在今年4月的资安月报中,物联网安全的发展态势成一大焦点,国际间有两则重要新闻,一是英国产品安全暨电信基础设施法(PSTI Act)正式生效,一是FIDO联盟揭露IoT身分识别FDO标准即将有首批认证产品出炉。
特别的是,我们注意到,这两个涉及IoT安全不同层面的新闻,其实在某种程度上有一重要共通点:要让「预设密码」安全问题真正消失!因此,2024年将会是一个重要的转捩点。
长期以来,大家应该已经注意到,绝大多数IoT装置都存在预设密码、通用密码的情况,像是admin、1234、0000等,更糟糕的是,许多使用者都不会更改这些预设密码。
由于这些预设密码,大多在产品说明书或网路上都查得到,甚至过往这类产品还有万用工程密码、帐密写死的情形,这都给了网路犯罪者相当大的可乘之机。
记得今年初,我们看到美国CISA新公布Secure by Design系列警报,当时有一则就是──敦促制造商拒用预设密码,避免相关的滥用威胁。
CISA明确指出,依据多年来的经验,期待顾客在购买产品后去变更预设密码,是不切实际的一件事,多数顾客并不会这么作。因此,只有在产品设计制造阶段,就要设法消除预设密码存在这件事。
然而,尽管多年来资安界提倡Secure by Design,这三四年来,IoT设备通过资安标准认证的态势亦相当显著,但大家更关注的是,全球各国IoT资安立法的进度,因为这会是更强的一股力道,来规范产品安全。
英国PSTI法案生效,强制规范消费性IoT安全,违反最高罚1000万英镑或营业额4%
为何我们前面说2024会是一大转捩点?
这是因为,在2020年提出的欧盟《网路韧性法》(Cyber Resilience Act),以及英国《产品安全暨电信基础设施法》(PSTI Act),都将在2024年正式发布。
尤其英国PSTI法案,已经率先在今年4月29日生效。这不仅标示著,在英国当地销售的物联网产品,都必需遵循这项法令。更重要的是,英国成为全球第一个强制消费性IoT装置必需达到最低资安标准的国家,尤其是禁止使用通用预设密码、弱密码,别具意义。
尽管在此之前,美国两州已有相关立法,包括加州法案SB 327与奥勒冈州法案HB 2395,均在2020年生效,但以国家层级而言,英国显然是更积极。
而且,在英国带头之后,还有欧盟网路韧性法也即将正式通过,由于涉及了大半欧洲市场,因此同样受瞩目。目前最新消息是,欧盟网路韧性法已在立法程序最后阶段,预计最近两个月生效。
大家可以想见的是,这些法案不只影响物联网设备安全,更影响了各国物联网资安立法,同时也影响著台湾许多物联网相关产业。
以这次英国PSTI法案来看,有哪些重点值得关注?我们简单列举如下:
首先,这项法案由英国产品安全与标准办公室(OPSS)负责执行,其规范对象,针对了所有可连网的消费性智慧装置,包括:智慧型手机/平板、连网摄影机、路由器,以及各式智慧家居产品(如智慧门铃、婴儿监视器、智慧家电),还有智慧穿戴设备等。
其次,这项法案所设定最低的安全标准,主要聚焦3大重点,分别是:
●每个产品的密码必须是唯一的,或由产品使用者更改密码设定。这意味著禁止通用密码,并对密码强度有相关要求,或是用户在首次使用时,必须重新设置一组新的密码。
●产品制造商必须提供通报产品安全性问题的联络资讯
●产品制造商必需以明确且透明的方式,将产品生命周期的资讯公布给消费者。
更重要的是,若是违反PSTI法案,情节严重者最高可被罚款1000万英镑,或全球营业额4%作为罚款。
解决预设密码问题成定局,国际间还有更多IoT安全规范正在发展
除了上述新闻事件,近一年来国际间其实还有诸多发展。
例如,在美国方面,联邦通讯委员会(FCC)去年下半宣布针对智慧装置祭出US Cyber Trust Mark安全标章;在亚洲方面,南韩今年初宣布与新加坡签署物联网安全认证体系MOU。
