在漏洞相关消息中,这个礼拜最受重视的是以色列自动化控制业者Unitronics的PLC漏洞,因为自11月底开始,美国宾州水利单位的工控系统传遭骇客劫持的相关消息,持续成为各大资安新闻媒体的焦点,甚至美国佛罗里达州自来水公司、爱尔兰自来水公司也传遭攻击,后续又有更多新消息。对于防守端而言,已,将要求变更预设密码、要求复杂密码,以及增加保护Vision与Samba控制器的新功能,而且,12月初还有揭露Unitronics的Vision PLC and HMI存在不安全预设密码漏洞此时也适逢微软、Adobe等每月例行安全更新释出,需要大家关注与尽快修补,我们整理如下:
●微软本月修补30多个漏洞,有4个属于重大漏洞,同时针对一个8月已公开的AMD漏洞(CVE-2023-20588)修补。
●Adobe本月修补207个漏洞,以网站内容管理平台Adobe Experience Manager受关注,因为有185个漏洞与之相关。
●研究人员揭露macOS/iOS装置与多家Linux作业系统存在蓝牙键盘注入漏洞,目前仅ChromeOS修补。
●Apache基金会修补Java应用框架Struts的RCE漏洞,编号为CVE-2023-50164。
其他可留意的漏洞消息,包括:SAP、开源防火墙系统pfSense,以及WordPress外挂程式Backup Migration的漏洞修补释出,还有高通、联发科5G晶片存在5Ghoul漏洞的揭露(其中10个漏洞已公开,4个尚未公开),以及去年Sophos修补CVE-2022-3236漏洞,近日该公司针对EOL产品提供破例修补程式。
在威胁态势上,近期地下论坛时常传出兜售我国政府、企业资料的情形,这类消息明显比过往频繁,原因很有可能是我国即将举行的2024总统大选。例如:有卖家在地下论坛BreachForums声称兜售中华电信帐务资料,中华电信后续表示查无遭骇,研判是利用欠费查询功能取得不具个人识别性的帐务资料,还有日前在国际威胁焦点方面,有4项消息我们认为最值得关切,其中两件与电信业相关:
(一)关于今年中国骇客组织Volt Typhoon持续锁定小型路由器攻击的状况,有资安业者揭露最新调查,指出该集团正利用僵尸网路KV-botnet,在今年8月、11月扩大锁定Netgear、思科、居易路由器与Axis的IP网路摄影机等设备入侵。
(二)注意滥用各种OAuth应用程式的自动化攻击!微软MSRC警告,有骇客盗用具有OAuth应用程式权限的使用者帐号,接著将会滥用这些权限来隐藏恶意活动。
(三)多家资安业者联手指出,骇客组织Sandman不仅锁定电信业者攻击,同时与中国骇客互通有无,研究人员推测,这两组人马很可能共用恶意程式开发资源。
(四)乌克兰当地最大电信业者Kyivstar遭大规模网路攻击,导致其行动通讯与网路服务中断。
其他可留意的消息,包括,AMD处理器新型态攻击手法SLAM的揭露,俄罗斯骇客组织Star Blizzard新型态帐密窃盗手法的揭露,语音网钓攻击BazarCall滥用Google表单的揭露。
在资安防御态势上,将生成式AI用于帮助资安工作已蔚为风潮,最近Google更是抢先宣布这方面的技术应用特色,Duet AI in Security Operations功能正式上线。