锁定物联网装置的攻击行动日益频繁,相关恶意软体的攻击行动,也引起政府单位的高度重视,呼吁用户要尽速采取行动因应。
例如,美国联邦调查局(FBI)针对恶意软体HiatusRAT的攻击行动提出警告,值得留意的是,骇客不光利用2017至2020年发现的已知漏洞从事攻击行动,FBI也提及他们运用设备厂商提供的弱密码入侵网路摄影机及DVR设备的现象。
【攻击与威胁】
根据CVSS风险评分,较为危险的是CVE-2024-35250,这项漏洞由台湾资安业者戴夫寇尔(Devcore)透过漏洞悬赏专案Zero Day Intiative(ZDI)通报,微软于今年6月修补,CVSS风险评分为7.8。当时微软仅透露,一旦攻击者成功利用这项漏洞,就有机会得到SYSTEM权限,但除此之外,该公司并未进一步说明。
究竟攻击者如何利用这项漏洞?CISA并未说明,目前也没有研究人员揭露相关情况,有待日后进一步的调查。
【漏洞与修补】
去年11月,专精汽车领域的资安业者PCAutomotive揭发漏洞,他们发现2022年生产的第3代Skoda中大型房车Superb,存在一系列的漏洞,攻击者有机会借由MIB3车载资讯娱乐系统(Infotainment Unit)的除错机制,导致车辆的Wi-Fi网路出现阻断服务(DoS)的现象。值得留意的是,这些漏洞不光影响Skoda旗下车款,同时也影响母公司福斯(VW)车辆的车载系统。在上周举行的大型资安会议Black Hat Europe 2024当中,这些研究人员再度公布另一批漏洞细节。
研究人员指出,他们这次公布的12项漏洞,攻击者能够串连运用,将恶意程式注入车辆。攻击者可透过蓝牙与车载系统的多媒体元件连线,从而利用漏洞展开攻击,估计有140万辆福斯、Skoda汽车曝险。
这些漏洞在经过通报后,福斯已经进行修补。Skoda发言人Tom Drechsler向科技新闻网站TechCrunch表示,,他们已经在产品生命周期的持续改进管理流程中缓解这些漏洞,目前并未对车辆或车主造成危险。
其他漏洞与修补
◆◆Anthropic公开了一项名为Clio的Claude使用分析系统,结合隐私保护与安全分析功能,供企业用户更深入地了解大型语言模型的实际应用情境,并同时兼顾用户资料的隐私安全。这套系统不仅提供关于模型使用的全面剖析,也能强化企业在人工智慧信任与安全机制的执行能力。
该公司表示,Clio设计的初衷是为了要解决两大挑战,首先是Claude等大型语言模型的应用场景广泛且多元,进行全面侦测和理解其使用方式极具难度。第二则是用户资料的隐私是不可妥协的基本要求。为了兼顾分析与隐私需求,Anthropic开发了一套自动化分析流程,能够以匿名和资料聚合技术,在确保隐私的前提下,将大量对话资料转化成为抽象的主题丛集,供使用者得以分析结果,而且不涉及具体个人资讯。