时至2023年最后一星期,适逢欧美各国圣诞连假,各大资安媒体虽然大多暂停发布新闻,期间仍有零时差漏洞攻击的揭露。在12月24日,资安业者Barracuda Networks发布资安公告,指出中国骇客UNC4841再次锁定他们的产品发起零时差漏洞攻击,导致部分邮件安全闸道(ESG)植入恶意软体Seaspy及Saltwater的新型变种,该公司已于21日派送自动软体更新修补,并指出该漏洞CVE-2023-7102存在于ESG产品中,Amavis病毒扫描程式元件的第三方程式库Spreadsheet::ParseExcel。这项消息呼应我们先前报导,当时我们提醒大家注意零时差漏洞攻击出现锁定底层元件进行滥用的状况,而上述事件无疑再次反映此一态势。
还有两个漏洞修补消息值得重视,首先,Apache基金会在12月先后修补旗下ERP系统OFBiz的2个CVSS风险评分9.8分的重大漏洞,分别是:CVE-2023-49070、CVE-2023-51467。值得注意的是,资安业者已发现攻击者扫描存在漏洞的系统,再加上有不少系统将之整合或采用,因此影响范围预估不小,像是Atlassian的JIRA就包含了OFBiz,企业须注意相关后续修补动向;另一是英商Canonical针对Ubuntu作业系统修补了文字编辑器Vim的15个漏洞,其中4个为CVSS风险评分7.8分的高风险层级。
此外,关于半年前攻击者针对iOS发起的Operation Triangulation攻击行动,最近卡巴斯基揭露相关细节之外,还指出攻击者所利用4个零时差漏洞中,仍有一个漏洞的滥用方式不明。
在威胁态势方面,SSH安全问题在这星期几篇资安新闻当中均提及,例如,先前有大学研究人员揭露Terrapin攻击手法与3个漏洞,最近韩国资安业者AhnLab提出警告,指出发现攻击者锁定执行Linux作业系统的SSH伺服器,并针对缺乏相关安全设置的主机发动攻击。
而从产业面来看,这星期我们看到网路订房与饭店业,以及游戏业的状况较多,各有两篇资安新闻。
首先是旅馆业者的服务生态链,例如,这几个月持续有骇客锁定Booking.com用户诈骗的揭露,如今又有资安业者指出这是一种B2B2C形式的手法,先针对饭店员工网钓下手,在以饭店业者帐号登入Booking.com去诈骗客户;另一是窃资软体RedLine、Vidar的攻击行动,同样是骇客假借客人投诉与订房为由,引诱饭店人员点击钓鱼邮件。
游戏业者的资安事故方面,这段期间各大资安媒体均报导下列两则消息,一是法国游戏开发商Ubisoft遭骇客入侵48小时,所幸公司管理员察觉异常、险些遇害的揭露;另一是传出侠盗猎车手V(GTA 5)原始码外流的情况,根据后续的情报表示这是2022年RockStar Games遭骇时流出。
在防御态势方面,2023年全球资安界均相当关注生成式AI资安应用的现况,而我们最近发布的封面故事也特别以此为题进行报导,当中可以看出今年骇客针对Booking.com房客发动攻击的情况不时传出,其特别之处在于,骇客并非直接对房客下手,而是先对旅馆发动网钓攻击,再假借这些旅馆的名义对房客行骗,房客一不注意对方提供的网址是假冒的就点进去查看,很容易上当。
值得留意的是,这样的情况日益恶化,甚至已经在网路犯罪圈发展成上下游分工的情况──有人专门收集旅馆的Booking.com帐密供打手运用。