在这一周漏洞利用消息中,今年5月曾发动MOVEit Transfer零时差漏洞攻击的骇客组织,近期有了新的目标,成为最大关注焦点,还有两个已知漏洞遭攻击者锁定利用的情形也必须留意。
(一)IT服务管理软体供应商SysAid在11月8日修补零时差漏洞CVE-2023-47246,对于这起攻击行动,微软指出是勒索软体骇客组织Clop(亦称Lace Tempest、TA505)所为,由于该组织在今年5月底曾发动MOVEit Transfer零时差漏洞攻击,因此格外引发关注。目前,已陆续有资安业者说明,在10月30日、11月2日就发现该漏洞被利用于攻击行动。
(二)Atlassian在10月31日修补旗下DevOps协作平台Confluence重大漏洞CVE-2023-22518,有资安业者发现11月5日该漏洞正开始被用于攻击行动,并造成Confluence伺服器感染勒索软体Cerber。
(三)今年4月底资安业者揭露服务定位协定(Service Location Protocol,SLP)的高风险漏洞CVE-2023-29552,指出骇客可借此漏洞发动DoS攻击,并警告存在此漏洞的装置种类与数量都多,到了11月初,资安研究人员发现该漏洞开始被攻击者锁定利用的情形。
本周其他重要的漏洞修补消息方面,包括:威联通修补旗下NAS作业系统2个重大漏洞,Veeam针对旗下IT监控解决方案Veeam ONE修补两个重大漏洞。此外,ZDI本周公开4个Exchange零时差漏洞,呼吁用户采取缓解,并说明9月已通报微软,微软则说明其中之一在8月已修补,其余则评估没有立即修补必要。
在威胁事件焦点方面,我们看到持续有不同产业遭遇资安事件的情形,例如:
●云端SIEM平台业者Sumo Logic公告资安事故,察觉自家使用的云端服务遭骇。
●跨国联锁五金零售业者Ace Hardware公告发生资安事故,大部分的IT系统皆面临中断或暂停运作的情况。
●乐高市集BrickLink遭网路攻击,有少部分帐号遭未经授权存取并被用来行骗。
●印度政府机关遭骇客组织SideCopy利用WinRAR漏洞攻击
●柬埔寨政府遭中国骇客使用基础设施伪装成云端备份服务的方式攻击
另一关注焦点在于,10月下旬Okta客户支援系统遭骇,有了后续消息。该公司在11月初揭露调查结果,指出骇客存取的资料影响了134家客户,并指出攻击者利用Okta系统之间沟通的Service Account,执行攻击行动,我们也特别注意到,Okta所公布的事件起因,值得企业警惕:他们认为这起事件可能与员工Google帐号遭骇有关,因为该员工曾在公司笔电上登入个人Google帐号,导致公司的服务帐户帐密储存到个人Google帐户。
在新兴威胁态势上,有恶意程式开发者宣称,Google Calendar的事件描述可被转换成C2加以滥用,这类隐密攻击手法,引起资安界的讨论与关注。其他一些恶意活动被揭露的消息,也不容轻忽,包括:透过PyPI套件散布恶意软体BlazeStealer的情形,透过企业脸书帐号发布恶意广告散布NodeStealer窃资,以及透过WordPress网站下达攻击命令的恶意程式GootLoader变种,以及名为Socks5Systemz的代理伺服器僵尸网路被揭露等。
最近讯息导向中介软体ActiveMQ、DevOps协作平台Confluence分别出现重大漏洞CVE-2023-46604、CVE-2023-22518,如今皆有骇客对其发动勒索软体攻击、加密档案,而造成灾情。
其中,值得留意的是针对Confluence的攻击行动,因为过程中骇客不只利用最近才修补的漏洞,还串连另一个上个月揭露的重大漏洞进行攻击,这代表受害组织两个漏洞都还没修补,而让对方有机可乘。