在8月最后一周的漏洞消息中,有5个漏洞利用状况,其中金山WPS Office零时差漏洞CVE-2024-7262遭韩国骇客挖掘并利用最受瞩目,因为金山应该早就知道漏洞已被利用的情况,并且悄悄在前几个月就修补一小部分,再加上通报后金山的回应出现矛盾状况,使得研究人员公开揭露这两个漏洞,并且发布这次研究报告来仅告金山用户。
●韩国骇客利用WPS Office零时差漏洞,企图于东亚组织植入后门SpyGlace
●2个已遭利用零时差漏洞情形与Chrome有关,Google分别修补了存在V8的漏洞CVE-2024-7971、CVE-2024-7965。
●开源ERP系统Apache OFBiz在8月初修补的漏洞CVE-2024-38856,月底时被美国CISA列入已知漏洞利用清单
●WordPress外挂程式LiteSpeed Cache修补漏洞CVE-2024-28000,一周后已发现有锁定的攻击行动。
还有一个是先前Versa Director零时差利用的后续消息,如今攻击者的身分被揭晓,是中国国家级骇客Volt Typhoon所为,并且是美国电信业者旗下资安团队揭露,指出有5家业者遭入侵,涵盖ISP电信商业与MSP服务托管供应商,并说明早在6月就有锁定的攻击行动,而修补也是在当时就释出。
在资安威胁态势上,我们列出5个重点新闻,其中下列第一则是前所未见的重导NFC、窃取感应支付的犯罪手法,由于在捷克已有3家银行客户受害,值得留意;第二则反应了新的APT威胁态势,俄罗斯骇客APT29疑似取得商业间谍组织(CSV)的攻击程式并加以改造,因为近期APT29使用的攻击工具非常类似Intellexa与NSO Group开发的攻击程式。
●出现使用NFCGate的流量分析开源工具并重导NFC通讯流量的攻击手法,可将受害者Android手机内的支付卡资讯传给骇客。
●俄罗斯骇客APT29开始利用Intellexa与NSO Group所开发的攻击程式
●RansomHub攻击行动使用可破坏EDR运作的新版恶意驱动程式PoorTry
●发现新一款锁定macOS攻击的窃资软体Cthulhu Stealer
●保险公司旗下风险管理业者揭露名为sedexp的Linux恶意软体,会滥用Linux核心的装置管理系统udev的规则,并在网页伺服器窃取信用卡资料。
至于资安事故焦点方面,美国西雅图Tacoma国际机场(SEA)在24日传出疑似遭到网路攻击,且数天都还没有恢复,不止影响网站、邮件系统等数个系统网路中断,也影响行李托运相关的系统。
在国内,则传出一起因资安检测引发驻点工程师误删档案的事故,发生在劳动部劳动力发展署(劳发署)高屏澎东分署。该分署当日已证实厂商人员维护时发生人员作业疏失,造成部分电脑本机备份资料遭到删除。
不过,自由时报的报导中还透露更多消息,像是有484部电脑受影响,并提到厂商工程师是为了资讯安全检查,将电脑D槽内档案全部加密,包含历年资料及正在进行的计划都被删光。但由于陈述较为凌乱、事件脉络未能完全疏理,这让外界更好奇事发经过,但目前也很难以厘清事件经过与原因。
在国内资安社群动向方面,今年台湾骇客年会(HITCON)社群场的举办,有多场精彩的漏洞挖掘经验的公开。包括:戴夫寇尔资安研究人员蔡政达(Orange Tsai)阐释Apache HTTP Server方面的研究,说明Confusion Attacks的新攻击面;还有杨安杰(Angelboy)公开在Pwn2Own Vancouver 2024中攻下Windows 11的成果,并阐释对于Kernel Streaming的研究历程。而在本次大会活动方面,最特别是我们看到半导体封装测试大厂日月光的参与,相当难得,他们资安团队并设计了一个SOC事件调查的情境解题游戏。
为了提升使用者浏览网站的体验,许多WordPress网站可能会导入外挂程式LiteSpeed Cache,但最近开发商修补的重大层级漏洞CVE-2024-28000,已有实际攻击行动出现。
由于此外挂程式全球有超过500万个网站采用,但事隔一周仍有近4成尚未修补而成为骇客下手的目标。值得留意的是,该外挂程式今年已二度遭遇大规模漏洞攻击。
为了避免端点防护系统干扰勒索软体加密档案,最近2至3年,骇客利用含有弱点的驱动程式来达到目的,其中一款名为PoorTry的恶意驱动程式,最近引起研究人员高度关注。
研究人员特别提及,此恶意驱动程式也纳入了资料破坏软体(Wiper)的功能,而能删除EDR系统的EXE、DLL元件,使其无法再度运作。