一般而言,僵尸网路攻击行动,往往针对多种类型的设备而来,或是对于多个漏洞发动攻击,但最近资安业者Fortinet揭露的攻击行动,骇客竟只针对单一型号的路由器,以及完成修补的已知漏洞下手。
这起攻击行动的特殊之处,在于对方专门对于家用路由器DIR-645而来,且利用已知漏洞CVE-2015-2051发动攻击,而这个漏洞早在9年前就被修补,由此可见,仍有不少该型号设备尚未套用新版韧体而曝险。
【攻击与威胁】
D-Link家用路由器DIR-645老旧漏洞遭僵尸网路Goldoon锁定,遭绑架的设备被用来发动DDoS攻击
资安业者Fortinet于上个月发现僵尸网路Goldoon攻击行动,对方锁定存在已知漏洞CVE-2015-2051的无线路由器DIR-645,并指出这些设备一旦因为具有这些漏洞而遭到入侵,攻击者可得到完整的控制权,并取得系统资讯,与C2伺服器建立通讯,然后发动DDoS攻击。研究人员指出,根据他们的遥测资料,此僵尸网路的活动频率于4月显著增加,为之前的2倍。
究竟攻击者入侵路由器的过程与手法细节,研究人员并未特别说明,但指出一旦对方成功存取这些设备,就会从特定IP位址恶意程式下载工具(Dropper)指令码,执行后会自动根据目标装置的系统架构,下载对应的Goldoon程式,而该档案执行后,就会下载名为i686-linux-gnu的档案,并将自己删除,以防留下证据。针对i686-linux-gnu的功能,就是下载僵尸网路病毒档案。
云端档案共享服务Dropbox证实电子签章服务遭骇,对方窃得身分验证机密资料
5月2日云端硬碟业者Dropbox通报主管机关美国证券交易委员会(SEC),旗下数位签章服务Dropbox Sign(原名HelloSign)遭骇,部分用户的金钥及双因素验证(MFA)资讯遭到骇客存取,接收过其签章文件用户的电子邮件信箱恐遭外泄。但他们并未透露受影响人数,以及事故发生的原因。
该公司于4月24日得知Dropbox Sign的营运环境发生未经授权的存取活动,资安事件回应部门随即著手处理,并终止相关存取。经调查该服务的相关资讯遭到对方存取,所有用户都受到影响,包括电子邮件信箱、使用者名称、帐号设定资讯等。
值得留意的是,曾经收到并以Dropbox Sign签收文件的使用者,即使他们没有Dropbox帐号,电子邮件信箱及使用者名称还是会曝光。根据该公司初步的调查结果,相关文件、合约、范本、付款资讯并未遭到存取,研判这起事故影响范围局限于Dropbox Sign的基础架构,不影响其他产品。
俄罗斯骇客正在寻找水力设施工控系统的远端存取破口,美国、加拿大、英国发布警告
5月1日美国网路安全暨基础设施安全局(CISA)联合该国7个机关、加拿大网路安全中心(CCCS)、英国国家网路安全中心(NCSC-UK)提出警告,俄罗斯骇客为了破坏关键基础设施的运作,正在寻找、入侵不安全的操作科技(OT)环境。
对此,这些机构也对于骇客的攻击手法进行归纳,指出对方利用VNC通讯协定,并借由5900埠存取人机互动介面(HMI),从而对OT环境的底层进行窜改,而且,往往是利用预设帐密或弱密码,且缺乏双因素验证(MFA)防护机制的情况下而能得逞。再者,对方也滥用VNC的远端框架缓冲协定(Remote Frame Buffer Protocol),登入HMI来控制整个OT环境。
其他攻击与威胁
◆澳洲航空将旅客敏感资讯及登机证曝露给他人,起因是应用程式配置错误
◆北约新会员国瑞典遭遇大规模DDoS攻击,在正式加入前达到高峰
【漏洞与修补】
HPE Aruba Networking修补网路设备作业系统重大漏洞,若不处理恐被用于RCE攻击
4月30日HPE Aruba Networking发布4月份资安公告,指出其网路设备作业系统ArubaOS存在10个漏洞,影响Mobility Conductor(原Mobility Master)、Mobility Controller,以及由Aruba Central云端控管的WLAN闸道、SD-WAN闸道等设备,且皆与透过PAPI通讯协定存取有关,攻击者无须通过身分验证就有机会触发。
其中,有4个漏洞:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511、CVE-2024-33512被列为重大等级,皆为未经身分验证的记忆体缓冲区溢位漏洞,CVSS风险评分都达到了9.8分。一旦遭到利用,攻击者就有机会以特权使用者的身分,于作业系统底层执行任意程式码。
资安研究人员Pierre Barre在Brocade储存区域网路(SAN)管理软体SANnav发现多个漏洞,可能被用来攻击光纤通道(Fibre Channel)交换器与SAN基础设施。对此,该公司在今年4月发布2.3.1版修补相关弱点,当中共有18个漏洞,影响2.3.0版以前的所有SANnav版本,其中有15个漏洞已被指派CVE识别码。
值得留意的是,这些漏洞研究人员早在2022年9月透过Dell向Brocade通报,只因为研究人员对于2.1.1版SANnav进行调查,但当时该公司已推出2.2.2版而并未受理。直到去年5月研究人员确认新版也存在这些漏洞,Brocade才正式承认此事。
其他漏洞与修补
◆研究人员揭露可针对小米档案管理工具、WPS Office等安卓应用程式的攻击手法Dirty Stream
其他资安产业动态
◆美国针对路径穿越漏洞提出警告,呼吁软体供应商出货前应进行清查
◆街口、全支付等4家电子支付业者用户突破250万,10月底前将设资安专责部门
近期资安日报
【5月2日】Docker Hub遭滥用,被用来散播恶意程式与架设钓鱼网站的映像储存库比例高达2成