对于台湾而言,虽然我国在2018年就由经济部与NCC启动了物联网资安标章制度,并成为公部门优先采购的安全产品,但如何有进一步发展,是我们持续关注的焦点。
至于即将正式发布的欧盟网路韧性法,4月4日也有新消息。最新发布的一份文件「Cyber Resilience Act Requirements Standards Mapping」,聚焦将网路韧性法附件所列出的每一项基本要求,与现有的资安标准一一对应。这不仅可以评估现有标准的涵盖范围,还能评估哪些标准需要更新或修订,以涵盖CRA的所有要求,更重要的是,可以帮助制造商遵循网路韧性法,以及识别其产品需要符合哪些标准。
无密码身分识别持续受重视,FDO认证产品今年出炉
另一重要消息是,FIDO联盟近年推动的IoT设备身分识别标准,如今即将有首波FDO(FIDO Device Onboard)认证产品问世。
这项消息,FIDO联盟于4月在台举办FDO Taipei Workshop活动上首度宣布,我们在活动现场亦得知,不仅Intel、Red Hat、Dell、英飞凌(Infineon)等科技大厂看重FDO的发展,也有越南业者VinCSS积极打造相关应用,台湾亦有工业电脑厂东擎科技积极参与,并有望成为首批通过FDO认证产品的业者。
回顾过去几年,FIDO联盟在无密码身分识别方式的推动上,先是提出了UAF、U2F与FIDO2标准,促进了线上服务登入可免记密码,到了最近几年,他们显然是将焦点朝向IoT领域,推出FDO标准,期望透过建立一个新的IoT开放标准,让物联网装置注册可以更安全又有效率。
这项FDO开放标准有何特性?简单来说,可应用在物联网设备启用时的身分验证,帮助降低人为导致的资安风险,例如在制造、零售、医疗等场域,可望摆脱传统IoT布署过程存在人工作业、预设密码的状况。
综合来看,我们可以发现,解决IoT设备端的预设密码安全问题,确实在2024年有重要进展。
无论如何,大家可以想见的是,居家与产业环境中连接的物联网设备是日益增长,让攻击者有可乘之机的状况也会越多,因此,IoT安全性的变革至关重要。
【资安周报】2024年4月1日到4月3日
在这一星期IT界与资安界最重大的新闻,就是有开发人员意外发现了XZ/liblzma被植入后门的事件,红帽也公布了XZ相关漏洞CVE-2024–3094,本期有多篇新闻与此事件有关。
所幸的是,这次能够及早揪出了这个潜藏的后门,目前只有部分Liunx版本受影响,影响层面还不是太广,然而,这起针对开源软体的供应链攻击事件,正持续受到调查与探讨。
不只是意外发现的过程,后门植入的手法,更让各界吃惊的是,涉及此事件提交的GitHub帐号,竟是从2021、2022年就开设帐号并逐渐取得原始XZ维护者的信任,这样的潜伏历程备受瞩目,也再次引发各界对于开源软体安全议题的探讨。
还有两个Linux漏洞的揭露值得关注,一是名为Flipping Pages、涉及netfilter元件的漏洞,一是名为WallEscape、涉及util-linux 套件的漏洞。这两个漏洞的修补,分别在今年1月底与3月底释出,近期研究人员各自揭露漏洞细节与并利用场景,同时呼吁尚未因应的用户尽速更新。
在其他漏洞利用消息方面,使用AI框架Ray的企业组织需特别留意,去年11月底Anyscale揭露5个漏洞,唯有CVE-2023-48022漏洞没有修补,甚至认定这并非漏洞,但如今有资安业者揭露已滥用该漏洞的攻击活动ShadowRay。
Google Pixel手机用户也要当心,在Android的4月安全更新公告中,有两个Pixel的资讯泄漏漏洞已有迹象受到针对性利用,分别CVE-2024-29745、CVE-2024-29748,本期资安日报尚未提及,在此补上。
在最近的资安事件中,还有2则新闻我们认为值得重视,分别发生在美国网路安全暨基础设施安全局(CISA),以及非营利组织OWASP基金会。我们整理如下:
