资安业者Ivanti公布SSL VPN系统Connect Secure重大层级的漏洞CVE-2025-0282,并透露已出现攻击行动的情况,协助调查的资安业者Mandiant表示攻击者利用该漏洞长达半个月,但究竟有多少骇客加入利用漏洞的行列?有待进一步的调查。
值得留意的是,企业组织应尽速套用修补程式,截至12日,台湾尚有近80台伺服器尚未修补,数量仅次于美国和西班牙。
【攻击与威胁】
1月8日资安业者Ivanti发布资安公告,他们旗下的SSL VPN系统Connect Secure、NAC系统Policy Secure,以及Neurons for ZTA闸道存在记忆体缓冲区溢位漏洞CVE-2025-0282、CVE-2025-0283,当时该公司透露,他们已经掌握有部分Connect Secure系统遭到CVE-2025-0282攻击的情况。
协助调查的资安业者Mandiant指出,他们确认CVE-2025-0282在12月中旬就有人当做零时差漏洞用于实际攻击,其中一组人马的身分是与UNC5221有关的中国骇客组织UNC5337,究竟有多少骇客锁定这项漏洞下手,他们也尚未取得足够的资料而不能确定。
目前有多少台Connect Secure系统曝险?根据Shadowserver基金会的扫描,12日约有800台未修补漏洞。但值得留意的是,此时台湾仍有79台尚未修补,数量为全球第三,仅次于美国和西班牙的192、113台。
随著新的一年到来,许多企业组织都会透过电子贺卡表达祝福,但也有攻击者伺机而动,利用相关平台散布恶意程式。
资安业者Malwarebytes揭露名为Zqxq的攻击行动,骇客针对电子贺卡网站GroupGreeting下手,散布ndsw及ndsx型态的恶意软体,根据调查,GroupGreeting约有超过2,800个网站受到类似的恶意程式码攻击,随著圣诞节及新年的使用量增加,使得攻击者有机可乘,能暗中在网页注入恶意程式,使得想要接受祝福的使用者成为目标。GroupGreeting接获通报后,已著手处理。
研究人员指出,攻击者在受害网站注入经混淆处理的JavaScript程式码,并与网站的正常档案混在一起,为了回避侦测,攻击者加入额外的变数(其中一个是zqxq),以及自订功能。
其他攻击与威胁
微软威胁情报中心指出,苹果在macOS作业系统内建的系统完整性保护(System Integrity Protection,SIP)机制,会因为这个漏洞而被绕过,攻击者可借由载入第三方的核心延伸套件来触发,CVSS风险为5.5。
虽然CVE-2024-44243危险程度仅被评为中等,但研究人员指出,由于SIP的功能是限制可能破坏系统完整性的行为,一旦被绕过,影响将有可能非常严重,例如:攻击者植入rootkit的成功率增加,或是利用恶意软体持续于在受害电脑活动,甚至能绕过该作业系统另一项防护机制Transparency, Consent, and Control(TCC)。
防火墙业者WatchGuard宣布已并购AI资安新创ActZero,以补强代管侦测与回应(MDR)产品线,并朝向代管服务供应商(managed service provider,MSP)发展。
代管侦测回应(MDR)方案能持续监控企业多种IT环境(如云端、本地、端点、身份)以因应入侵活动及隐蔽的恶意软体。ActZero以结合AI及安全专家提供MSP、安全监控服务中心(SOC)闻名。其机器学习可协助自动化分析,减少误判及噪音(noise),而其开放架构也可整合多种端点安全技术,除了WatchGuard方案、代管Firebox防火墙外,也能整合Microsoft Defender等第三方服务。
双方已在2024年12月达成协议,在合并后,ActZero的SOC、员工及流程未来将主导WatchGuard MDR服务。