上个月思科针对旗下防火墙用户提出警告,指出这些设备的VPN服务遭到密码泼洒攻击,如今该公司提出新的发现,还有其他厂牌的设备也遭遇类似攻击。
值得留意的是,不光是VPN系统成为攻击目标,还有数个厂牌的网路设备也是对方下手的对象,他们透过SSH连线尝试进行暴力破解攻击。
【攻击与威胁】
登入VPN远端存取别再用简单或共用密码!7个厂牌的设备或服务遭到大规模暴力破解攻击
3月26日思科揭露启用远端存取VPN服务(RAVPN)的设备遭遇密码泼洒(Password Spray)攻击,当时研究人员Aaron Martin指出其他VPN系统也被僵尸网路Brutus锁定,最近思科终于证实这个情况。
该公司旗下的威胁情报团队Talos指出,他们发现从3月18日开始,有人锁定多个厂牌的VPN系统或SSH服务,从事大规模暴力破解攻击,VPN系统的厂牌涵盖思科、Check Point、Fortinet、SonicWall,此外,Miktrotik、居易(Draytek) 、Ubiquiti的设备也遭到锁定。此外,他们也看到针对远端桌面的网页存取服务(RD Web Services)发动攻击的情况。
不过,究竟Talos公布的资安事故,是否与当时研究人员Aaron Martin公布的僵尸网路攻击行动有所关连?研究人员并未做出说明。
疑似XZ Utils的软体供应链攻击手法再度出现,这次是锁定OpenJS的JavaScript专案而来
开源专案人力资源缺乏是常久以来的现象,若是有人愿意出手协助处理臭虫或是资安漏洞,照理来说,可说是求之不得。但在发生XZ Utils后门的供应链攻击之后,开源界也开始担忧,攻击者有可能假借协助的名义成为专案的维护者,并打算等到时机成熟再暗中埋入恶意程式码。
4月15日OpenJS基金会收到一系列的电子邮件,指出他们代管的热门JavaScript专案存在危急(Critical)漏洞,要求该委员会采取行动,并指派他们成为该专案的维护者著手处理,但究竟这项专案存在的漏洞为何,对方并未进一步说明。他们怀疑对方企图依循发动XZ及liblzma供应链攻击模式,趁机混入专案维护团队,待时机成熟才发动攻击。对此,他们依循OpenJS专案的资安政策,并未授予这些用户相关权限。
串流网路电视业者Roku遭遇帐号填充攻击,57万用户恐受波及
4月12日Roku表示,他们近期持续监控可疑帐号的活动,结果发现大规模帐号填充(Credential Stuffing)攻击行动,有57.6万个帐号被骇。
该公司指出,他们并未发现系统遭到入侵,也并未发现攻击者借由他们的系统取得相关帐密,研判对方使用的帐密资料,很有可能来自使用者在其他服务设置的资料,且与Roku帐号共用密码,而能得逞。Roku指出,其中有近400个帐号,攻击者企图利用帐号储存的付款方式购买订阅服务或是商品,但强调对方无法存取完整信用卡卡号等敏感资讯。
骇客组织TA558发动攻击行动SteganoAmor,透过Office方程式编辑器漏洞散布恶意软体
资安业者Positive Technologies揭露名为SteganoAmor的攻击行动,TA558透过看似无害的Excel或Word档案电子邮件附件启动攻击链,其共通点是利用微软Office方程式编辑器漏洞CVE-2017-11882(CVSS风险评分为7.8)。
若是使用者的电脑没有修补上述漏洞,攻击者就会设法在这些装置触发漏洞、下载Visual Basic指令码(VBS),该指令码会抓取特定的JPG档案,并透过埋藏于其中的PowerShell程式码,下载经Base64编码处理的恶意酬载并还原,这些恶意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。
值得留意的是,为了避免资安系统察觉异状,攻击者不光是将恶意酬载及相关指令码存放于Google Drive或其他合法的云端服务,他们也挟持FTP伺服器及SMTP伺服器,来充当C2伺服器,而且,骇客绑架的SMTP伺服器,也会用于发动网路钓鱼攻击。
其他攻击与威胁
◆逾8万台Palo Alto Networks防火墙曝露于重大漏洞CVE-2024-3400
◆遭勒索软体攻击的健康保险服务业者UnitedHealth付出逾8亿美元的代价
◆僵尸网路病毒借由TP-Link路由器漏洞CVE-2023-1389散布
【漏洞与修补】
新型态漏洞LeakyCLI恐曝露AWS及Google Cloud帐密
资安业者Orca揭露名为LeakyCLI的漏洞,并指出该漏洞也出现在AWS及Google Cloud Platform(GCP)的CLI,涉及这些云端平台的自动化开发流程,一旦使用者将此种命令列介面搭配CI/CD管线流程使用,攻击者就有机会绕过云端服务业者设下封锁机密资讯曝露的标签,而有机会从事件记录曝露帐密资料等环境变数。
对此,研究人员通报AWS及Google,但两家公司皆认为,研究人员的发现符合自家系统的设计规画,并未打算著手处理。研究人员表示,企业组织应避免将帐密等机密资讯存放于环境变数,而应该将由AWS Secrets Manager这类专属服务保管,防止曝险。
4月15日虚拟终端及网路档案传输工具PuTTY发布资安公告,指出该软体存在严重漏洞CVE-2024-31497,此为ECDSA私钥生成漏洞,攻击者一旦利用,就有机会恢复P521私钥并伪造签章,影响0.68至0.80版PuTTY,维护团队呼吁,用户应立即撤销受影响的私钥。
该漏洞之所以严重,是因为攻击者不需要长期控制伺服器,或持续拥有存取权,只需短暂入侵使用该私钥进行身分验证的伺服器,或是暂时获得储存私钥的Pageant工具存取权限,就有机会获得签章。也就是说,攻击者只需要短暂存取伺服器,即可产生严重的后果。
对此,开发团队发布0.81版修补上述漏洞,放弃过去产生k值的旧系统,针对所有DSA和ECDSA私钥类型,改用RFC6979演算法来因应。此外,部分版本的FileZilla、WinSCP、TortoiseGit、TortoiseSVN,也采用含有漏洞的PuTTY,用户应留意开发团队相关更新公告。
其他漏洞与修补
◆Oracle发布2024年第2季例行更新,总共公布441个修补程式
◆Ivanti修补Avalanche行动装置管理系统危急漏洞