●美国CISA亦受到年初Ivanti系统漏洞影响,骇客针对美国联邦高风险化学关键设施,入侵CISA提供的化学品资安评估工具(CSAT),并成功部署了Web Shell,且另一关键基础设施资安资讯工具CISA Gateway也受影响。
●以公布十大网站资安风险而广为知名的OWASP基金会,最近发布资料外泄通知,说明2006至2014年的成员简历档案可能外泄,原因出在一台旧的维基(Wiki)网页伺服器,当中存在组态配置不当的问题。
此外,国内发生一起7所高中校务系统遭骇的事件,根据教育部公布的初步调查,我们认为,当中有两个议题值得留意与警惕。一是关于骇客勒索的对象,并非这些学校,而是打造校务行政系统的亚昕资讯,另一是通用帐号密码的问题,调查中发现骇客先入侵1所学校的系统,获得登入该校务系统的帐密,但骇客利用同一组帐号密码,也能成功登入其他6所学校的系统。另亚昕有其他说法,说明此事件影响单机版校务行政系统,并指出骇客是针对受害客户的主机入侵。有待后续调查厘清。
【资安周报】2024年4月8日到4月12日
在这一星期的漏洞消息方面,包含微软、SAP、Adobe、西门子、施耐德电机等每月例行安全更新修补释出,Rust开发团队修补CVSS满分10分的重大漏洞,以及LG修补智慧电视多个漏洞,而且,传出5个漏洞已遭利用的消息。
(一)微软修补了两个已经遭利用的零时差漏洞,分别是涉及SmartScreen绕过的漏洞CVE-2024-29988,以及关于Proxy Driver欺骗的漏洞CVE-2024-26234。
(二)台厂D-Link停止维护的多款NAS机型被发现多个新漏洞,其中2个已遭利用,除了本周资安日报提及的漏洞CVE-2024-3273,还有CVE-2024-3272也已经遭到利用。D-Link呼吁用户应尽速淘汰这些设备。
(三)另一个本周资安日报尚未提及的漏洞,是Palo Alto Networks周五揭露旗下防火墙产品的零时差漏洞CVE-2024-3400,并计划于14日释出修补,然而,发现漏洞被利用于攻击活动的情形最早在3月下旬。
还有两项漏洞的揭露也值得留意,一是影响多个专案的新型态HTTP/2漏洞遭揭露,已登记9个CVE编号,另一是有研究人员发现网页伺服器元件Lighttpd漏洞曾在2018年被默默修补,不只影响AMI MegaRAC的BMC韧体,进而影响Intel、联想伺服器厂商。
在资安事件焦点方面,国内上市柜接连遭遇资安事件的状况备受瞩目,等于短短一周内,就有5家公司发布资安重讯,涵盖生技、旅游、塑化、食品与光电等不同产业,我们整理如下:
●4月7日,上柜生技医疗业佰研说明旗下电商「无毒的家」会员资料外泄事件。
●4月8日,上柜观光餐旅业富野说明旗下分公司资讯系统遭受网路攻击。
●4月9日,上市塑胶工业联成说明发生网路资安事件。
●4月9日,上市食品工业联华说明发生网路资安事件。
●4月11日,上市光电业联合再生公告有部分系统遭受骇客攻击,导致工厂停工。
值得注意的是,联华实业、联成化科均属于联华神通集团(MiTAC-Synnex Group),而我们在今年2月也曾注意到该集团的通路大厂联强有疑似遭骇的消息在流传,是否有更多灾情尚不得而知;富野是近两个月第二度遭遇事件,该公司表示上次事件后已规画资安强化作为,但需要更多时间建置,因此未能阻挡这次攻击。关于联合再生的后续状况,我们在此补充,该公司隔日已对此事件发布重讯更新近况,表示在确认工厂产线设备未受影响后,已于11日当日下午复工生产。
综观这些事件的公告,我们认为,由于主管机关证交所对于资安事故揭露要求越来越严格,因此不只是资料外泄开始出现在上市柜公司的重讯,企业对于事件后续状况的揭露,也比过往要积极,虽然短期内会让大家产生资安问题似乎发生得比过去密集的印象,然而,随著企业资安威胁态势越来越透明,这些摊在阳光底下的乱象才是真正反映现况,有助于大家正视问题!
