埋藏在UEFI韧体的恶意启动工具UEFI Bootkit相当神秘,攻击者借此隐匿行踪,并能从开机阶段就挟持整台电脑,让执行于作业系统之上的防护机制失效,这样的情况最近有了新的变化。
本周资安业者ESET揭露新的恶意启动工具Bootkitty,并指出虽然这支程式很可能仍在开发阶段,但是第一个专门针对Linux作业系统的UEFI Bootkit,后续发展相当值得留意。
【攻击与威胁】
最近几年,骇客针对UEFI开机系统打造恶意启动工具(UEFI Bootkit)的情况,约自2020年开始已有数起事故传出,攻击者利用这种工具窜改电脑的安全启动机制,从而突破Windows作业系统的安全防护,甚至是停用防毒软体与EDR系统。但如今,这类工具也出现专门针对Linux作业系统下手的情形。
资安业者ESET指出,他们近期看到有人在VirusTotal上传未知的UEFI应用程式,档名是bootkit.efi,经过分析确认是恶意UEFI启动工具,研究人员将其命名为Bootkitty,并指出与过往同类工具最大的不同,在于它是针对Ubuntu作业系统特定版本而开发。
根据分析结果,研究人员认为Bootkitty很可能在早期开发阶段,只是进行概念性验证(PoC),而非积极活动的骇客用来作案的工具,仅管可能没有实际的危害能力,但这代表执行Linux的电脑又多了一个可被侵入的管道,并显示攻击者正积极锁定这类电脑开发相关工具。
ProjectSend是开源档案共享应用程式,该专案在GitHub得到1,500颗星,根据Censys威胁情报平台的分析资料,全球约有超过4千套ProjectSend系统。但资安业者VulnCheck发现,大部分的伺服器仍在执行存在漏洞的旧版ProjectSend。
对于漏洞出现实际攻击行动的情况,VulnCheck留意到从网际网路存取的ProjectSend伺服器约有208台,自9月开始遭到窜改,入口网站的标题变成一长串的随机字串,而这些字串的规则,正好与Nuclei与Metasploit加入的漏洞测试规则雷同,换言之,攻击者很可能利用这些规则窜改伺服器。
◆◆
【漏洞与修补】
对此,12日D-Link也发布公告证实此事,并指出这款设备在今年1月15日已经结束支援,强烈建议用户停止使用。
这些漏洞分别是特权API不正确使用漏洞CVE-2024-1108、路径穿越漏洞CVE-2024-11067,以及作业系统命令注入漏洞CVE-2024-11062、CVE-2024-11063、CVE-2024-11064、CVE-2024-11065、CVE-2024-11066,CVSS风险评分介于7.2至9.8。
其他漏洞与修补
随著2024年元旦资通安全研究院(资安院)接手TWCERT/CC,各界都关心他们后续如何进一步协助民间企业。4月他们公布发展计划,预告将持续推广共同参与,拉拢更多企业加入TWCERT/CC免费会员,时隔超过半年的此刻,资安院在2024台湾资安通报应变年会,揭露目前最新相关进展。
关于深化情资分享的具体做法,TWCERT/CC最近更是有了全新的策略,强调将以情资为主的沟通,扭转大家对于通报的刻板印象。