在这一星期的漏洞消息中,有两大漏洞修补需重视,包括江森自控修补旗下工业冷冻系统重大漏洞、Fortinet修补旗下FortiSIEM重大漏洞,此外,还有视讯监控影像录制设备(NVR)与路由器被骇客发现新零时差漏洞、并利用于散布Mirai变种病毒JenX的严重威胁,目前揭露此事的Akamai先示警并通知相关制造商,预计12月有新版修补释出。
另外,10月初我们曾报导GNU C函式库缓冲区溢位漏洞僵尸网路Mirai锁定物联网(IoT)装置的攻击行动,不时有事故传出,但最近研究人员披露的资安事故相当引人注目,因为,他们并未透露骇客针对的设备型号,仅公布类型是网路视讯监控装置(NVR)、小型路由器。
值得留意的是,上述设备皆存在零时差漏洞,而且,研究人员透露攻击者所使用的恶意程式码,包含了这些设备的预设帐号及密码。而这些迹象也显示,攻击者有可能利用这些管道取得控制权。