在关注台湾资安事件之余,国际间也有一些重大事件,包括:日本光学设备制造商Hoya传出遭勒索软体骇客组织Hunters International攻击,遭索讨1,000万美元赎金,越南石油公司PV Oil遭到勒索软体攻击,以及智利资料中心IxMetro Powerhost遭遇勒索软体SEXi攻击。
此外,全球还有多个资安威胁的最新态势,我们特别注意到在金融业、媒体政要领域,各有一项需要慎防的威胁。
●对于金融业而言,国际信用卡组织Visa发布资安通报,说明最近一波的恶意软体JsOutProx攻击,并呼吁发卡银行、处理机构及相关单位需严加防范;
●对于手持iPhone的记者、官员或政治人物而言,苹果最近发现部分用户遭到佣兵间谍软体(Mercenary Spyware)锁定,已通知可能遭锁定的92国用户,并建议依照步骤来提升装置防护层级。
在其他恶意活动的揭露方面,我们认为可留意下列消息,例如,语音网钓威胁又一例,LastPass示警,说明该公司员工收到一连串的电话、简讯、语音邮件,并指出对方透过WhatsApp冒充公司执行长传送Deepfake的语音讯息;过去曾攻击Canon、全录、LG的勒索软体组织Maze,最近有资安业者揭露其成员可能东山再起,以名为Red CryptoApp的勒索软体骇客组织重新出发,再度危害企业。
【资安周报】2024年4月15日到4月19日
在这一周的漏洞消息中,有Oracle发布今年第2季例行更新要注意,还有一个受到更多IT界关注的漏洞修补,是老牌终端机及传档工具Putty的开发团队发布vuln-p521-bias漏洞通告,指出攻击者可透过CVE-2024-31497漏洞,获取NIST P521曲线演算法的ECDSA私钥,因此,用户除了更新软体,也要立即撤销并替换新的私钥。所幸的是,这次漏洞仅有使用521位元的ECDSA私钥的用户受影响。
在漏洞利用方面,有一则已知漏洞新传出遭利用的消息,3月时中继资料管理工具OpenMetadata维护团队修补了5个漏洞,近期有研究人员发现,有攻击者利用这些漏洞攻击企业K8s环境,并部署挖矿软体。
另一值得留意的是,上期周报提及Palo Alto Networks修补已遭利用的零时差漏洞CVE-2024-3400,后续有研究人员指出,全球有8.2万台曝险,台湾也有1,344台这类设备,它们都是处于暴露于网际网路且尚未修补此漏洞的状态。
在资安威胁焦点方面,近期有3类型的攻击活动,我们认为值得多加留意,包括锁定VPN与SSH的攻击,锁定路由器的攻击,以及网钓威胁与活动。
●多个厂牌的VPN系统或SSH服务正被攻击者锁定,发起大规模暴力破解攻击,思科表示不只是自家产品,还有Check Point、Fortinet、SonicWall、Miktrotik、居易、Ubiquiti的设备遭锁定,并发现针对远端桌面的网页存取服务攻击的情况。
●过去几周有不少僵尸网路锁定路由器攻击的状况,最近又有新的活动被揭露,有资安研究人员发现Moobot、Miori、Condi、 AGoent、Gafgyt与Mirai变种这6种僵尸网路病毒,都在利用TP-Link去年修补的路由器漏洞发动入侵。
●近期一家美国电信服务商员工帐密遭网钓、内部系统遭存取的事件引发思科示警,因为该电信商负责Duo用户的MFA简讯通知及VoIP讯息,因此思科提醒用户,留意遭窃资讯可能被攻击者用于社交工程攻击。
●去年一起锁定美国大型汽车制造商的攻击行动被资安业者揭露,当中指出攻击者一开始发送的网钓邮件,是假冒免费IP位址扫描工具软体Advanced IP Scanner为诱饵,显然,IT人员持续成为骇客发动网钓的目标,必需抱持更大警觉。
