新聞 | iThome ( ) • 2024-05-15 14:11

昨日(5月14日)微软发布本月的例行更新,总共修补60个漏洞,相较于上个月达到150个,这次的数量仅有上个月的4成。

仅管这次公布的漏洞数量大幅减少,但值得留意的是,这次有3个零时差漏洞,其中又以桌面视窗管理员(DWM)核心程式库权限提升漏洞CVE-2024-30051最值得留意,因为有多组研究人员向微软通报,并指出他们看到骇客将其用于攻击行动。

 

【攻击与威胁】

台湾饱受中国骇客网路攻击,Google在台揭露最新一波舆论影响行动,目的是干扰台湾总统大选

近年来,无所不在的骇客网路攻击,已让传统网路安全攻防有了进一步的延伸,扩展至认知安全的混合战,在2024 CYBERSEC台湾资安大会上,长年追踪国家级骇客攻击的Google Cloud Mandiant,不仅向所有台湾与会者介绍他们观察到的攻击活动,并说明了台湾所遭遇的真实现况。

Google Cloud Mandiant Intelligence主席Sandra Joyce指出,他们从2019年开始密切追踪的中国骇客组织Dragonbridge,当时该组织的锁定目标是,污蔑香港抗议者的名誉,但如今也针对台湾而来。她首次揭露该组织的最新一波活动,是围绕著2024年1月我国的总统大选而来。

她表示,Dragonbridge这次散布的内容有几个主轴,包括:试图污名化一些公众人物,指控美国与台湾串通灌票等,还有一些活动是针对台湾年轻人而来,鼓励他们投票的同时也夹带批评特定政党,以及许许多多不同议题。该组织针对台湾从事相关攻击,已经至少5年。

僵尸网路Ebury从2009年出现,迄今已感染40万台Linux主机

资安业者ESET针对名为Ebury的僵尸网路病毒攻击行动提出警告,指出该恶意程式从2009年开始活动,迄今已感染约40万台Linux主机,截至2023年底,仍有超过10万台主机遭到控制。

研究人员针对近期的攻击行动进行分析,指出骇客偏好先针对伺服器代管服务业者下手,然后向这些厂商租用虚拟机器的用户发动供应链攻击。

攻击者最初入侵伺服器的管道,是透过外流的帐密资料进行帐号填充攻击得逞。一旦成功存取目标主机,他们的恶意程式就会从wtmp、known_hosts搜括SSH连线清单,并窃取其中的SSH金钥,然后用于试图入侵其他伺服器;此外,他们也发现骇客利用伺服器上软体的已知漏洞,进一步提升权限的情况。

其他攻击与威胁

美国揭露机器人电话骇客组织Royal Tiger

 

【漏洞与修补】

微软发布5月份例行更新,修补3个零时差漏洞

5月14日微软发布本月份例行更新(Patch Tuesday),总共修补60个漏洞,包含17个权限提升漏洞、2个安全功能绕过漏洞、27个远端程式码执行(RCE)漏洞、7个资讯泄露漏洞、3个阻断服务(DoS)漏洞,以及4个可被用于欺骗的漏洞。

这些漏洞当中,最受到关注的是3个零时差漏洞,根据CVSS风险评分的高低,依序是:MSHTML平台安全功能绕过漏洞CVE-2024-30040、桌面视窗管理员(DWM)核心程式库权限提升漏洞CVE-2024-30051,以及Visual Studio阻断服务漏洞CVE-2024-30046。

其中,CVE-2024-30040、CVE-2024-30051已被攻击者积极用于攻击行动,美国网路安全暨基础设施安全局(CISA)同日将其列入已被利用的漏洞名册(KEV),要求联邦机构在6月4日前完成修补。而CVE-2024-30046的部分,则是在微软发布资安公告之前,就被公开揭露。

Google修补Chrome漏洞CVE-2024-4761,与上一个零时差漏洞仅相隔不到一周

5月13日Google发布电脑版Chrome更新124.0.6367.207、208,该公司表示,这个版本主要修补高风险漏洞CVE-2024-4761,这项漏洞存在于JavaScript引擎V8,为记忆体越界写入的问题,由不具名的研究人员在9日通报,而这是今年Google修补的第6个Chrome零时差漏洞。

该公司表示,他们已经得知漏洞被用于攻击行动的情况。不过,他们这次依然没有透露进一步的细节,也没有透露颁发通报者的奖励金额。值得留意的是,Google才在上周发布124.0.6367.201、202版Chrome,修补另一个也被用于攻击行动的零时差漏洞CVE-2024-4671,两次更新间隔仅有4天,皆由不具名的研究人员通报,这也突显针对浏览器弱点而来的威胁加剧的现象。

开源网路效能及配置管理框架Cacti存在重大漏洞,若不修补有可能被攻击者用于执行任意程式码

5月12日开源网路效能及配置管理框架Cacti发布1.2.27版,当中总共修补9个漏洞,其中最值得留意的是被列为重大等级的CVE-2024-29895、CVE-2024-25641。

其中,CVE-2024-29895为命令注入漏洞,攻击者可在Cacti伺服器的PHP元件启用register_argc_argv功能的情况下,对伺服器下达任意命令,过程中无须通过身分验证,CVSS风险评为10分。

另一个重大层级的漏洞CVE-2024-25641,此为任意档案写入漏洞,存在于套件汇入功能,一旦攻击者通过身分验证,且取得汇入范本的权限,就有机会在网页伺服器执行任意PHP程式码,从而发动远端程式码执行(RCE)攻击,CVSS风险评分为9.1。

其他漏洞与修补

SAP修补CX Commerce、NetWeaver重大漏洞

Adobe发布5月例行更新,修补PDF编辑工具、检视器重大漏洞

研究人员公布D-Link EXO AX4800路由器零时差漏洞的概念性验证程式码

Cinterion工控数据机存在漏洞,攻击者有机会透过简讯执行任意程式码

 

【资安产业动态】

蔡英文总统连续6年亲临台湾资安大会,台湾资安产值去年突破740亿元

CYBERSEC 2024台湾资安大会于5月14日于南港展览馆举行,总统蔡英文率领政府与资安相关各部会首长,亲临会场并进行开幕致词,她已连续6年到场参与这场亚太地区规模最大的资安盛会。

蔡英文致词时表示,过去几年台湾持续展现并发展资安量能,除了成立数位发展部、带动国家数位转型外,也集结各部会力量,共同推动六大核心战略产业,全力支持台湾的资安产业发展,要让台湾能够跟上全球数位转型浪潮,并在全球供应链中,持续保有关键地位。在相关政策带动下,2023年台湾的资安产值已经超过740亿元,稳定朝向2025年800亿元产值的目标前进。

 

近期资安日报

【5月14日】芬兰首都证实资料外泄事故,起因是教育部门的远端存取伺服器未修补已知漏洞

【5月13日】韩国警方证实法院大量民众个资遭北韩骇客窃取,近1 TB资料流出但仅有少部分能确认受害者身分

【5月10日】CYBERSEC 2024台湾资安大会下周举行,逾300场专业资安演讲与超大规模资安品牌展览即将登场