回顾2024年11月资安新闻,身分安全与AI的最新进展是广泛关注的焦点,同时,台湾上市柜公司本月发布了7起资安事件重大讯息,而全球电信业面临的渗透攻击与零时差漏洞利用的状况,更是持续引发各界高度重视。在此我们汇整7大资安焦点,带大家快速回顾本月的关键新闻与趋势。
身分安全强化有新进展
身分安全是本月国内资安防护新闻的一大焦点,有多项消息与此有关。例如,我们在11月发布的一篇封面故事,就是介绍国内近期出现首批导入Passkey的网路服务业者;还有数发部将要求广告平台业者,实证验证刊播广告者的身分,以及NCC要求电信事业强化商业简讯风险管控机制,如含有URL、短网址或电话号码,需检查发送者身分,要与登录资料相符才能协助发送。此外,在国际间,也有Google Cloud预告明年强制启用MFA的消息。
AI热度不减,带来的挑战与机会持续受关注
面对AI能力进步显著的今日,有哪些最新态势值得留意?我们列举以下重要消息:以AI带来的资安挑战而言,资安业者Palo Alto Networks本月在台湾年度用户大会上,指出攻击者出手速度越来越快,渗透与外泄资料间隔越来越短,从3年前的平均是9天,随著AI和其他技术的不断兴起,去年已缩短至两天,最近的调查更是缩短至4小时内,大幅压缩防守方调查应变时间;以AI带来的资安机会而言,Google公布AI抓漏专案Big Sleep受瞩目,因为这是利用LLM模仿人类安全专家找出漏洞的突破,当中找出SQLite的堆叠缓冲区下溢漏洞,成为这类应用的第一个公开实例。
关于企业这一年来必须掌握的重要变化,英国标准协会(BSI)在这个月举行的2024年会上,不仅强调百工百业用AI的最新态势,也提醒大家关注AI风险,因为今年这议题已被世界经济论坛(WEF)列为近年最重大风险,台湾企业应提升AI治理力。
eBPF技术、联合学习发展成焦点
10月有CNCF技术委员会成员来台,揭露eBPF是K8s未来3大重要进展之一,本月举行的思科亚太区用户大会,同样展现这方面的应用,指出并购Isovalent后带来Cilium这项技术,并指出eBPF就是Cilium的核心技术,让思科能强化网路可观测性,显现eBPF技术正被看好;另一是国内的科技防诈创新研发态势上,11月初台北金融科技展中有3项联合自主实证计划亮相,都是关于用AI联合学习提升防诈能力,显现联合学习正受看重。
台湾重大资安事件
关于上市柜公司遭遇网路资安事件,发布资安重讯的业者有6家,涵盖纺织业、汽机车制造业、印表机制造业,以及电子零组件业,同时还有被动元件大厂与电信宽频设备大厂,分别代美国与菲律宾子公司公告遭骇。
●第一星期有1起,力鹏表示杨梅厂部分主机遭受加密攻击。
●第二星期有2起,三阳工业说明部份资讯系统遭受骇客网路攻击。
●第三星期有1起,国巨代子公司KEMET补公告网路资安事件。
●第四星期有3起资安重讯,包括诚研、晟楠,中磊代子公司Sercomm Philippines公告。
还有2起与台湾有关的威胁与风险揭露,同样值得留意,包括:中国骇客Evasive Panda开发可拦截Session及Cookie的恶意软体工具包,资安业者ESET指出前两年有台湾政府机关与宗教团体遇害;中华电信提供宽频网路用户的D-Link数据机被发现漏洞,由于该设备年初已终止支援、目前仍有近6万台正在使用,引发外界高度关注。
重讯揭露具体损失展现透明度
在上述国巨发布的重大讯息中,具体公布了美国子公司基美电子(KEMET)的取消订单金额与闲置产能损失,相当难得。其实,这方面的透明度,对于证券市场投资者而言,相当重要,因为美国证券市场近年已经要求企业揭露相关资讯,必须揭露生产力损失、可能的声誉损失或事件应变损失。在国内,2018年台积电的重讯记者会,曾具体公开这方面资讯,今年11月国巨在台湾证券交易市场,也主动公开子公司的这方面资讯,未来希望有更多国内上市柜公司跟进,展现资安处理的透明度。