关于前几个星期发生的两起重大事件,最近有后续消息传出。首先,对于日前XZ/liblzma后门事件,攻击者竟潜伏为合法维护者的状况,近日OpenJS基金会示警,表示收到一系列电子邮件,其内容是要求为热门JavaScript专案指定新的维护者,因此他们与OpenSSF共同提醒开源维护者,需慎防这样的社交工程攻击手法;另一是上周苹果罕见对全球92国iPhone用户提出警告,如今有研究人员透露进一步细节,指出攻击者使用的间谍软体是LightSpy。
在其他资安威胁态势上,全球近来发生不少重大网路攻击事件,都与政府或关键基础设施有关,我们整理如下:
●台湾外交部的机密资料传出在暗网被兜售,外交部指出这些资料的来源可疑,涉及境外变造、伪造等不法行为,以及操弄认知作战的意图,将持续调查。
●在南海局势升温之际,有资安业者揭露近期中国骇客针对菲律宾的假讯息与骇客攻击活动增加3倍。
●联合国开发计划署近期表示,哥本哈根联合国城的IT基础设施上月底遭网路攻击,部分人力与采购资料遭窃。
●俄罗斯骇客组织Sandworm近期动作频频,不只锁定乌克兰关键基础设施,也锁定美国、波兰的供水设施,以及法国的水力发电系统发动攻击。
●针对俄罗斯持续发动网路攻击,乌克兰方面近期传出反击,该国骇客组织Blackjack宣称,已入侵俄国工业感应器及监控基础设施制造商Moscollector。
还有3起勒索软体攻击事件也成新闻焦点。包括:总部位于荷兰的晶片制造商Nexperia遭遇勒索软体攻击,旅馆集团Omni传出遭勒索软体骇客组织Daixin攻击,以及本期日报尚未提及的另一事件,那就是台湾电子零组件大厂群光电子传出遭Hunters international勒索软体攻击,在周末期间揭露,虽然影响似乎不大,因为群光回应媒体表示,事件未达重讯发布标准。
但因消息曝光在周末,且涉及台湾上市公司,加上骇客声称取得1.2TB、414万个档案,因此受到国人关切。在事件曝光后,群光电子也依据重大讯息发布规定,当媒体报导公司发生资安事件可能影响投资人之投资决策,需发布重大讯息,因此群光电子也在周日中午针对媒体报导发生网路资安事件一事发布重讯,内容指出他们确时遭受网路攻击,已启动防御与复原作业,并重申这次事件未达资安重讯发布标准,以及未有个资、机密文件档案资料外泄。至于骇客组织声称窃取的档案为何,有待更多后续消息揭露才能进一步得知。
此外,在前一星期的资安日报中,我们已经报导属于联华神通集团(MiTAC-Synnex Group)的两家上市公司联华实业、联成化科,同时发布资安事件重讯说明发生网路资安事件,而且后续我们还注意到,传出已有骇客组织宣称窃取联成480 GB的资料,不过我们尚未看到该公司有进一步说明。这起事件的影响性可能比群光的事件还大,不过其他国内媒体有报导此事的并不多,大多是将焦点集中在群光。
【资安周报】2024年4月22日到4月26日
这一星期3则漏洞利用消息,有两起涉及零时差漏洞利用,当中最受关注的是,思科修补了旗下ASA及FTD防火墙的2个零时差漏洞CVE-2024-20353、CVE-2024-20359,原因在于,思科Talos同时公布了调查状况,指出年初经客户通报安全性问题,调查后发现当时已有攻击活动,并是国家级骇客UAT4356(亦称Storm-1849)所为。
另一事件发生在档案伺服器软体CrushFTP,该团队宣布修补已遭利用的零时差漏洞CVE-2024-4040,有研究人员指出骇客很可能是锁定政治目标收集情报。
还有一个已知漏洞利用情形,是微软详细揭露了俄罗斯骇客组织APT28近年的攻击手法,当中利用了Windows Print Spooler服务漏洞CVE-2022-38028。因此,近日美国CISA将之列入已知利用漏洞清单。
其他漏洞消息方面,有一则影响全球10亿用户的消息,是市面上常见的中国拼音输入法被发现存在诸多漏洞。为了帮助这些用户不受攻击者监控输入内容,加拿大公民实验室已向8家输入法供应商通报大批漏洞,多家厂商已针对最严重的漏洞进行修补,但Vivo、小米却并未针对通报回复。
