最近3至4年,资安界疾呼开发人员软体开发安全议题,其中一项做法应透过记忆体安全程式语言进行开发,Rust是最受到推荐的程式语言之一,但现在骇客也将其用来开发恶意软体。
本周资安业者Fortinet揭露的僵尸网路RustoBot,就是典型的例子。值得留意的是,此僵尸网路的攻击范围,涵盖台湾在内的4个国家,且锁定市面上常见的两家路由器下手,后续态势相当值得我们留意。
【攻击与威胁】
专门针对台湾、越南、马来西亚等亚太国家发动攻击,被称为Mustang Panda、Earth Preta、RedDelta、TA416的中国骇客组织,在今年2月、3月传出相关攻击行动,包含意图利用作业系统预载公用程式MAVInject.exe回避侦测,以及散布恶意LNK档案利用尚无修补的零时差漏洞,最近有研究人员发现,这些骇客改用新的工具犯案,使得行踪变得更加难以捉摸。
资安业者Zscaler指出,Mustang Panda近期锁定缅甸而来,该国3月底才因7.7级地震而遭逢重大灾难,没想到现在还必须处理骇客攻击的问题,他们在2台受害电脑发现后门程式ToneShell的变种,以及一系列未曾被发现的作案工具,因而高度关注此事。
基本上,ToneShell是惯用的后门程式,而这次Zscaler发现,骇客使用的新版本出现显著的变化,那就是调整了与C2连线的FakeTLS通讯协定,以及在建立用户端识别编号的做法。
德国波鸿鲁尔大学研究人员揭露CVE-2025-32433,是Erlang/OTP SSH程式库的重大安全漏洞,CVSS评分达到满分10分,属最严重等级的远端程式码执行漏洞。该漏洞来自SSH协定讯息处理逻辑缺陷,允许未经验证的用户透过精心设计的协定封包,在尚未完成身分验证的阶段,绕过安全机制直接执行指令,进而全面控制或瘫痪目标系统。
根据Erlang于GitHub公告的资安通报,受影响版本涵盖OTP-25、OTP-26与OTP-27分支的多个版本,当系统或应用层采用Erlang/OTP提供的SSH伺服器模组,极可能处于高风险环境。官方已针对各分支释出修补版本,分别为OTP-25.3.2.20、OTP-26.2.5.11与OTP-27.3.3,建议用户尽快升级,若是未能立即修补的情况下,IT人员应考虑先行停用SSH服务,或透过防火墙限制外部存取。
其他漏洞与修补
◆美国漏洞资料库计划CVE、CWE本月传出可能中断服务消息,引发业界对仰赖单一政府维护的全球漏洞资料库疑虑,加速其他人或政府建立并行资料库,作为替代或备援方案。
美国非营利组织MITRE传出承揽的多项美国政府专案即将到期,包括其维护的「常见漏洞披露(CVE)」及「通用缺陷列表(CWE)」等资料库。外界猜测是川普政府删减行政预算之故。不过隔日美国主管机关CISA就证实将延长专案至少11个月,使得对资安人员的重要资源暂时解除断炊危机。
但这次事件也让业界注意到单一漏洞资料库的「单一失败点(single point of failure)」风险,继CVE董事会成员宣布成立CVE基金会,将该专案转型为独立的非营利组织,欧盟网路安全管理署(ENISA)于2024年6月宣布启动的欧盟漏洞资料库(EU Vulnerability Databased,EUVD),将有望成为美国国家弱点资料库(NVD)的替代选项。