回顾10月第四周的资安新闻,在资安防御方面有两大重要焦点,一是CMMC国防产业安全供应链的发展态势,一是Passkey无密码登入的最新进展。
(一)美国国防部在10月15日于联邦公报正式公布研拟已久的CMMC规则,60天后将正式生效实施。这意味著,该国国防部将开始要求业者,必须取得新的CMMC相关认证,才能参与合约竞标与履行,显示该国逐步加强对国防承包商的网路安全要求。
(二)关于Passkey的新闻有两大焦点,一是FIDO联盟为了改善Passkey的用户体验,宣布将聚焦于安全凭证交换可携的推动,新公布CXP与CXF这两个规范草案;另一是Amazon宣布将扩大支援Passkey,不只去年导入于其购物平台,明年将让其他应用及服务也支援。
在资安事件方面有3则消息,其中卡西欧遭勒索软体攻击的事件最受关切,因为该公司遭攻击后发生部份伺服器故障状况,并导致多个系统停摆;台湾有两家上市公司揭露资安事件,巧合的是,友讯、神脑这两家业者遭受攻击的时间相近,且都属通信网路业。
●卡西欧于10月11日于公司网站发布资安事故公告,指出在5日遭遇勒索软体攻击,已有Underground骇客组织宣称犯案。
●友讯科技于10月15日说明资安事件的处理及因应,指出一台外网伺服器遭受骇客攻击。
●神脑国际于10月16日说明发生网路资安事件,指出外部伺服器遭受骇客攻击。
还有一起值得我们警惕与留意的事件,奥丁丁被揭露Amazon S3 bucket因配置不当而曝露在网际网路上,由于曝险资料有9成均涉及台湾旅客引发关注,该公司表示部分资料可能遭未经授权存取。
在威胁态势上,以EDRSilencer红队演练工具遭滥用是主要焦点,有资安业者针对此情形示警,指出有利用该工具的攻击行动,能干扰市面上16款EDR资安产品运作。值得注意的是,上月台湾无人机制造商遭攻击被揭露,亦曾提及攻击者使用EDRSilencer的情形,显示此类威胁已在台湾实际发生。
●有骇客将红队演练工具EDRSilencer纳入武器库,资安业者呼吁防守方要提高警觉,因为该工具能影响16款EDR系统的运作。
●金融业注意,有资安研究人员揭露北韩骇客散布恶意软体FASTCash,指出其意图是洗劫提款机。
●新一波针对Python开源软体生态系的攻击被揭露,这次手法之所以受注意,是因为攻击者滥用软体套件管理系统中的Entry Point命令列工具机制。
在漏洞利用方面,有两个已知漏洞遭利用的消息,一是SolarWinds在8月修补的Web Help Desk凭证写死漏洞,近日发现有攻击者正积极利用。
另一是微软6月修补的Windows Kernel TOCTOU竞争条件漏洞CVE-2024-30088,如今发现伊朗骇客组织OilRig正锁定利用,且近期目标是石油及天然气的关键基础设施。
在漏洞修补动向上,我们认为最要注意的是,Kubernetes资安回应团队修补映像档制作工具Image Builder的2项漏洞,该漏洞将让攻击者有机会以root权限存取虚拟机器。至于其他重要修补,包括:Spring Framework、Ubuntu身分验证元件Authd,以及Apache Avro软体开发套件的修补,还有GitHub、兆勤、Moxa、互动资通、趋势科技、F5的产品漏洞修补。