勒索软体攻击行动与风险达到10分漏洞占据了今天的资安日报版面,其中,又以德勤(Deloitte)英国分公司传出遭遇勒索软体攻击的事故,最令人震撼。
虽然骇客声称从该公司窃得1 TB的内部资料,但并未透露他们掌握了那些资料,加上德勤并未发表公开说明,这起事故的真实性有待进一步确认。
【攻击与威胁】
根据Cyber Security News、Cyber Security Hub、Red Hot Cyber等资安新闻网站报导,12月4日恶名昭彰的勒索软体骇客组织Brain Cipher声称,他们成功入侵四大会计师事务所之一的德勤(Deloitte)英国分公司,并窃得超过1 TB敏感资料。不过,德勤并未对此公开说明。
这些骇客扬言,假若德勤不予理会,他们将在10天后提供部分资料下载,以及透露如何成功入侵的细节。
他们也嘲笑大公司资安防护不足,认为该公司忽略资讯安全的基本要点(elementary points),而让他们能够得逞。
这些漏洞最初在11月13日揭露,设备厂商IO-Data表示,它们涉及重要资源不正确的权限分配、作业系统命令注入,以及非文件功能包含(Inclusion of Undocumented Features,CWE-1242),CVSS风险介于6.5至7.5分。
值值得留意的是,目前IO-Data仅修补CVE-2024-52564,先发布2.1.9版韧体解决这个问题,至于其余两个漏洞的处理,预计12月18日推出2.2.0版韧体修补。在新版韧体尚未推出之前,IO-Data呼吁用户应依照公告网页上的指示,采取缓解措施,限缩存取管理介面的管道、修改管理者及访客帐号的密码因应。