CrowdStrike全球大當機事故出現最新進展,有航空公司指控,他們難以復原正常運作與該資安業者有關,並要求鉅額賠償
駭客盯上不安全的軟體更新機制,藉機散布惡意程式的情況,不時有事故傳出,如今有研究人員發現,駭客竟針對網際網路服務供應商(ISP)發動攻擊,然後對部分的應用程式更新機制出手。資安業者Volexity揭露中國駭客組織Evasive Panda於去年中旬入侵ISP的攻擊行動,導致透過自動更新機制下載軟體的使用者受害,電腦被植入惡意程式。
研究人員指出察覺這起攻擊行動的原因,他們起初偵測到搭載Windows與macOS作業系統的電腦感染Evasive Panda使用的惡意程式,但對於感染的來源最初難以確定,直到後來進一步追查,才確認是ISP層級的DNS中毒攻擊所致。駭客針對不安全的軟體更新機制下手,因為軟體開發商採用未加密的HTTP連線,且軟體更新過程並未驗證安裝程式的簽章,使得攻擊者有機可乘,用於派送Macma、MgBot等惡意程式。
CISA對臺灣視訊監控設備廠商產品示警,表明產品漏洞已被用於攻擊行動
8月1日美國網路安全暨基礎設施安全局(CISA)提出警告,臺灣視訊監控解決方案業者陞泰科技(Avtech)旗下的視訊監控攝影機(IP Camera)AVM1203,存在高風險層級的命令注入漏洞CVE-2024-7029,並指出攻擊者不僅能遠端利用,觸發漏洞的難度不高,而且,已被用於攻擊行動。
值得留意的是,CISA向陞泰通報此事並未得到回應,這項漏洞目前很有可能尚未得到修補。對此,他們認為用戶應聯繫這家廠商,取得進一步的資訊。
該漏洞起初由資安業者Akamai向CISA通報,並經由不具名第三方組織驗證研究人員的發現,確認問題存在的產品,是搭配FullImg-1023-1007-1011-1009以前版本韌體的AVM1203。但CISA指出,他們不排除該廠牌其他型號的視訊監控攝影機、視訊監控影像儲存主機(NVR),也有可能存在這項弱點。
ERP系統OFBiz遭到殭屍網路Mirai鎖定,針對路徑穿越漏洞而來
SANS網路風暴中心針對Apache基金會維護的ERP系統OFBiz提出警告,利用重大漏洞CVE-2024-32113的攻擊暴增,這波行動駭客發出POST請求企圖觸發漏洞,目的是將殭屍網路病毒Mirai植入OFBiz,7月底單日通報數量一度暴衝至超過1,700個。
這項漏洞Apache基金會在今年5月上旬發布新版18.12.13予以修補,並指出舊版OFBiz都存在這項弱點,起因是該系統對於路徑名稱的限制不當造成,CVSS風險評為9.1分。到了月底,有研究人員分析概念性驗證(PoC)程式碼,呼籲IT人員應儘速套用更新。
SANS研究人員看到其中一個在受害系統植入惡意指令碼bin.sh的攻擊行動,駭客使用帶有「KrebsOnSecurity」的使用者代理字串(User Agent)。而根據研究人員掃描到的IP位址來看,過去曾被用於散布帶有Mirai變種程式的檔案,因此也被認為這類殭屍網路可能採納CVE-2024-32113漏洞濫用手法。
研究人員揭露鎖定臉書行動裝置用戶的電子商務詐騙活動
美國資安業者Recorded Future上周揭露鎖定臉書用戶的電子商務詐騙活動ERIAKOS,駭客架設608個詐騙網站,並假冒知名品牌、透過惡意廣告散布,藉此竊取使用者的個人或金融資料。
特別的是,這些詐騙網站只能透過行動裝置及特定廣告存取。若以電腦版瀏覽器點選惡意廣告,或是自行動瀏覽器直接輸入網址,都會出現404錯誤;假如從電腦版瀏覽器直接存取相關網址,則會出現與詐騙無關的網站。
其他攻擊與威脅
◆研究人員揭露Linux核心跨快取攻擊手法SLUBStick
◆為報復以哈戰爭,以色列駭客WeRedEvils聲稱癱瘓伊朗的網際網路運作
◆哈薩克企業組織遭到駭客團體Bloody Wolf鎖定,散布惡意程式Strrat
◆勒索軟體駭客鎖定企業IT人員,企圖散布RAT木馬SharpRhino
◆勒索軟體Magniber傳出針對個人使用者發動攻擊的情況大幅增加
【漏洞與修補】
Rockwall Automation可程式化邏輯控制器存在安全繞過漏洞
上週專精工業控制系統(ICS)的資安業者Claroty指出,Rockwell Automation旗下的可程式化邏輯控制器(PLC)設備ControlLogix 1756存在高風險層級的安全繞過漏洞CVE-2024-6242,攻擊者能藉由通用工業協定(CIP)路由,突破該廠商設下的插槽限用受信任元件(Trusted Slot)保護機制,從而對PLC的處理器卡發送提升權限的命令,CVSS風險評分為8.4(4.0版CVSS風險評分為7.3)。
對此,Rockwell表示,採用1756機箱的ControlLogix及GuardLogix設備,以及ControlLogix的I/O模組,也存在相同的弱點,他們發布新版韌體予以修補。
美國網路安全暨基礎設施安全局(CISA)也發布資安公告,指出這項漏洞是因為存在其他缺乏保護的存取通道所致,他們也提出緩解措施,若是IT人員無法即時套用相關韌體更新,應該透過最佳安全實踐,以及限縮可用的CIP命令來降低風險。
近期資安日報
【8月5日】研究人員公布去年中國駭客APT41攻擊臺灣研究機構的事故
【8月2日】駭客透過網路問答平臺Stack Exchange散布惡意PyPI套件,目標是Raydium區塊鏈用戶
【8月1日】Azure服務出現不穩定的異常情況,微軟表示起因與DDoS攻擊有關
