在美国旧金山举行的2024 RSA Conference于5月6日到9日才刚刚落幕,台湾也有一场国际级的资安盛会即将登场,那就是--CYBERSEC 2024台湾资安大会。
值得注意的是,今年台湾资安大会迈入第十个年头,本届的会展规模更为盛大,将有30个资安主题论坛、超过300场专业资安演讲,以及超过400家国内外资安品牌的国际级资安展览,并且是首度南港展览馆二馆全馆使用。
【攻击与威胁】
电脑大厂Dell近月发生一桩网路安全事件,可能导致4,900万个人或企业用户资讯外泄。部份Reddit或X用户本周分别反映接到Dell以电子邮件通知。Dell入口网站有关的资料库发生一桩「事件」,导致其中和Dell采购相关的特定客户资料外泄。Dell已经启动调查,基于资料种类,该公司相信对客户没有重大风险。Dell也未说明事件起因是网路攻击、作业不慎或其他原因。
遭外泄的资讯包括姓名、住家地址、以及Dell硬体及订单资讯,包括服务标签、商品描述、订单日期和相关的保固资讯。
云端LLM服务用户当心!帐密若失窃,存取权恐被转卖给网路犯罪份子
大型语言模型(LLM)爆红,全球都关注采用这类人工智慧技术或服务的应用系统发展,而在资安风险的层面上,绝大多数关注的层面是围绕著提示的滥用,以及训练资料的窜改,以云端原生防护产品著称的资安新创公司Sysdig,本周揭露新的攻击手法,他们观察到有些恶意活动利用盗取的云端服务身分凭证,而且是锁定前10大云端LLM服务,并将这种行为称为LLM绑架(LLMjacking),在上述情境之下,攻击者会将LLM存取权卖给其他网路犯罪份子,同时,这些云端服务帐号持有者可能还在持续支付使用LLM应用的帐单,形同帮歹徒的AI使用而埋单。
用户的云端服务身分凭证之所以被偷走,Sysdig仅简略表示是来自一个拥有许多用户的系统,由于当中执行具有CVE-2021-3129漏洞的PHP框架Laravel,而导致这些资料外流。
Ivanti漏洞遭Mirai僵尸网路滥用,目的是传输恶意酬载
今年1月揭露的Ivanti资安产品漏洞CVE-2023-46805、CVE-2024-21887,这几个月以来,陆续引发许多风波,本周(5月7日)资安与网路设备厂商Juniper Networks旗下的Juniper Threat Labs发布监测报告,揭露他们发现Mirai僵尸网路试图利用这批漏洞,执行远端程式码执行,目的是广泛散播恶意程式。
攻击者主要滥用Ivanti产品的两个漏洞,其中,针对CVE-2023-46805的部分,主要是运用略过身分认证与路径穿越这两个弱点,使得他们得以存取敏感资源;另一个漏洞是CVE-2024-21887,攻击者可运用注入任何命令的弱点,而能够执行指令码,进而部署多种恶意软体,研究人员也在其他受监测的执行个体,发现攻击者透过以curl、Python写成的反向shell技术来滥用CVE-2024-21887,而得以控制那些存在弱点的系统,最近他们更发现经由shell指令码传递Mirai酬载的状况。
研究人员揭露CPU推测执行漏洞攻击新手法Pathfinder,能用来泄露加密金钥与资料
关于CPU资安漏洞的研究,持续成为电脑科学界的热门议题,在4月底、5月初,由国际计算机协会(ACM)举行的年度程式语言与作业系统架构支援大会(ASPLOS),有一篇由多位学者共同发表的论文探讨攻击CPU的新手法,称为Pathfinder,作者来自加州大学圣地牙哥分校、普渡大学、乔治亚理工学院、北卡罗来纳州大学教堂山分校、Google。
与2018年引发各界热烈关注的CPU重大漏洞Spectre相同的是,Pathfinder所要突显的问题,同样与CPU的分支预测机制有关,也是属于推测执行类型的漏洞。因为学者透过这篇论文所要探讨的对象,主要是CPU的动态分支预测器(Conditional Branch Predictor)的历程暂存器(Path History Register,PHR),以及预测历程资料表(Prediction History Tables,PHTs),有心人士可在这些地方进行内容的泄漏与修改。
以阿长年处于敌对状态,资安业者揭露伊朗透过舆论影响行动持续在以色列社会制造动荡
随著近年资安领域已从网路安全延伸至认知安全的混合战!最近不少资安业者特别关注这项议题,例如,Recorded Future旗下情报研究部门Insikt Group最近一份研究报告,揭露一项伊朗政府针对以色列发起的舆论影响行动(information operations)。
Insikt Group指出,这项舆论影响行动是由伊朗政府支持的骇客组织Emerald Divide(又名Storm-1364)所为,他们发现,该组织从2021年持续发起这样的网路攻击行动,不仅利用AI与社群媒体在以色列社会中挑起分岐,同时还涉及严重的网路安全威胁,例如,收集个人身分资讯与公开以色列官员的私人讯息,并且会持续利用以色列社会上有争议的问题,来影响以色列的民众。
根据Insikt Group的分析,他们观察到三个行动阶段,首先是三年前的第一阶段,将以色列的极端正统派和LGBTQ+社群对立起来,接著是将焦点转移到左派和右派之间的政治辩论,而目前进行的第三阶段,是利用近期以色列与哈马斯之间的战争,借机扩大意识形态分歧,以及削弱对以色列政府信任的方式,来操弄以色列社会。
附带一提的是,台湾资安界如今也开始对这方面的议题抱持高度重视,强调我们需要提出资安即国安3.0战略来因应。
其他攻击与威胁
◆研究人员揭露可针对小米档案管理工具、WPS Office等安卓应用程式的攻击手法Dirty Stream
【资安产业动态】
台湾资安大会将于5月14到16日连三天举行,今年迈入第十届,规模更盛大
迈入第十届的CYBERSEC 2024台湾资安大会,将于5月14日到16日在南港展览馆二馆举办,今年展会再度扩大规模举办,以「Generative Future」为主题,揭开AI资安新时代。目前完整议程内容已经公布,共有超过300场专业资安演讲、近30个资安主题论坛,并增设增设全英文专属议程「CYBERSEC Global」,以及「CYBERSEC Arena资安竞技场」、「资安十年历史墙」等新活动。
其他重要焦点还包括:「台湾资安馆」、「Cyber Talent资安人才专区」,以及规模比往年更盛大的资安品牌展区。还没线上报名的企业、民众,可于会展期间现场报名参与这项亚洲最大的年度资安盛事。
行政院公共工程委员会和数位发展部共同研订的「政府资讯服务采购经费估算编列手册」已于5月1日正式公布,对于未来个别机关资讯、资安的委外采购事项,都可以参照经费估算编列手册的内容「照表操课」进行编列,对于促进资讯、资安产业的发展也有正向助益。
此一经费估算编列手册经过产业界多次讨论、意见汇整后产出,行政院公共重委员会副主委叶哲良表示,这份预算编列手册是属于操作型手册,采取正面表列的方式,可以大幅度减轻负责政府资讯、资安委外的公务人员压力。
近期资安日报
【5月9日】BIG-IP Next集中控管系统的高风险漏洞有可能被用于建立隐藏帐号