出骇客为了提高勒索该公司的赎金,不仅公开17万张Taylor Swift演唱会的行动门票条码,还有Ticketfast服务的门票条码档案连结。
两点后,大规模电脑当机消息开始在全球新闻媒体传开,国内传出桃园机场、台大医院、台北荣总营运受影响,全球各国也有大量蓝色当机画面情形的报导。后续,CrowdStrike发布相关公告,说明发生EDR更新档案与Windows系统冲突造成电脑当机,并指出C-00000291.sys是有问题的版本,同时指出这次事件并非遭遇网路攻击,微软在Azure Status服务状态页面也指出,他们在台湾时间中午12点09分同样受到CrowdStrike的影响(事件编号为1VT1-LX0),并表示这次事件与已解决的美国中部Azure资料中心中断事件无关(该事件编号为1K80-N_8)。
至于何起事件是影响航班管理系统服务供应商Navitaire的主因,有待后续厘清。
至于何起事件是影响航班管理系统服务供应商Navitaire的主因,有待后续厘清。