Chrome浏览器的使用者注意!上周有资安业者公布他们经营Chrome延伸套件的开发帐号遭到入侵,导致用户有可能面临社群网站帐号遭窃的风险,但这并非单一事故,因为后续有研究人员发现,还有超过20款延伸套件也是这波骇客下手的对象。
值得留意的是,部分套件下载次数突破10万,影响相当广泛,其中最多的是Visual Effects for Google Meet、Reader Mode,分别有超过90万、30万次下载。
【攻击与威胁】
攻击者针对开源套件、浏览器延伸套件发动供应链攻击的事故不时传出,其中有不少是针对软体开发套件开发者而来的事故,如今有专门针对浏览器套件开发者的情况传出。
这起事故的曝光,源于12月27日资料保护业者Cyberhaven发布的资安公告,他们表示在圣诞节前夕遭遇恶意Chrome延伸套件的攻击行动,有人在24日假借Google的名义,透过钓鱼攻击渗透该公司员工的帐密资料,得逞后借由他们的名义上架恶意版本Chrome延伸套件,该公司资安团队于25日世界协调时间(UTC)晚点11时54分察觉此事,并于一个小时内将恶意套件下架。
然而,Cyberhaven并非唯一遭到锁定的Chrome Web Store开发团队。资安业者Nudge Security共同创办人暨技术长Jaime Blasco警告,还有其他延伸套件的开发人员疑似遭到锁定,他根据骇客使用的C2伺服器IP位址进行比对,指出还有另外14个延伸套件也可能受害。资安业者Secure Annex也公布他们的调查结果,并汇整受到这起事故影响的延伸套件列表,截至目前为止,已有25个套件遇害,这些有问题的套件累积下载次数超过229万,使用者资料恐面临外流的情形。
锁定D-Link网路设备漏洞的攻击行动接连传出,其中有不少是针对研究人员刚发现的新漏洞而来,如今有攻击者一口气针对多个已知漏洞下手,意图控制装置、将其纳入僵尸网路大军。
资安业者Fortinet在2024年10月至11月发现两个僵尸网路的活动大幅增加的情况,其中一个是Mirai变种Ficora,另一个则是源自Kaiten变种的Capsaicin,而这些僵尸网路的散布方式,就是针对特定型号的D-Link无线基地台已知漏洞而来,涵盖CVE-2015-2051、CVE-2019-10891、CVE-2022-37056,以及CVE-2024-33112(CVSS风险评分皆达到9.8)。
攻击者利用上述的已知漏洞,从而远端滥用家庭网路管理协定(Home Network Administration Protocol,HNAP),于受害装置执行任意程式码。
12月初Cleo旗下MFT档案传输系统传出遭遇零时差漏洞CVE-2024-55956攻击,此漏洞疑为Cleo处理重大漏洞CVE-2024-50623修补不全产生,CVSS风险评为9.8分(满分10分)。12月中旬勒索软体骇客组织Clop声称这波攻击行动是他们所为,究竟有多少企业组织受害?近期这些骇客有了新的说法。
根据资安新闻网站Bleeping Computer的报导,Clop声称于网站有66个企业组织遭遇攻击,但他们仅有列出已联系并未收到回应的企业组织,因此可能有更多组织受害。
另一家资安新闻网站SecurityWeek指出,骇客在网站公布超过60个受害组织的部分名称,仅有透露其中一个是SaaS软体服务供应商Blue Yonder。这些骇客向受害组织施压,要胁若不付钱,他们将在12月30日公布这些受害组织的完整名称。
【漏洞与修补】
网路与伺服器大厂思科Splunk宣布有意并购威胁侦测与防御(Threat Detection and Defense)业者SnapAttack,以强化Splunk安全资讯和事件管理(SIEM)产品阵容。而对于并购SnapAttack的金额,思科并未透露。
思科在买下SnapAttack之后,会将SnapAttack的威胁侦测与工程(threat detection and engineering,TD/E)技术、智慧财产与Splunk Enterprise Security整合,加速其「侦测即程式码」(detection-as-code)蓝图扩展。