上週四美國網路安全暨基礎設施安全局(CISA)針對兩項漏洞提出警告,其中Linux核心元件Netfilter高風險漏洞CVE-2024-1086相當值得留意,用戶應儘速套用相關更新因應
美國網路安全暨基礎設施安全局(CISA)上週發布資安公告,表示他們增列2個漏洞至已遭利用的漏洞目錄(KEV),這兩項漏洞分別是:Check Point安全閘道漏洞CVE-2024-24919、Linux核心元件漏洞CVE-2024-1086。
其中,CVE-2024-24919已有資安業者透露相關細節,但今年1月公布的CVE-2024-1086,目前尚未有研究人員或資安機構公布相關攻擊行動細節,後續的發展有待觀察。
【攻擊與威脅】
CISA警告Linux網路元件Netfilter漏洞出現攻擊行動,要求聯邦機構3週內完成修補
5月30日美國網路安全暨基礎設施安全局(CISA)發布資安公告,他們在已遭利用的漏洞目錄(KEV)當中新增兩個漏洞,分別是Check Point近期修補的安全閘道設備資訊洩露漏洞CVE-2024-24919,以及Linux核心元件記憶體釋放後再重新利用(Use After Free)的漏洞CVE-2024-1086,CVSS風險評分為8.6、7.8。CISA要求所有的聯邦機構,必須在6月20前完成修補。
其中,較為引起關注的漏洞,是今年1月Linux基金會修補的CVE-2024-1086,這項漏洞存在於Linux核心5.14至6.6.14版,攻擊者假如能夠趁機取得一般使用者權限,再觸發漏洞,就有機會取得root權限。
雖然CISA並未公布這項漏洞遭到利用的情形,也沒有透露攻擊者如何進行漏洞利用,但有鑑於Debian、Ubuntu、Red Hat、Fedora等版本的Linux作業系統都會受到影響,用戶後應儘速套用Linux供應商提供的新版軟體因應。
Hugging Face證實機器學習模型平臺被駭,緊急呼籲用戶重設憑證
5月31日Hugging Face安全團隊發出警告,他們偵測到機器學習應用代管平臺Spaces上,與金鑰或令牌等相關的機密內容有未經授權的存取活動,部分機密資訊疑似已經遭竊。該公司已經註銷了多筆包含其中的HF令牌,並發出電子郵件通知受影響的用戶。
為安全起見,Hugging Face建議所有用戶重設所有金鑰或令牌,並考慮將HF令牌改成可細部設定的存取令牌,目前Hugging Face已經將後者設為新的預設驗證方式。
研究人員揭露駭客利用雲端儲存服務作為中介,進行簡訊釣魚攻擊
通信與網路資訊安全服務廠商Enea的研究人員指出,近期出現一系列利用公有雲儲存服務作為中介、嵌入網址並自動跳轉的簡訊釣魚攻擊。包括AWS S3、Google Cloud Storage、IBM Cloud Storage、Blackblaze B2等公有雲物件儲存服務,都可被用於這類攻擊,由於攻擊使用的網址,是嵌入在這些具備良好公信力的公有雲服務網址內,因而難以透過一般的防火牆偵測與阻擋。
研究人員觀察到,利用這種攻擊手法的攻擊者,不僅使用了Google Cloud Storage,還使用了AWS、IBM Cloud與Blackblaze B2等公有雲物件儲存服務,並使用類似的自動Refresh方式,將用戶重新導向到釣魚網站。
其他攻擊與威脅
◆駭客上架惡意Google廣告,鎖定新興瀏覽器Arc的Windows版用戶散布竊資軟體
◆今年2月藥品採購及分銷業者Cencora遭到網路攻擊,11家製藥廠證實資料外洩
◆處方藥管理服務業者Sav-Rx證實去年10月遭遇資安事故,逾280萬人資料恐外流
◆醫療保健服務供應商CentroMed證實資料外洩,40萬病人受到波及
◆針對去年9月遭遇勒索軟體攻擊,加州學校管理員協會ACSA證實約5.5萬人資料外洩
【資安防禦措施】
卡巴斯基釋出免費的KVRT for Linux病毒掃描及清除工具
資安業者卡巴斯基上周釋出了供Linux平臺使用的惡意程式掃描暨清除工具Kaspersky Virus Removal Tool for Linux(KVRT for Linux),可用來掃描執行Linux作業系統的電腦,以偵測並清除已知的惡意程式、廣告程式,或者是可用來執行攻擊的合法程式。它支援x86_64架構的64位元作業系統,掃描的對象包括系統記憶體、啟動物件、啟動扇區,以及作業系統中的所有格式的檔案,包括壓縮檔在內,以偵測已知的惡意軟體。
對於促使他們提供這類工具的動機,該公司指出,由於企業很少投入資源來保護執行Linux的機器,但最近一系列的XZ Utils、DinodasRAT及Free Download Manager等資安事件都與Linux有關,促使該公司開發相關解解決方案。
ZDI零日漏洞懸賞計畫負責人剖析垂直產業零時差漏洞管理四類型,更提出GenAI對未來漏洞揭露的影響
在臺灣資安大會首日主題演講中,趨勢科技威脅研究副總Brian Gorenc提出對於生成式AI未來如何影響漏洞揭露的觀察。由於這兩年,生成式AI快速竄紅,駭客可能利用生成式AI或LLM來加快新漏洞的建立,未來也可能影響漏洞揭露的流程。對此他提醒,企業必須及早開始準備制定因應對策。
【資安產業動態】
微軟預告Azure將於7月強制啟動多因素驗證
微軟宣布,今年7月將強制Azure用戶啟用多因素驗證(MFA),提供多一層安全防護。微軟會先從Azure入口網站開始要求使用MFA,之後漸次推廣到CLI、PowerShell及Terraform。
該公司將透過正式電子郵件和通知預先告知。最早強制啟用MFA的Azure portal,必要時也可能多給一些時間準備,但微軟仍呼籲管理員及用戶及早行動,透過MFA精靈的協助啟用這種防護措施。
近期資安日報
【5月31日】歐洲刑警組織與十多個國家執法單位聯手,掃蕩數個用於散布惡意程式的殭屍網路
【5月30日】鎖定Check Point VPN的攻擊行動出現新的發展,兩家資安業者透露對方利用零時差漏洞挖掘AD帳密資料
【5月29日】精品拍賣業者佳士得遭到勒索軟體駭客組織RansomHub攻擊,50萬筆客戶個資可能外流
