【资安周报】2024年9月16日到9月20日

中秋假期间的资安威胁不容小觑,近期有多个攻击行动被揭露,其中两起消息值得留意,一是资安业者揭露中国骇客Earth Baxia今年7月曾针对台湾某个政府机关发动攻击,值得注意的是,该攻击利用GeoServer已知漏洞发动攻击,并植入后门程式EagleDoor;一是发现中国骇客锁定代管企业网站的IIS伺服器入侵的情形,主要利用特定的网页应用程式服务来部署Web Shell,而其针对的目标是欧亚地区的企业网站。

●台湾政府机关遭中国骇客Earth Baxia攻击,资安业者指出是其手法是借由GeoServer已知漏洞发动攻击。
●中国骇客DragonRank攻击亚洲、欧洲IIS伺服器,还会利用恶意程式PlugX、BadIIS来操纵搜寻引擎的排名。
●恶意程式Amadey窃取帐密资料有新招,利用浏览器的Kiosk模式来提升凭证窃取的攻击成功率。
●防毒业者Dr.Web惊传遭入侵,暂时切断所有伺服器的连线。
●台美国防工业会议相关人士遭到锁定,资安业者Cyble揭露发现相关诱饵档案,是伪装PDF档案的Windows捷径档。

在漏洞消息方面,本周有多个漏洞利用状况,我们注意到前不久修补的IE漏洞CVE-2024-43461,出现新的变化——当时微软指出该漏洞并未被大规模利用,一星期后确认该漏洞在修补之前就被利用。
●微软本月修补的Windows MSHTML平台漏洞CVE-2024-43461,后续发现在修补前已遭Void Banshee骇客组织利用。
●Progress在8月底修补WhatsUp Gold的漏洞CVE-2024-6670,资安业者警告已出现实际攻击行动。
●Ivanti修补Cloud Services Appliance已遭利用的2个零时差漏洞:CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修补的漏洞CVE-2024-27348,最近发现遭积极利用。
●多个旧漏洞被美CISA列入已知漏洞利用清单,包括:微软SQL Server报告服务的漏洞(CVE-2020-0618)、Oracle ADF Faces的漏洞(CVE-2022-21445)、Oracle WebLogic Server的漏洞(CVE-2020-14644),以及Adobe Flash Player的漏洞(CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502)。

还有多个漏洞修补消息需尽速因应,包括:GitLab修补CVSS满分漏洞,以及OpenShift、VMware vCenter伺服器、新兴AI系统AutoGPT、D-Link Wi-Fi路由器等的漏洞修补。

此外,本星期还有一类型资安新闻也成重要焦点,因为骇客攻击家用连网设备的消息不断,涵盖家用路由器与Android电视机上盒。

例如,僵尸网路Quad7最新一波攻击行动的揭露,继先前TP-Link路由器发现被锁定,如今攻击范围扩大,兆勤(Zyxel)、华硕、Ruckus等厂牌的路由器产品都成锁定目标;还有美司法部宣布破获中国骇客组织Flax Typhoon委由中国业者Integrity Technology Group建立的Raptor Train僵尸网路。

还有130万台Android电视机上盒的韧体遭植入后门程式的揭露,研究人员指出这是在今年8月发现,受害装置多为知名度较低的品牌,但尚不清楚感染途径。

由于近年来骇客组织入侵家用路由器来建立自身的物联网僵尸网路,其态势是日益严峻,像是去年美国即拿下中国骇客Volt Typhoon使用的KV-botnet僵尸网路,因此如何持续缓解这方面的威胁,相当关键。

 

AI应用当红,这类应用系统的漏洞也随之引起关注。最近有研究人员针对新兴AI系统AutoGPT揭露漏洞CVE-2024-6091,这项漏洞源自于过滤可用的Shell命令机制,一旦被利用,攻击者就有机会执行任意命令。

值得留意的是,AutoGPT受到许多开发者关注,迄今已有超过44万个分叉AutoGPT的软体程式码专案,这些专案很有可能也曝露于相关的资安风险。

值得留意的是,这个僵尸网路由超过20个厂牌的网路设备组成,类型涵盖相当广泛,包括:数据机、路由器、IP摄影机、网路储存设备等,遭到操控的连网设备数量也相当可观。