美国网路安全暨基础设施安全局(CISA)上周发布资安公告,表示他们增列2个漏洞至已遭利用的漏洞目录(KEV),这两项漏洞分别是:Check Point安全闸道漏洞CVE-2024-24919、Linux核心元件漏洞CVE-2024-1086。
其中,CVE-2024-24919已有资安业者透露相关细节,但今年1月公布的CVE-2024-1086,目前尚未有研究人员或资安机构公布相关攻击行动细节,后续的发展有待观察。
【攻击与威胁】
CISA警告Linux网路元件Netfilter漏洞出现攻击行动,要求联邦机构3周内完成修补
5月30日美国网路安全暨基础设施安全局(CISA)发布资安公告,他们在已遭利用的漏洞目录(KEV)当中新增两个漏洞,分别是Check Point近期修补的安全闸道设备资讯泄露漏洞CVE-2024-24919,以及Linux核心元件记忆体释放后再重新利用(Use After Free)的漏洞CVE-2024-1086,CVSS风险评分为8.6、7.8。CISA要求所有的联邦机构,必须在6月20前完成修补。
其中,较为引起关注的漏洞,是今年1月Linux基金会修补的CVE-2024-1086,这项漏洞存在于Linux核心5.14至6.6.14版,攻击者假如能够趁机取得一般使用者权限,再触发漏洞,就有机会取得root权限。
虽然CISA并未公布这项漏洞遭到利用的情形,也没有透露攻击者如何进行漏洞利用,但有鉴于Debian、Ubuntu、Red Hat、Fedora等版本的Linux作业系统都会受到影响,用户后应尽速套用Linux供应商提供的新版软体因应。
Hugging Face证实机器学习模型平台被骇,紧急呼吁用户重设凭证
5月31日Hugging Face安全团队发出警告,他们侦测到机器学习应用代管平台Spaces上,与金钥或令牌等相关的机密内容有未经授权的存取活动,部分机密资讯疑似已经遭窃。该公司已经注销了多笔包含其中的HF令牌,并发出电子邮件通知受影响的用户。
为安全起见,Hugging Face建议所有用户重设所有金钥或令牌,并考虑将HF令牌改成可细部设定的存取令牌,目前Hugging Face已经将后者设为新的预设验证方式。
通信与网路资讯安全服务厂商Enea的研究人员指出,近期出现一系列利用公有云储存服务作为中介、嵌入网址并自动跳转的简讯钓鱼攻击。包括AWS S3、Google Cloud Storage、IBM Cloud Storage、Blackblaze B2等公有云物件储存服务,都可被用于这类攻击,由于攻击使用的网址,是嵌入在这些具备良好公信力的公有云服务网址内,因而难以透过一般的防火墙侦测与阻挡。
研究人员观察到,利用这种攻击手法的攻击者,不仅使用了Google Cloud Storage,还使用了AWS、IBM Cloud与Blackblaze B2等公有云物件储存服务,并使用类似的自动Refresh方式,将用户重新导向到钓鱼网站。
其他攻击与威胁
◆骇客上架恶意Google广告,锁定新兴浏览器Arc的Windows版用户散布窃资软体
◆今年2月药品采购及分销业者Cencora遭到网路攻击,11家制药厂证实资料外泄
◆处方药管理服务业者Sav-Rx证实去年10月遭遇资安事故,逾280万人资料恐外流
◆医疗保健服务供应商CentroMed证实资料外泄,40万病人受到波及
◆针对去年9月遭遇勒索软体攻击,加州学校管理员协会ACSA证实约5.5万人资料外泄
【资安防御措施】
卡巴斯基释出免费的KVRT for Linux病毒扫描及清除工具
资安业者卡巴斯基上周释出了供Linux平台使用的恶意程式扫描暨清除工具Kaspersky Virus Removal Tool for Linux(KVRT for Linux),可用来扫描执行Linux作业系统的电脑,以侦测并清除已知的恶意程式、广告程式,或者是可用来执行攻击的合法程式。它支援x86_64架构的64位元作业系统,扫描的对象包括系统记忆体、启动物件、启动扇区,以及作业系统中的所有格式的档案,包括压缩档在内,以侦测已知的恶意软体。
对于促使他们提供这类工具的动机,该公司指出,由于企业很少投入资源来保护执行Linux的机器,但最近一系列的XZ Utils、DinodasRAT及Free Download Manager等资安事件都与Linux有关,促使该公司开发相关解解决方案。
ZDI零日漏洞悬赏计划负责人剖析垂直产业零时差漏洞管理四类型,更提出GenAI对未来漏洞揭露的影响
在台湾资安大会首日主题演讲中,趋势科技威胁研究副总Brian Gorenc提出对于生成式AI未来如何影响漏洞揭露的观察。由于这两年,生成式AI快速窜红,骇客可能利用生成式AI或LLM来加快新漏洞的建立,未来也可能影响漏洞揭露的流程。对此他提醒,企业必须及早开始准备制定因应对策。
【资安产业动态】
微软宣布,今年7月将强制Azure用户启用多因素验证(MFA),提供多一层安全防护。微软会先从Azure入口网站开始要求使用MFA,之后渐次推广到CLI、PowerShell及Terraform。
该公司将透过正式电子邮件和通知预先告知。最早强制启用MFA的Azure portal,必要时也可能多给一些时间准备,但微软仍呼吁管理员及用户及早行动,透过MFA精灵的协助启用这种防护措施。
近期资安日报
【5月31日】欧洲刑警组织与十多个国家执法单位联手,扫荡数个用于散布恶意程式的僵尸网路
【5月30日】锁定Check Point VPN的攻击行动出现新的发展,两家资安业者透露对方利用零时差漏洞挖掘AD帐密资料