【資安日報】4月10日,微軟在本月例行更新揭露近150個漏洞,數量創近年新高
· 2024-04-10

本週二微軟發布4月份例行更新,值得留意的是,這次總共處理了149個弱點,是自從2017年以來最多的一次

資安業者Sysdig發現羅馬尼亞駭客組織Rubycarp的攻擊行動,這些駭客運用已公開漏洞及暴力破解等方式,架設殭屍網路,藉此進行挖礦、DDoS、網路釣魚等攻擊,主要目的是獲得經濟利益。研究人員推測,對方的活動至少進行了10年,但直到最近才被公開。

研究人員看到對方不斷探測蜜罐陷阱(Honeypot)環境,過程中利用網頁應用程式框架Laravel已知漏洞CVE-2021-3129(CVSS風險評分9.8),進而存取目標企業組織的內部網路環境,也出現暴力破解伺服器的SSH帳密,以及藉由WordPress網站截取帳密的情況。

一旦對方得逞,就有可能在被入侵的伺服器上,部署以Perl語言寫成的Shellbot後門程式,將受害主機納入殭屍網路。

Ivanti零時差漏洞影響持續發酵,多個中國駭客組織加入利用行列

從1月初Ivanti陸續公布Connect Secure零時差漏洞CVE-2023-46805、CVE-2024-21887、CVE-2024-21893,如今有研究人員指出,有許多中國駭客組織加入利用漏洞的行列。

資安業者Mandiant指出,在他們發現中國駭客組織UNC5221、UNC5325利用CVE-2024-21893、CVE-2024-21887從事攻擊行動後,他們又看到其他駭客組織跟進,總共確認有8組人馬利用部分Ivanti Connect Secure漏洞,其中有5組來自中國,包含最早利用這個漏洞的UNC5221,以及UNC5266、UNC5330、UNC5337、UNC5291。

旅館業者富野證實旗下分公司資訊系統遭受網路攻擊

4月8日旅館業者富野發布重大訊息,表示他們的分公司資訊系統遭受網路攻擊,資安人員察覺後第一時間啟動相關防禦機制,並與外部專家協同處理,且使用日常備份資料進行復原,對日常營運尚無重大影響。

值得留意的是,這並非該公司首度遭遇網路攻擊。2個月前他們也發布重大訊息,指出有分公司的資訊系統遭受網路攻擊,並打算提升資訊安全防護層級來進行改善。

 

【漏洞與修補】

微軟發布4月例行更新,修補149個漏洞,有2個傳出已遭利用

4月9日微軟發布本月例行更新(Patch Tuesday),總共修補149個漏洞,其中有31個權限提升漏洞、29個安全功能繞過漏洞、67個遠端程式碼執行(RCE)漏洞、13個資訊洩露漏洞、7個阻斷服務(DoS)漏洞,以及3個可被用於欺騙的漏洞。

值得留意的是,微軟公布上述資訊後,雖然並未提及當中是否有零時差漏洞,但有資安業者表示,部分漏洞已被用於攻擊行動。資安業者Sophos指出,他們在去年12月通報的代理驅動程式(Proxy Driver)欺騙漏洞CVE-2024-26234,攻擊者將其用於部署後門程式。

另一個被證實已出現攻擊行動的是CVE-2024-29988,這項漏洞由趨勢科技及Google威脅分析小組(TAG)共同發現,研究人員指出該漏洞涉及SmartScreen安全功能繞過,攻擊者寄送利用該漏洞的壓縮檔來回避EDR與NDR的偵測,同時也不會觸發MotW的警告。

程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊

4月9日Rust安全事件回應工作群組表示,他們接獲通報,Rust語言的標準程式庫在Windows環境執行時,具有重大漏洞,當這個元件利用名為command的API處理BAT或CMD批次檔時,會出現無法正確轉譯參數的情況。攻擊者有機會藉由控制參數的方式,繞過轉譯流程而能任意執行各種Shell命令。

開發團隊指出,此弱點為危急(Critical)等級,並登記為CVE-2024-24576列管,他們推出1.77.2版Rust予以修補。而對於該漏洞的危險程度,程式碼儲存庫GitHub將其CVSS風險評為10分。

9萬臺LG智慧電視存在漏洞,攻擊者有機會遠端執行任意命令

資安業者Bitdefender在調查LG智慧電視的安全時,發現其搭載的作業系統WebOS存在4項漏洞,並指出這些漏洞影響執行4.9.7至7.3.1等多個版本WebOS的電視,有91,938臺可從網際網路存取的電視曝險。

研究人員指出,這些漏洞可被串連利用。第1個漏洞是CVE-2023-6317,允許攻擊者繞過WebOS的授權機制,從而在電視上植入額外的使用者;第2個CVE-2023-6318為權限提升漏洞,攻擊者能藉此取得root權限,完全接管裝置;另外兩個漏洞CVE-2023-6319、CVE-2023-6320是命令注入漏洞,CVE-2023-6319涉及顯示歌詞的程式庫,而CVE-2023-6320則與特定的API端點有關。

 

热门文章
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
Institutional Academy that exceeded expectations marked the opening of GAT CDMX
Online Game
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
首页
游戏
合作
发现
我的