這一星期國內資安新聞主要焦點是《資安法》修訂最新狀況解析,包含政府與法律專家提供最新修法見解,在漏洞利用方面,以Zimbra Collaboration Suite(ZCS)修補的重大漏洞最要關注,已發現鎖定攻擊活動
10月初這一週的新聞,以強颱來襲前即影響全臺最受關注,但資安新聞中也有不少重要消息需要我們重視。
臺灣資安政策發展就是主要焦點之一。隨著7月行政院將《資安法》修正草案送交立法院,現階段已通過一讀,由於這是實施超過五年來的大修法,iThome本月封面故事特別進行最新現況報導,幫助大家掌握修法重點,例如,《資安法》修訂中最受關注的議題之一,莫過於「禁用危害國家資通安全產品」的條文,其他還包括擴大稽核範圍、資安人員的適任性查核等。另一方面,對於這次修法有法律專家提出建言,指出應要打破官民分治的架構,才能更好提升整體國家的資通安全管理能力。
在資安威脅與事件方面,有兩起事件值得大家重視,一是Rackspace遭遇資安事故並說明發生原因,是因為內部使用的第三方平臺監控系統ScienceLogic EM7存在零時差漏洞所導致,由於ScienceLogic是臺灣的飛立德科技,其後續應對與回應值得追蹤與關注;另一事有駭客利用提供AI裸照生成器DeepNude的服務,當作吸引受害者上當的手段之一。
●雲端運算平臺Rackspace內部系統遭駭,已通知其用戶可能資訊外洩,並指出問題出在他們使用的第三方應用程式ScienceLogic。
●資安業者有資安業者發現屬於俄羅斯駭客組織FIN7的大量網域,當中所屬7個網域是利用DeepNude來吸引與誘騙受害者。
●駭客組織Storm-0501最新一波攻擊行動鎖定美國多個政府部門與製造業,微軟公開其手法聚焦破壞混合雲環境的Entra ID。
●第一商業銀行公告第e個網遭受網路DDoS攻擊事件
●樂天信用卡遭駭客攻擊未緊急應變,金管會列6大缺失、罰250萬。
在漏洞利用方面,本星期有6個漏洞利用狀況,一是企業級協同辦公套件Zimbra Collaboration Suite(ZCS)在9月初修補的重大漏洞CVE-2024-45519,資安業者Proofpoint在10月1日示警,指出自9月28日觀察到有駭客鎖定未修補用戶的攻擊活動,另一是Ivanti5月修補Ivanti Endpoint Manager的漏洞CVE-2024-29824 ,該公司近期更新公告,確認遭利用且有限數量的客戶已成為目標。
另外4個近期確認有攻擊行動鎖定的老舊漏洞,則包括:D-Link DIR-820路由器的漏洞(CVE-2023-25280 )、DrayTek多款Vigor Routers的漏洞(CVE-2020-15415)、Motion Spell的GPAC軟體的漏洞(CVE-2021-4043 ),以及SAP Commerce Cloud的漏洞(CVE-2019-0344)
在資安漏洞修補與揭露方面,本星期這方面的報導相當多,最優先要注意的是Unix通用列印系統(CUPS)一系列漏洞的修補,因為這廣泛影響Linux及Unix作業系統。此外,還有多家業者的產品安全公告發布,包括:居易、HPE Aruba、WatchGuard、Progress的WhatsUp Gold等,特別的是,在TWCERT/CC的台灣漏洞揭露平台(TVN)上,新公開了普萊德科技旗下交換器大量漏洞,而普萊德也已針對市售機種發布新版韌體修補。
在車用資安方面的消息,更是引發不少人憂心,因為汽車大廠Kia網站被發現有漏洞可讓攻擊者駭入並控制車子,2013年以後車款都受影響,所幸知名白帽駭客Sam Curry先發現這樣的問題,Kia也已在接獲通報後於8月修補。
其他還有雲端、BMC基版的漏洞消息,需要不同產業的關切。例如,Nvidia Container Toolkit的漏洞(CVE-2024-0132)修補,由於全球有3成雲端環境都安裝有該函式庫,研究人員呼籲儘速因應;另一是7月Supermicro修補了由Nvidia通報的BMC重大漏洞(CVE-2024-36435),9月底資安業者Binarly揭露更多研究發現,強調這是今年最嚴重的BMC漏洞。
【9月30日】Unix與Linux普遍內建的列印系統CUPS存在重大漏洞
最近幾天有許多漏洞相關的消息揭露,其中有一起引起資安圈的高度關注,原因是透露此事的研究人員指出,漏洞的CVSS風險評分達到了9.9,而且,這樣的漏洞存在於Unix與Linux普遍內建的列印系統CUPS當中,可能有數十萬臺設備曝險。
這樣的情況,一度有人認為可能會造成類似Log4Shell的危機,而使得資安圈不敢掉以輕心。
【10月1日】駭客組織Storm-0501將攻擊範圍延伸到雲端環境
為了讓攻擊行動帶來更大的危害,不少駭客將範圍從受害組織的內部網路環境,延伸到雲端環境。最近微軟揭露駭客組織Storm-0501的攻擊行動,就是典型的例子。
研究人員特別提及這些駭客作案手法與過往最大的不同之處,在於他們對雲端身分管理服務Entra ID、Entra Connect等元件進行滲透,得逞後於雲端環境植入後門程式,以便存取受害組織的內部網路環境。
【10月4日】駭客假借提供AI脫衣程式為誘餌,企圖散布惡意軟體
生成式AI應用越來越廣泛,其中部分存在道德及法律爭議,而最常見的一種便是所謂的脫衣程式。
如今有駭客假借提供這種非法工具的名義,引誘使用者上當,他們架設釣魚網站展示效果,並誘惑使用者下載「應用程式」,一旦依照指示下載、安裝,電腦就會被植入惡意軟體。