值得注意的是,虽然主动揭露资安重大讯息相当难能可贵,可惜国巨这次仍受罚,为什么会这样?台湾对于上市柜企业资安大讯息发布的规定,在于发现资安事件后于次一营业日开盘前2小时发布。也就是第一时间就要发布资安重讯,但由于这些损失可能无法第一时间算出,可能需要第二次重讯来说明。以国巨这次发布而言,由于忽略了前者,被证交所依违反重讯规定开罚5万元。
多国电信业者遭中国骇客锁定
美电信业遭中国骇客组织Salt Typhoon渗透的后续消息不断,更受外界关注的是,还有更多全球电信业也是中国骇客的目标,这个月就有不同资安业者相继揭露这方面的状况。例如,趋势科技揭露Salt Typhoon近期攻击东南亚电信业者的事故中,使用多款后门程式,包含未被揭露的GhostSpider、模组化的SnappyBee、跨平台的Masol RAT;资安业者CrowdStrike则公布中国骇客Liminal Panda多年来持续锁定南亚、非洲电信业者从事网路间谍活动。
攻击者持续发展新攻击手法与挖掘新漏洞
在威胁与攻击手法方面,有2则新闻显露出新的攻击态势,例如有研究人员发现第一个锁定Linux主机的恶意UEFI Bootkit,并认为这个名为Bootkitty的恶意程式很可能在早期开发阶段;有资安业者对近期兴起的ZIP档案串接手法(ZIP Concatenation)示警,指出此手法只有在某些解压缩工具执行下才会现身,相当具隐蔽性。此外,攻击者使用自带驱动程式(BYOVD)攻击的手法越来越多,这个月又有两起行动是锁定Avast、Palo Alto Networks的状况。
至于骇客发动零时差漏洞利用攻击的情形,这个月依然严峻,包括微软有两个(CVE-2024-43451、CVE-2024-49039)、苹果有两个(CVE-2024-44309、CVE-2024-44308)、Palo Alto Networks有两个(CVE-2024-0012 、CVE-2024-9474),Oracle有1个(CVE-2024-21287),还有台厂奇偶科技的EOL设备也有1个(CVE-2024-11120)。
11月第一周的资安消息中,在防护动向上,以身分安全为主要焦点,有3起消息都与此有关,其焦点涵盖Passkey无密码登入、金融Fast-ID,以及强制启用MFA。
例如:我们最近发布的封面故事,就是关于台湾网路服务业者至少已有3家业者,包括:露天市集、可乐旅游、智冠科技,均在大力宣传「Passkey无密码登入」,或是「FIDO生物识别登入」,这不仅代表开始跟上国际业者脚步,也让用户能有更安全简便的登入方式;关于金融Fast-ID验证转接中心的进度,先前金管会已透露将于明年6月上线,11月初台北金融科技展上更是公布先导机构预计达20家,不只银行、保险、证券期货,也扩及投信投顾与政府机构;Google Cloud宣布明年强制启用MFA的消息中,提到目前仍有3成帐号未启用MFA,打破众人对IT人员早就启用MFA、重视帐号安全的想像,因此引发外界关注。
还有两则新闻突显资安防护上的新技术焦点,我们认为同样值得关注,一是联合学习,一是AI抓漏。前者是在科技防诈的发展中,台湾金融业正聚焦联合学习技术的应用,目前已有3项实证计划都在检验其有效性,并要促进应用落地;后者是涉及LLM模仿人类安全专家找出漏洞的发展,Google的Project Zero团队与DeepMind共同研发的AI抓漏专案Big Sleep,已有首个公开实例出现。
另外值得一提的是,台湾骇客年会企业场在11月登场,副总统萧美琴也到场支持并给予鼓励,不只推动产官学研与社群力量的持续合作,更强调确保供应链的稳定,将能增强外商对台湾的信心。