在资安威胁态势方面,有4则新闻我们认为值得重视,这些攻击趋势研究的面向,涵盖SAP用户、网页伺服器被锁定、CDN快取遭滥用、以及AI的趋势,我们整理如下:
●SAP用户注意,有两家资安业者警告,锁定SAP旗下应用系统的勒索软体攻击行动在2023年大增,不仅攻击活动比两年前暴增4倍,SAP的RCE漏洞在黑市的价格也水涨船高,显示骇客正对此有高度兴趣。
●锁定网页伺服器已知漏洞并部署Web Shell的攻击行动被揭露,目的是植入勒索软体Adhublika,而全球受害数量最多的国家除了美国与印度,台湾居于第三。
●骇客组织CoralRaider攻击行动被揭露,研究人员指出对方使用CDN快取伺服器存放恶意程式,这将导致网路防御系统可能无法对其进行侦测而放行。
●最新一项大学研究报告指出,LLM Agents将能自动利用具CVE编号、已被揭露的One-day漏洞,实测10个LLM的结果显示,GPT-4成功完成这项工作,再次显现AI带来的风险与挑战。
此外,本期周报也新补上一则AI监管的最新动向,是美国康乃狄克州议会在24日通过了SB 2,若是之后顺利发布,SB 2将成为美国第一部监管民营企业开发与部署人工智慧的法案,成为与欧盟AI法案相当的立法。
还有2则值得警惕的攻击态势,是关于骇客正锁定资安管理不善的国防产业,以及锁定网路边际装置来入侵。
●韩国国防承包商传出遭北韩骇客组织攻击,导致相关机密资料被窃取,韩国警方提出警告,并指出多个北韩骇客组织利用了这些公司资安管理不善的情况进行渗透。
●Google Cloud发布M-Trends报告,除了谈及过去一年攻击者如何利用AiTM入侵多重验证保护措施,网路钓鱼技术在现代化安全控管机制下的演变,并指出中国骇客逐渐以缺乏EDR系统防护的网路边际装置与平台为目标。
至于其他最新恶意活动的揭露,本星期的焦点还包括:安卓金融木马SoumniBot、恶意软体SSLoad、窃资软体RedLine等,以及骇客组织BlackTech利用新的后门程式Deuterbear的揭露。
在资安事件方面,本星期发生多种类型攻击事件,涵盖零时差漏洞攻击、软体供应链攻击、关键CI攻击与资料外泄。这4则新闻如下:
●年初Ivanti零时差漏洞有新的受害组织,资安研究机构MITRE近日公布他们用于研究、开发、原型设计的协作网路环境NERVE遭入侵。
●防毒软体eScan的更新机制竟成派送恶意程式GuptiMiner帮凶,研究人员指出是北韩骇客Kimsuky发动的软体供应链攻击,透过复杂的中间人攻击手法,针对大型企业网路环境来部署后门程式。
●美国德州小镇2起供水系统遭攻击的事件,导致供水系统出现溢流现象,已手动控制因应,研判俄罗斯骇客组织Sandworm(APT44)所为。
●长荣航空在25日夜间发布资安事件,说明察觉不明人士取得旅客帐号资料并透过恶意IP位址登入网站,发现300多名旅客资料被存取。此外,先前群光遭骇事件这周末又有后续消息,我们在此补上,该公司指出骇客组织新揭露的SpaceX资料非机密资料。
特别的是,还有一起案外案,是北韩云端伺服器组态不当造成资料外泄,当中资料显示,疑似美国多家影音平台动画制作外包给中国公司,中国公司又外包给北韩动画公司,导致违反美国政府禁令的状况曝光。
在防御态势上,这一星期有2项新进展,首先,我国数位发展部正式公布国家资通安全研究院(资安院)接手TWCERT/CC,这项消息其实我们在1月初采访TWCERT/CC得知并揭露,2月也有对此的专访报导,最近4月24日,数位发展部部长唐凤与资安院院长何全德不仅正式宣布此事,同时还揭露5大推动策略。
其次,推动IoT开放标准协定FDO的FIDO联盟,近日在台举办FDO WorkShop活动,该单位认证计划主管透露,首批通过FDO标准认证的名单将于近1到2月内公布,有4家厂商进度最快,台湾工业电脑厂东擎科技也包括在内。