新的一年零时差漏洞攻击事故接连传出,先是Ivanti上周公布VPN系统Connect Secure的重大漏洞CVE-2025-0282出现攻击行动,协助调查此事的资安业者Mandiant透露攻击行动的相关细节;接著在1月10日,资安业者Arctic Wolf揭露Fortinet防火墙大规模攻击事故,本周也引起高度关注,今天Fortinet终于证实攻击者使用的零时差漏洞确实存在,并登记为CVE-2024-55591。
【攻击与威胁】
1月10日资安业者Arctic Wolf提出警告,他们察觉专门针对Fortinet防火墙设备FortiGate的攻击行动Console Chaos,攻击者锁定能公开存取的管理介面下手,过程中很有可能利用零时差漏洞来进行,呼吁企业组织尽速关闭能公开存取防火墙管理介面的管道。
究竟这起事故是否为零时差漏洞攻击?我们昨天下午透过公关公司与Fortinet确认,但得到的回应相当有限。不过,根据资安新闻网站Bleeping Computer、The Hacker News、Dark Reading、SecurityAffairs的报导,攻击者在上述事故利用的零时差漏洞,后来资安业者Fortinet证实的确存在,并发布资安公告,揭露重大层级身分验证绕过漏洞CVE-2024-55591。
值得留意的是,Fortinet在公告里表明此漏洞已被用于实际攻击行动,但并未进一步说明细节,也没有提及通报者的身分,因此我们无法以此确认本次公告的漏洞与Arctic Wolf稍早揭露事故的关联。
为了回避资安系统的侦测,骇客散布恶意程式的做法也变得越来越复杂,其中一种方法就是滥用合法服务来埋藏行踪,而这样的情况越来越泛滥,也使得资安业者不断呼吁使用者提高警觉。
例如,最近资安业者趋势科技公布的攻击行动,就是典型的例子。他们发现有人利用YouTube及其他社群网站分享档案下载连结,目的是向使用者假借提供盗版软体安装程式、商业软体破解工具的名义,散布恶意软体Lumma Stealer、Private Loader、Mars Stealer、Amadey、Penguish、Vidar。
究竟攻击者如何引诱受害者上当?趋势科技研究人员Ryan Maglaque、Jay Nebre、Allixon Kristoffer Francisco表示,歹徒通常会透过YouTube或同类型的影音共享平台,假借教学如何使用盗版软体为诱饵,然后在安装过程「提醒」受害者点选影片说明或是留言里的恶意连结。
值得留意的是,这次的零时差漏洞多达8个,仅次于去年8月的10个。
在微软公布的漏洞当中,有3个CVE-2025-21333、CVE-2025-21334、CVE-2025-21335已被用于实际攻击,这些皆为权限提升漏洞,存在Windows Hyper-V NT Kernel Integration VSP的元件当中,CVSS风险评为7.8分。它们之间的差别在于弱点的类型,CVE-2025-21333是记忆体缓冲区溢位,CVE-2025-21334、CVE-2025-21335则是记忆体释放后再存取使用(Use After Free)。