在威胁态势方面,有一起针对台湾的攻击最值得留意,思科Talos指出今年7月出现针对台湾的脸书企业用户及广告帐号的攻击,其手法是以侵犯版权为由,或假冒企业的法律部门,企图散布窃资软体LummaC2、Rhadamanthys。还有两则骇客攻击活动揭露,都与资安产品被锁定有关。
●台湾企业脸书粉专管理员遭锁定,骇客声称收信人的公司盗用他们的图片及影片,扬言采法律行动,诱骗收信人开启伪冒为PDF的可执行档,以植入窃资软体。
●英国国家网路安全中心(NCSC)揭露有攻击者锁定Sophos XG防火墙设备植入Pygmy Goat的后门程式,资安业者Mandiant分析攻击者与与中国骇客有关。
●有攻击者将旧版的Cortex XDR代理程式部署到企业,资安业者Palo Alto Networks指出这是借由自带驱动程式(BYOVD)手法。
●继上月美国多家电信业者电信业者传出遭中国骇客Salt Typhoon入侵,新加坡电信也传出受骇,并且疑为同一骇客所为。
●安卓恶意软体FakeCall的攻击手法有新招,不仅借由网路钓鱼以植入恶意程式,还可将通话重新导向至攻击者控制的诈骗号码。
●研究人员揭露可滥用ChatGPT-4o的新手法,将恶意指令编写成16进位可绕过原有安全护栏的防护。
至于资安事件方面,在国内,以生产汽机车闻名的上市公司三阳工业,发布资安重讯说明部份资讯系统遭受骇客网路攻击;国际间,则有2起消息受关注,包括:施耐德电机传出Jira伺服器资料外泄、骇客声称从Nokia合作厂商窃得原始码。
在漏洞消息方面,这一星期有4大漏洞利用状况,其中CyberPanel伺服器管理平台的漏洞最受关注,因为在研究人员揭露相关漏洞资讯后出现攻击行动,这可能突显安全研究人员与供应商之间沟通不良,造成用户需要为此买单的状况。
●CyberPanel上月修补经研究人员通报的安全漏洞,后续发现攻击者锁定并布署勒索软体Psaux,美国CISA将CVE-2024-51567列入已知漏洞利用清单。
●11月Android例行安全更新中,修补已遭利用的安卓框架元件零时差漏洞CVE-2024-43093,以及高通上月修补的零时差漏洞CVE-2024-43047。
●Palo Alto Networks在7月修补Expedition转移工具的漏洞CVE-2024-5910,11月8日该业者接获CISA通知,已有证据显示该漏洞正被积极利用。
●开源Web伺服器Nostromo nhttpd在2019年修补的老旧漏洞CVE-2019-16278,如今仍有攻击者锁定未修补用户发动攻击。
至于其他漏洞修补动向,还可以留意的包括:HPE Aruba Networking的Wi-Fi基地台系统软体、思科的工控无线URWB路由器、以及ABB的智慧建筑能源管理系统的漏洞修补。
11月第3周的资安新闻中,在威胁态势方面,最重要是中国骇客锁定电信业者的间谍行动,后续消息不断,不只是多家美国电信业受害,其他国家电信业也传出遭攻击,如今资安业者CrowdStrike公布最新研究证实此事,指出中国骇客Liminal Panda已锁定南亚、非洲电信业者多年。
此外,11月中旬适逢黑色星期五行销活动前夕,以这项活动为诱饵、骗取信用卡及个资的网钓威胁揭露,一直是每年这个时间的新闻焦点,而最近一起攻击行动的发现中,显现是中国骇客SilkSpecter主导。
另要关注的是,中国骇客组织是近期零时差利用的主要威胁来源之一。继上星期我们报导资安业者BlackBerry揭露APT41的近期行动,后续资安业者Volexity揭露该群骇客组织的最新手法,指出发现利用FortiClient零时差利用情形,先前已经通报业者(尚未登记CVE),用户需多加侦测并注意厂商的回应与缓解。
