資安業者Nozomi Networks指出,他們在GE HealthCare旗下的Vivid Ultrasound系列超音波醫療設備發現11個漏洞,並指出一旦設備無人看管,攻擊者就有機會趁機植入惡意程式
資安業者Nozomi Networks揭露GE HealthCare旗下的Vivid Ultrasound系列超音波醫療設備弱點,他們總共找到11個漏洞,並指出這些漏洞將會造成多種層面的影響,例如,竊取病人檢測資料,甚至攻擊者有機會在設備上植入勒索軟體。
研究人員指出,攻擊者若要利用他們發現的漏洞,必須實際存取該醫療設備,因為過程中需要透過設備上的鍵盤及觸控板進行操作。不過,這也不能代表用戶就能掉以輕心,因為,攻擊者只需1分鐘的時間,就足以植入惡意程式,這也代表這類設備最好隨時都要有人看管,才能減少曝險的機會。
他們針對心臟超音波影像系統Vivid T9進行調查,並重點放在預載的網頁應用程式Common Service Desktop,以及安裝於Windows工作站電腦的應用程式EchoPAC,該軟體的主要功能,是讓醫生能夠檢視上述系統取得的超音波影像。結果他們發現了11個漏洞,其中的寫死帳密弱點CVE-2024-27107為重大層級,CVSS風險評分最高,達到了9.6分。
VMware修補單機PC虛擬化軟體的高風險漏洞
5月14日VMware發布資安公告,指出旗下的虛擬化平臺VMware Workstation、Fusion存在4項漏洞,他們發布VMware Workstation 17.5.2、Fusion 13.5.2予以修補。
這些漏洞當中,最嚴重的是評為重大層級的CVE-2024-22267,從虛擬藍牙裝置元件(vbluetooth)發現,為記憶體釋放後又再存取使用(Use After Free)的漏洞,攻擊者一旦取得本機管理員權限,就有機會對虛擬機器利用這項漏洞,藉由主機上的VMX處理程序,在虛擬機器上執行程式碼,CVSS風險評分為9.3。
另外3個漏洞CVE-2024-22268、CVE-2024-22269、CVE-2024-22270,危險程度皆為高風險層級,其中,CVE-2024-22269、CVE-2024-22270為資訊洩露漏洞,分別存在於虛擬藍牙裝置,以及主機與虛機機器的檔案共用系統(Host Guest File System,HGFS)。至於CVE-2024-22268,則是與Shader的元件有關,為記憶體緩衝區溢位漏洞。而這些漏洞的CVSS風險評分,皆為7.1分。
其他攻擊與威脅
◆澳洲電子處方箋業者MediSecure遭遇供應鏈攻擊,駭客加密檔案導致網站服務與電話中斷
◆針對去年密西西比州醫療保健系統Singing River Health System遭遇勒索軟體攻擊,調查發現資料外洩範圍擴大,近90萬人受影響
◆日本汽車大廠日產北美分公司去年遭駭,逾5.3萬歷任員工資料外洩
◆初始入侵管道掮客IntelBroker聲稱竊得匯豐、巴克萊銀行資料庫、原始碼等敏感資料
其他漏洞與修補
◆HP Aruba Networking修補路由器重大漏洞
【資安產業動態】
資安業者Akamai於5月7日宣布,將以4.5億美元買下API資安業者Noname所有股權,雙方預計於今年第二季完成交易。
該公司指出,將Noname納入麾下可強化現有API安全解決方案,另一方面也期望藉由雙方已建立的銷售、行銷、合作夥伴資源,擴大服務規模。
具體而言,Akamai計畫結合Noname的能力提供完整的API安全套件,協助客戶更容易發現影子API、檢查安全漏洞及發現攻擊行動,亦將迅速整合Noname功能至Akamai的應用程式及API平臺。
資安業者Palo Alto Networks將買下IBM QRadar SaaS資產,雙方將建立廣泛的合作關係
本月15日資安業者Palo Alto Networks與IBM宣布策略聯盟,內容包括Palo Alto買下QRadar SaaS資產,並於Cortex XSIAM整合Watsonx大型語言模型,進而加入精準人工智慧(Precision AI)解決方案。他們併購QRadar的交易,預計今年9月完成
雙方將在安全營運、威脅管理、DevSecOps方面進行合作,將內部安全解決方案平臺化。IBM對於混合雲端和人工智慧的資料安全、身分和存取管理方面,將加速創新和投資,Palo Alto也將成為IBM跨網路、雲端與安全營運中心(SOC)的首選合作夥伴。
他們也會共同設立安全營運中心與網路靶場(Cyber Range),目的是讓客戶能夠體驗兩家產品線整合後的價值。
SIEM解決方案供應商LogRhythm、Exabeam宣布合併
繼思科3月完成280億美元重金併購Splunk,以及5月中Palo Alto Networks宣布向IBM買下QRadar的SaaS資產,又有安全資訊與事件管理(SIEM)廠商整併。
5月15日LogRhythm與Exabeam宣布將進行合併,並預計於今年第三季完成。不過,對於這起併購案的其他細節,例如:如何合併,以及合併後的執行長人選,或是擁有整併後公司的投資者身分,兩家公司並未進行說明。此外,他們也沒有透露交易金額。
【資安防禦措施】
臺灣後量子資安產業聯盟正式成立,凝聚產官學研能量,加速相關產業發展
利用量子運算破解目前公鑰加密技術的全新威脅即將出現,影響遍及政府憑證、金融交易、醫療隱私、物聯網等廣泛領域,全球都在加速準備因應,臺灣在這方面的發展,也是國內民眾關注的焦點,如今我國有了全新的策略,要促成產官學研公私聯手。
在2024 CYBERSEC臺灣資安大會第三天(5月16日),數位發展部數位產業署宣布成立「後量子資安產業聯盟」(PQC Cybersecurity Industry Alliance,PQC-CIA),這也象徵著臺灣在後量子密碼發展,正跟上全球新興趨勢,現在將要藉由各方資源整合,加速推動我國後量子資安相關產業的發展。
近期資安日報
【5月16日】Google在一週內發布3次Chrome更新,修補已被用於攻擊行動的零時差漏洞
【5月15日】微軟發布5月份例行更新,公告3個零時差漏洞受到各界關注
【5月14日】芬蘭首都證實資料外洩事故,起因是教育部門的遠端存取伺服器未修補已知漏洞
