资安业者Palo Alto Networks公布防火墙漏洞CVE-2024-3400引起各界关注,原因不光这项漏洞的CVSS风险评分达到10分,还有漏洞发生的原因也与GlobalProtect的SSL VPN服务有关。
值得留意的是,之前才发生大规模锁定多个厂牌SSL VPN系统的暴力破解攻击,再加上今年初Ivanti Connect Secure一连串零时差漏洞的事故,使得上述漏洞各外受到许多研究人员的重视。
【攻击与威胁】
逾8万台Palo Alto Networks防火墙曝露于危急漏洞CVE-2024-3400
4月12日资安业者Palo Alto Networks针对旗下防火墙危急(Critical)漏洞CVE-2024-3400发布资安公告,并从14日开始提供各版本防火墙作业系统PAN-OS的修补程式。由于通报此事的资安业者Volexity发现,该漏洞3月底已被用于攻击行动,后续动态也值得关注。
Shadowserver基金会指出,他们每天在网路上发现约15.6万台启用GlobalProtect防护机制的防火墙,而有可能曝露上述漏洞的危险,不过究竟总共有多少设备曝险,该基金会并未说明。
研究人员Yutaka Sejiyama指出,约有8.2万台防火墙曝险,其中又以美国最多,约占4成;而台湾也在榜上,约有1,344台该公司防火墙设备可能遭殃,这些系统应该都是因为未修补这个漏洞,并且连接网际网路,而被研究人员找到(同样地骇客也可以扫描到这些目标)。
中继资料管理工具OpenMetadata遭挟持,攻击者借此入侵K8s并部署挖矿软体
3月15日中继资料管理平台OpenMetadata漏洞维护团队发布资安公告,指出该系统存在CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848、CVE-2024-28254等5个漏洞,其CVSS风险评分介于8.8至9.8,他们推出1.2.4、1.3.1新版予以修补,并指出一旦利用这些漏洞,攻击者可远端执行任意程式码。事隔不久,微软的研究人员在4月初,发现上述漏洞被用于攻击K8s环境。
攻击者疑似寻找曝露于网际网路,执行OpenMetadata的K8s工作负载,并确认是否存在前述漏洞,一旦确认是含有漏洞的版本,对方就会借此在OpenMetadata容器执行程式码,并从远端伺服器下载挖矿软体,这些伺服器位于中国。
小心语音网路钓鱼!骇客冒充LastPass客服,意图用诱骗用户密码库资料
资安业者LastPass针对网路钓鱼套件CryptoChameleon的攻击行动提出警告,他们接获资安业者Lookout的通报,并得知新的停放网域(Parked Domain)help-lastpass[.]com,然后著手进行监控,并表明一旦该网域出现可疑活动且针对该公司客户从事网路钓鱼,他们就会采取行动。
而对于攻击者利用上述网域的方式,LastPass表示对方很可能会透过语音网钓从事攻击行动。对此,LastPass提供网路钓鱼攻击的相关特征,呼吁用户提高警觉,并强调他们不会向用户询问主控密码。
网路犯罪份子企图利诱电信业者T-Mobile、Verizon员工成帮凶,要求参与SIM卡挟持攻击
近期有T-Mobile的前员工在社群网站Reddit上表示收到怪异的简讯,并怀疑对方如何得知他们的电话号码。随后便有多名该公司前员工、现任员工出面,表示他们也收到相同的简讯。
简讯的内容声称,对方透过T-Mo员工名册得知手机号码,并表明想要寻求能联手从事SIM卡挟持(SIM Swapping)攻击的伙伴,一旦成功,他将提供最高300美元的报酬。
但值得留意的是,不光是曾经任职T-Mobile的员工收到简讯,电信业者Verizon、Charter Communications的员工,也收到类似的简讯。
4月16日联合国开发计划署(United Nations Development Programme)表示,他们在3月27日发现遭遇网路攻击,位于哥本哈根联合国城的IT基础设施成为目标,对方从中窃得部分人力资源及采购相关的资料。
而对于攻击者的身分,勒索软体骇客组织8Base宣称是他们所为,该组织于4月3日公布窃得资料。但攻击者的说法,并未得到联合国证实。
根据自由时报的报导,有人在暗网兜售外交部的机密资料,卖家标榜是第一手资料,且过往未曾流出,内含的公文时间横跨2022至2024年,最近一份资料为今年3月,档案总共有4 GB,皆为PDF档案。
这些资料包含7份公文,其中2份是「我与邦交国双边关系灯号评估简表」,另有2份是驻美代表处电报、2份为驻美国代表处经济组的公文,最后一份为是来自财团法人国际合作发展基金会(国合会)的公文。值得留意的是,上述提及的邦交国双边关系评估表当中,其中一份提及有2个邦交国教廷、吐瓦鲁的关系出现警讯(黄灯),很难不让人联想我国外交关系再度恶化。
对此,外交部表示,这些资料的来源可疑,涉及境外变造、伪造等不法行为,以及操弄认知作战的意图。他们将与相关单位进行调查。
其他攻击与威胁
◆恶意软体OfflRouter锁定乌克兰政府机关,透过VBA巨集感染受害电脑
其他漏洞与修补
◆美国针对三菱电机、Unitronics工业控制系统漏洞提出警告,并指出尚无可用的修补程式
◆思科针对基板管理控制器IMC漏洞提出警告,攻击者有可能取得root权限
【资安产业动态】
MLCommons AI安全工作小组推进人工智慧安全性的工作,发布AI Safety基准测试,就模型对于特定危害类别提示词的反应,评估其安全性。目前这个评估基准为概念性验证版本0.5版,供研究人员实验和提供回馈,在今年稍晚的时候,他们会再释出更加全面的1.0版。
近期资安日报
【4月18日】DevOps协作平台Confluence已知漏洞被用于散布勒索软体Cerber