在漏洞消息方面,有多达6个明确的零时差漏洞利用的情形,涵盖资安产品、企业产品,与消费端装置,这些漏洞已被攻击者利用,用户应尽速更新并清查是否遭入侵,尤其Palo Alto Networks的漏洞,Shadowserver基金会追查发现全球约有2千台防火墙疑似遭入侵,台湾也有58台。
●Palo Alto Networks针对旗下防火墙修补2个已出现攻击行动的零时差漏洞,分别是CVE-2024-0012 、CVE-2024-9474。
●Oracle针对旗下产品生命周期管理Agile PLM产品,修补已遭利用的零时差漏洞CVE-2024-21287。
●台厂奇偶科技多款已终止支援的视讯监控设备,发现零时差漏洞CVE-2024-11120被锁定利用的情形,用户应汰换设备因应。
●苹果针对旗下多个作业系统与Safari浏览器修补2个已遭利用的零时差漏洞CVE-2024-44309、CVE-2024-44308,尤其Intel处理器的Mac电脑用户最要注意。
还有3个已知漏洞,近期被发现有骇客锁定利用,包括Progress今年2月修补Kemp LoadMaster负载平衡设备的CVSS满分重大漏洞CVE-2024-1212,以及VMware今年9月修补vCenter Server的漏洞CVE-2024-38812、CVE-2024-38813。
至于资安事件方面,这一星期国内有3家上市柜公司资安重讯,涵盖网通、电脑周边设备与电子零组件业。
●电信宽频设备大厂中磊代子公司Sercomm Philippines发布重讯,说明该菲律宾公司有部份资讯系统遭受骇客网路攻击。
●印表机制造商诚研发布资安重讯,说明部份资讯系统遭受骇客网路攻击。
●电子零组件业晟楠发布资安重讯,说明外部伺服器遭受骇客攻击。
●上星期国巨代美国子公司发布资安重讯,由于事故发生是在10月12日,等于事发相隔一个月才公布,违反重讯发布规范,证交所开罚5万元。
●美国汽车大厂福特传出4万多笔顾客资料外泄,先是有骇客在地下论坛兜售,后续该公司表示资料是从第三方业者流出。
在资安防护发展方面,我们看到AI治理与个资法的议题,分别是全球与台湾关注资安风险的重点。首先,BSI揭露国际趋势与展望,指出AI引发的「错误资讯与假消息」,已经被世界经济组织(WEF)列为近两年10大风险之首,同时强调AI系统管理标准ISO 42001与AI治理力的重要性,以及国内企业需掌握到国际间对「董事会义务」的高度重视。
其次,在台湾,关于个人资料档案安全维护管理办法有新重要变动,过去政府已规范多个产业,包括数位经济相关产业、制造业及技术服务、综合商品零售业等。近日焦点在于「综合零售业」更名「零售业」,且扩大列管的范围,涵盖所有资本额达到1千万元的零售业,从原本600多家,扩大至包含服饰业者Uniqlo、NET,以及全国电子等6,800多家零售业者。
●英国国家网路安全中心(NCSC)揭露有攻击者锁定Sophos XG防火墙设备植入Pygmy Goat的后门程式,资安业者Mandiant分析攻击者与与中国骇客有关。
●有攻击者将旧版的Cortex XDR代理程式部署到企业,资安业者Palo Alto Networks指出这是借由自带驱动程式(BYOVD)手法。
●继上月美国多家电信业者电信业者传出遭中国骇客Salt Typhoon入侵,新加坡电信也传出受骇,并且疑为同一骇客所为。
●安卓恶意软体FakeCall的攻击手法有新招,不仅借由网路钓鱼以植入恶意程式,还可将通话重新导向至攻击者控制的诈骗号码。
●研究人员揭露可滥用ChatGPT-4o的新手法,将恶意指令编写成16进位可绕过原有安全护栏的防护。
●11月Android例行安全更新中,修补已遭利用的安卓框架元件零时差漏洞CVE-2024-43093,以及高通上月修补的零时差漏洞CVE-2024-43047。
