在农历新年期间,有多家上市柜公司针对资安事故发布重大讯息,若是刚好又有骇客组织声称对这些公司下手,很难不让人怀疑两者是否有所关连。
像是近期勒索软体骇客Sarcoma声称对欣兴电子下手,就是典型的例子。值得留意的是,欣兴电子在重讯表示遭到攻击的是中国子公司联能科技,但骇客直指欣兴电子而来,两者是否为相同事故?显然有待厘清。
【漏洞与修补】
2月1日PCB大厂欣兴电子在股市公开观测站发布重大讯息,表示位于中国的子公司联能科技于1月30日遭受勒索软体攻击,但没有透露攻击者的身分。最近有勒索软体骇客组织声称从欣兴电子窃得一批资料,让人不禁与上述的资安重讯联想在一起。
根据资安新闻网站Bleeping Computer的报导,名为Sarcoma的勒索软体骇客组织宣称他们对欣兴电子(Unimicron)下手,并窃得约377 GB的SQL档案及文件,要胁该公司必须在2月20日前进行付款,否则他们将会外流这些资料。威胁情报业者Hackmanac指出,这些骇客已公布部分资料让买家检验。
值得留意的是,虽然时间点相当接近,但骇客并未指出他们攻击的对象,就是从资安重讯提及的子公司联能科技。究竟两起事故是否有关?有待进一步厘清。
AI机器人当红,安全性也受到重视,业者不仅要避免开发的AI模型遭到越狱而被用于助长犯罪,相关帐密资料的保护,也是外界关注的焦点。而最近一起资料外泄的事件也跟这个议题有关,可能让人误以为相关系统遭骇,但实际上很可能是攻击者透过窃资软体撷取。
威胁情报业者Kela指出,他们看到ID名为emirking的人士于骇客论坛BreachForums当中,声称从OpenAI取得逾2千万个帐号存取码,想要寻求买主。这样的情况引起资安圈关注,对此,OpenAI向资安新闻网站SecurityWeek透露,他们已经掌握骇客的说法,截至目前为止,尚无证据显示这些资料的外流是因为OpenAI的系统遭到入侵所致。
根据调查结果,Kela认为,这些骇客兜售的资料并非透过入侵OpenAI的系统而得,很有可能是遭窃资料库的一部分。
两、三年前资安事故外流的资料,竟在网路犯罪圈流传,然后再拿出来兜售,或是向受害的企业组织施压,借此牟取经济利益。
根据资安新闻网站Cyber Press的报导,勒索软体Kraken在暗网的网站上声称,他们从思科的内部网路的AD环境当中,窃得经加盐处理的密码,这些资料包含使用者帐号名称、唯一识别码,以及NTLM密码的杂凑值。对此,思科表示,这些资料来自3年前的资安事故。
针对Kraken声称的内容,Cyber Press指出根据资料的格式,他们推测骇客之所以能截取这些资料,很有可能是利用Mimikatz、pwdump、hashdump等帐密挖掘工具。
其他攻击与威胁
◆◆开放原始码的密码学程式库套件OpenSSL相当重要,许多系统都采用与内建这项工具,开发这个套件的团队2月11日发布资安公告,表示他们最近修补一项漏洞CVE-2024-12797,涉及未通过身分认证的伺服器在进行RFC7250交握的过程,理应被中断连线却没这么做,而有机会被利用。开发团队已推出3.4.1、3.3.3、3.2.4版予以修补。
这项弱点出现的原因,在于用户端透过RFC7250原生公钥(Raw Public Key,RPK)对伺服器进行验证的过程中,因为在设置为SSL_VERIFY_PEER的验证模式下,未通过身分验证的伺服器进行交握通讯时,竟然没有被中止连线,导致系统对这种伺服器未通过验证的情况,难以发出通知,而且,一旦透过这种公钥进行TLS及DTLS进行,攻击者就有机会借由伺服器验证失败的情况下,进行中间人攻击(MitM)。
去年9月Nivdia修补Container Toolkit的资安漏洞CVE-2024-0132,此漏洞涉及时间检查及时间利用(TOCTOU),发生在检查资源状态与使用资源间的时间差,只要在预设组态执行特定的容器映像档,就有机会触发,CVSS风险达到9.0。当时通报此事的资安业者Wiz表示,全球的云端环境约有三分之一部署Nivdia Container Toolkit而曝险,影响范围相当广。最近Wiz公布相关细节。
Wiz研究人员Shir Tamari、Ronen Shustin、Andres Riancho指出,这项弱点能让攻击者控制容器映像档的执行,借此从容器隔离环境逃脱,而能取得底层主机的完整存取权限,使得基础设施及敏感资料曝露于严重的资安风险。
究竟这些漏洞会带来那些影响?Wiz表示,攻击者有机会借此在容器挂载主机的root档案系统,而能不受限制地存取主机所有的档案。若是攻击者进一步存取主机上的容器执行元件Unix socket,还能启动具备特珠权限的容器,从而对主机彻底渗透。
其他漏洞与修补