告别2024年在即,回顾12月第4个星期的资安新闻,我们优先推荐TeamT5威胁分析师高峰会上的重要揭露,他们解析这一年来的中国APT攻击态样与假讯息态势,恶意活动显著增加,不仅结合AI与边缘装置漏洞发动精准攻击,而且过去由政府资助的中国骇客组织,因经济压力而必须自力更生,于是,不只攻击国家、军方与大企业,也开始以金钱为目的锁定中小企业攻击。
另一重要消息,在于资安防护层面的作法。由于中国骇客对美电信业发动网路间谍攻击,美CISA在12月初针对电信业者发布资安强化指引,到了18日,再发布行动通讯最佳实作指引,呼吁政府机关的高层等高风险用户,应改用iOS与Android双平台皆支援全程加密(E2EE)的加密通讯软体,以因应中国骇客入侵电信业的间谍活动威胁。
此外,继上星期美国政府传出禁用TP-Link路由器,该国参议院通过新一年度国防授权法,当中要求无人机大厂大疆(DJI)在一年内证明自己并未威胁美国国家安全,否则美FCC将禁止其产品在美国境内销售,也不会授权DJI广播其无线电波使用美国固网连线。
在威胁态势上,有3起资安事件与僵尸网路病毒相关,其中两起突显资安界一直提醒的网路设备安全管理问题:使用Admin、0000等预设密码、使用厂商停产且不再支援的设备。这些不安全状态迟迟无法改善,持续成为攻击者积极锁定的目标。
●Juniper Networks发布资安公告,指出有用户回报其Session Smart Router路由器遭植入僵尸网路病毒Mirai,并指出受害设备共通点是使用预设密码的状况。
●台厂永恒数位通讯(Digiever)已EOL的NVR设备DS-2105 Pro遭锁定,被散布Mirai僵尸网路病毒变种Hail Cock,Akamai指出骇客可能利用零时差漏洞入侵。
●恶意软体BadBox攻击升温,德国12月中旬以DNS陷坑技术中断当地BadBox运作,全球仍有19.2万台安卓装置被骇客控制并组成僵尸网路,其中包括Yandex智慧电视与海信智慧手机。
还有一项消息涉及开源软体供应链攻击,企业与开发者需重视,有资安业者揭露新的Python恶意套件,指出Zebo与Cometlogger这两款套件看似一般开源程式,但利用合法Python函式库结合混淆技术,来隐藏其窃取凭证的目的。
在资安事件方面,这一星期有合晶美国子公司Helitek、日本航空JAL遭骇,另外,有两起多年前发生的资安事故如今有后续消息。
●上柜半导体业合晶在12月26日代子公司Helitek公告发生网路资安事件,说明部分资讯系统遭受攻击。
●日本航空(JAL)在12月26日早上公告连接内外网路环境的路由器设备出现异常,导致国内外航班延误,当地媒体指出是伺服器遭DDoS攻击造成。
●思科10月传出资料遭窃的事故,如今有骇客声称握有4.5 TB资料。
●2014到2020年间万豪国际及喜达屋连锁饭店发生大规模资料外泄,美FTC指控饭店谎称具合理适当的资安防护,如今祭出新和解条件,限期半年内强化资安。
●Meta、WhatsApp在5年前对以色列间谍软体公司NSO Group提告,指控其利用WhatsApp零时差漏洞入侵逾1,400台行动装置,如今判决WhatsApp胜诉。
在物联网云端平台安全议题上,资安业者Claroty发现中国网路设备业者锐捷网路(Ruijie Networks)云端设备管理平台的10个漏洞,已通报该业者修补,并指出MQTT通讯协定实作的问题。
在漏洞利用方面,有个零时差漏洞利用活动需关切后续发展,苦主是资安厂商Palo Alto Networks,他们修补防火墙与Prisma Access的漏洞CVE-2024-3393,并指出该漏洞已被用于攻击行动。
在重要漏洞修补动向上,Apache基金会针对Tomcat重大RCE漏洞(CVE-2024-50379)修补不全,再度发布资安公告,要求用户调整Java元件部分组态因应,另也针对开源CDN软体Traffic Control修补重大漏洞。
其他可留意的漏洞修补消息,包括基于Git而成的程式码管理系统Gogs修补一系列漏洞,Sophos修补两项防火墙漏洞,以及MinIO修补物件储存平台漏洞等。