●Palo Alto Networks在7月修补Expedition转移工具的漏洞CVE-2024-5910,11月8日该业者接获CISA通知,已有证据显示该漏洞正被积极利用。
●开源Web伺服器Nostromo nhttpd在2019年修补的老旧漏洞CVE-2019-16278,如今仍有攻击者锁定未修补用户发动攻击。
此外,11月中旬适逢黑色星期五行销活动前夕,以这项活动为诱饵、骗取信用卡及个资的网钓威胁揭露,一直是每年这个时间的新闻焦点,而最近一起攻击行动的发现中,显现是中国骇客SilkSpecter主导。
另要关注的是,中国骇客组织是近期零时差利用的主要威胁来源之一。继上星期我们报导资安业者BlackBerry揭露APT41的近期行动,后续资安业者Volexity揭露该群骇客组织的最新手法,指出发现利用FortiClient零时差利用情形,先前已经通报业者(尚未登记CVE),用户需多加侦测并注意厂商的回应与缓解。
在漏洞消息方面,有多达6个明确的零时差漏洞利用的情形,涵盖资安产品、企业产品,与消费端装置,这些漏洞已被攻击者利用,用户应尽速更新并清查是否遭入侵,尤其Palo Alto Networks的漏洞,Shadowserver基金会追查发现全球约有2千台防火墙疑似遭入侵,台湾也有58台。
●Palo Alto Networks针对旗下防火墙修补2个已出现攻击行动的零时差漏洞,分别是CVE-2024-0012 、CVE-2024-9474。
●Oracle针对旗下产品生命周期管理Agile PLM产品,修补已遭利用的零时差漏洞CVE-2024-21287。
●台厂奇偶科技多款已终止支援的视讯监控设备,发现零时差漏洞CVE-2024-11120被锁定利用的情形,用户应汰换设备因应。
●苹果针对旗下多个作业系统与Safari浏览器修补2个已遭利用的零时差漏洞CVE-2024-44309、CVE-2024-44308,尤其Intel处理器的Mac电脑用户最要注意。
还有3个已知漏洞,近期被发现有骇客锁定利用,包括Progress今年2月修补Kemp LoadMaster负载平衡设备的CVSS满分重大漏洞CVE-2024-1212,以及VMware今年9月修补vCenter Server的漏洞CVE-2024-38812、CVE-2024-38813。
至于资安事件方面,这一星期国内有3家上市柜公司资安重讯,涵盖网通、电脑周边设备与电子零组件业。
●电信宽频设备大厂中磊代子公司Sercomm Philippines发布重讯,说明该菲律宾公司有部份资讯系统遭受骇客网路攻击。
●印表机制造商诚研发布资安重讯,说明部份资讯系统遭受骇客网路攻击。
●电子零组件业晟楠发布资安重讯,说明外部伺服器遭受骇客攻击。
●上星期国巨代美国子公司发布资安重讯,由于事故发生是在10月12日,等于事发相隔一个月才公布,违反重讯发布规范,证交所开罚5万元。
●美国汽车大厂福特传出4万多笔顾客资料外泄,先是有骇客在地下论坛兜售,后续该公司表示资料是从第三方业者流出。
在资安防护发展方面,我们看到AI治理与个资法的议题,分别是全球与台湾关注资安风险的重点。首先,BSI揭露国际趋势与展望,指出AI引发的「错误资讯与假消息」,已经被世界经济组织(WEF)列为近两年10大风险之首,同时强调AI系统管理标准ISO 42001与AI治理力的重要性,以及国内企业需掌握到国际间对「董事会义务」的高度重视。
其次,在台湾,关于个人资料档案安全维护管理办法有新重要变动,过去政府已规范多个产业,包括数位经济相关产业、制造业及技术服务、综合商品零售业等。近日焦点在于「综合零售业」更名「零售业」,且扩大列管的范围,涵盖所有资本额达到1千万元的零售业,从原本600多家,扩大至包含服饰业者Uniqlo、NET,以及全国电子等6,800多家零售业者。