荷兰今年2月在国防部察觉中国骇客从事的网路间谍攻击行动,对方利用重大漏洞CVE-2022-42475对FortiGate防火墙下手,并植入木马程式Coathanger,如今他们公布新的调查结果,指出这是一起大规模的全球攻击行动,骇客从Fortinet修补漏洞的两个月前,就进行相关攻击。
值得留意的是,骇客所使用的木马程式,不仅难以察觉行踪,更无法透过部署修补程式清除,因此荷兰军情机构认为,这起攻击行动的受害规模,实际上可能还会再扩大。
【攻击与威胁】
中国骇客锁定Fortinet防火墙漏洞从事的网路间谍活动受害规模扩大,全球逾2万台防火墙遭到渗透
今年2月,荷兰国家网路安全中心(NCSC)、军事情报暨安全局(MIVD)、情报暨安全总局(AIVD)联手,针对中国资助的骇客从事的网路间谍攻击行动公布调查结果,这些骇客锁定FortiGate防火墙、网页安全闸道FortiProxy的SSL VPN漏洞CVE-2022-42475(CVSS风险评为9.8分),并对防火墙设备植入名为Coathanger的RAT木马程式,MIVD持续进行调查而于本周正式揭露这起攻击的受害规模,其实远远超出先前的发现。
他们指出,骇客在Fortinet发布修补程式前的2个月就开始利用漏洞,有1.4万台设备受到感染,从2022年至2023年,对方至少掌握逾2万台FortiGate防火墙的存取权限。但实际的受害规模,这些军情机构认为很有可能还会更大,他们研判骇客会借此漏洞入侵数百个组织,从而进行窃取资料等攻击行动。
其他攻击与威胁
◆勒索软体骇客Black Basta利用Windows零时差漏洞提升权限
◆组态配置不当的Kubernetes丛集遭到锁定,骇客将其用于挖掘加密货币Dero
◆骇客锁定WordPress网站下手,目的是要胁浏览网站的使用者浏览器过旧,借此散布恶意程式
【漏洞与修补】
开源机器学习框架PyTorch存在重大漏洞,恐导致敏感的AI资料遭窃
有研究人员于今年4月,向漏洞悬赏平台Huntr通报开源机器学习框架PyTorch存在重大层级漏洞CVE-2024-5480,CVSS风险评分达到10分,影响2.2.2版以前的PyTorch。对此,Huntr向通报者提供1,500美元予以奖励,并于近日公布细节。
这项漏洞存在于名为torch.distributed.rpc的框架,一旦开发者利用该框架进行RPC呼叫,过程中该框架并未验证相关功能是否如开发者预期执行,使得攻击者借此漏洞透过网路使用RPC呼叫Python的功能,从而载入Python程式库并执行任意命令。
由于这项框架通常被用于分散式训练,像是增强式学习、模型并用、参数伺服器训练框架等应用场景,而有可能导致上述漏洞的影响范围相当广泛。
Google针对旗下Pixel手机发布6月份资安公告,权限提升漏洞已被用于攻击行动
本月11日Google针对Pixel手机发布资安公告,修补50个资安漏洞,其中有19个权限提升漏洞、17个资讯泄露漏洞、5个阻断服务(DoS)漏洞、4个远端程式码执行(RCE)漏洞,以及5个高通元件的漏洞。
值得留意的是,该公司特别针对存在Pixel韧体的权限提升漏洞CVE-2024-32896提出警告,他们发现可能被利用的迹象,并指出疑似用于有限的、针对性的攻击行动。
Arm针对显示晶片Mali GPU核心驱动程式漏洞提出警告,已出现攻击行动
上周Arm针对显示晶片Mali GPU的核心驱动程式漏洞CVE-2024-4610提出警告,并指出这项漏洞影响Bifrost与Valhall两种GPU的核心驱动程式,从r34p0至r40p0的所有版本都受到影响,他们已在r41p0版修补这项漏洞。
值得留意的是,Arm在公告里提及,他们获报这项漏洞已被用于实际攻击行动的情况。6月12日,美国网路安全暨基础设施安全局(CISA)纳入已遭到利用的漏洞目录(KEV),要求联邦机构必须于7月3日之前完成修补。
Adobe修补内容管理平台Experience Manager、电商网站平台Magento漏洞
本周二(6月11日)Adobe针对旗下10款产品发布更新,总共修补166个漏洞,其中,144个与内容管理平台Experience Manager(AEM)有关,而这次他们对电商网站平台Adobe Commerce及Magento Open Source发布的资安公告,重大层级漏洞的数量最多,也相当值得留意。
除了上述两种网站系统的漏洞,Adobe也针对旗下的XML文件处理软体FrameMaker,揭露与修补两个漏洞,分别是:CVE-2024-30299、CVE-2024-30300,皆属于伺服器权限提升类型的弱点,这两个漏洞CVSS风险评为10分、9.8分,是本次最为危险的漏洞。
其他漏洞与修补
◆西门子、施耐德电机、Aveva针对工控与OT系统漏洞提出警告
◆Chrome 126、Firefox 127正式推出,修补多项高风险记忆体资安漏洞
【资安产业动态】
在已迈入第10年的台湾资安大会历史中,储存与备份、资料保护厂商,参与台湾资安大会是晚近几年的事。面对勒索软体威胁的持续肆虐,储存设备与备份保护平台现在也无法置身事外。
在这几年的台湾资安大会中,我们便见到在储存设备领域,勒索软体防护功能的持续扩展。最初的出发点,是导入不可变储存技术(immutable storage),防止资料复本遭到恶意删改。下一步是引进主动侦测能力,确保资料干净、不受感染。而到了今年的资安大会,我们从多家厂商的演讲与展示当中,进一步见到储存端开始形成一套完整防护架构,涵盖资料治理、识别、侦测、资料保护、威胁回应与回复等多个面向。
【资安关键人物】
台湾资安产业在过去十年中,经历了巨大的变革,从技术和社群层面到政府政策和产业实践,都带来了深远的影响。身为台湾资安连续创业家、也是奥义智慧创办人兼执行长邱铭彰表示,十年前,资安技术主要是以卖各种网路和资安设备为主,但随著技术的发展,以及重视并专研各种资安技术的资安社群兴起,起到了推波助澜的作用,资安产业逐渐从设备销售转向了服务导向。
许多企业对于资安的重视层面也有变化,近几年,从以往只关心资讯安全(Information Security)转变到网路安全(Cyber Security),而且,现在更重视整体的企业安全(Safety)。邱铭彰认为,这些变化来自于多方因素的影响,从技术的发展到政府政策的改变,都对资安产业带来深远的影响,也为后来许多资安新创公司的成立和发展,提供了有利条件。
近期资安日报
【6月12日】微软发布6月份例行更新,总共针对49个漏洞进行公告