針對10月上旬公布的Firefox零時差漏洞CVE-2024-9680,本週研究人員公布相關細節,並提及攻擊者同時運用另一個未被揭露的Windows漏洞CVE-2024-49039,而能在沒有使用者互動的情況下,於受害電腦植入後門程式
今年10月Mozilla基金會修補Firefox零時差漏洞CVE-2024-9680(CVSS風險評分為9.8),並表明他們掌握實際利用的活動情資,通報此事的資安業者ESET本週公布這起事故的細節。
研究人員表示,他們在10月8日看到廣泛利用CVE-2024-9680的跡象,駭客運用這項當時尚未公開的零時差漏洞,對Mozilla開發的應用程式下手。值得留意的是,攻擊者在活動當中,串連11月例行更新修補的Windows零時差漏洞CVE-2024-49039(CVSS風險評分為8.8),而有機會在使用者登入作業系統的狀態下,執行任意程式碼。
對於發起這波攻擊行動的駭客身分,研究人員表示是代號為Storm-0978、Tropical Scorpius、UNC2596的俄羅斯駭客RomCom。一旦成功利用上述漏洞,這些駭客就會在受害電腦植入後門程式RomCom,以便進行後續的網路間諜活動。
Array Networks、Fortinet SSL VPN漏洞被用於散布後門程式,臺灣、日本有企業受害
中國駭客組織Earth Kasha近日以後門程式,攻擊包括Array Networks、Fortinet等品牌SSL VPN設備,已有臺灣、日本,以及印度等地的企業受害。
趨勢科技指出,這些駭客原本主要在日本活動,但他們今年初發現,Earth Kasha發展出新的攻擊策略和技倆,從2023年起開始運用企業防火牆軟體漏洞植入後門程式Lodeinfo。研究人員發現,駭客利用SSL VPN漏洞取得初始入侵管道,包括存在於Array AG及vxAG的漏洞CVE-2023-28461、Fortinet防火牆作業系統FortiOS與上網安全閘道FortiProxy的漏洞CVE-2023-27997,此外,駭客也濫用檔案共用系統Proself漏洞CVE-2023-45727。
在多起事故中,Earth Kasha成功駭入企業組織的網域管理員帳號,並植入Cobalt Strike、Lodeinfo及Noopdoor,藉此建立長期滲透管道,並從事資料蒐集。
兆勤證實防火牆漏洞遭到勒索軟體利用的情況
11月19日資安業者Sekoia針對勒索軟體Hellodown的攻擊行動提出警告,並提及這些駭客入侵受害組織的管道,就是利用兆勤科技(Zyxel Networks)防火牆的弱點而得逞。事隔數日,該公司坦承情況確實如研究人員揭露,呼籲IT人員要儘速採取行動,升級韌體並更換管理員密碼。
21日兆勤發布資安公告表示,他們掌握近期有人試圖利用已知漏洞攻擊該廠牌防火牆,而這項漏洞就是Sekoia在部落格提及的CVE-2024-42057。經過確認,防火牆在套用9月3日發布的5.39版韌體後,將不受這項漏洞影響。
對此,他們呼籲IT人員要更新防火牆的韌體,若是無法及時套用,最好先停用遠端存取的功能因應。此外,該公司也建議IT人員重新檢視防火牆組態,確認是否遵循最佳實務的建議進行配置。
其他攻擊與威脅
◆竊資軟體NodeStealer透過臉書廣告散布,利用Windows公用程式竊取瀏覽器資料
◆以色列企業組織遭伊朗駭客鎖定,被散布惡意軟體WezRat
◆逾四分之三黑色星期五垃圾信涉及詐騙
【漏洞與修補】
PHP修補重大層級的記憶體越界寫入漏洞
11月21日PHP開發團隊發布8.3.14、8.2.26、8.1.31版,主要修補一項重大層級的漏洞CVE-2024-8932,這項弱點可被用於越界寫入(OBW),CVSS風險評為9.8。
開發團隊指出,這項弱點存在於32位元的系統,起因是在名為ldap_escape()的功能裡,若是輸入不受控制的長字串,就有可能導致整數溢位的情形。
他們也提及這項弱點影響4.56.2及以前版本的HipHop Virtual Machine(HHVM)虛擬機器,此外,介於4.57.0與4.83.0之間多個版本HHVM,也會曝險。
其他漏洞與修補
◆WordPress網站防護外掛存在重大漏洞,逾20萬網站曝險
◆WordPress寄信外掛FluentSMTP存在重大漏洞,恐導致網站遭挾持
【資安防禦措施】
國際執法單位與非洲刑警組織聯手,逮捕上千名參與網路犯罪的嫌犯
國際刑警組織Interpol及非洲刑警組織Afripol本周宣布,他們聯手於19個非洲國家逮捕1,006名涉及網路犯罪的嫌犯,摧毀了134,089個惡意基礎設施及網路。
此執法行動稱為Operation Serengeti,是針對勒索軟體、商業電子郵件詐騙、數位勒索,以及網路詐騙背後的犯罪份子,受害者多達3.5萬名,造成近1.93億美元的經濟損失。
Interpol秘書長Valdecy Urquiza表示,從多層次行銷詐騙到大規模的信用卡詐欺,網路犯罪的攻擊數量與複雜程度不斷增加,光是此一逮捕行動就能使無數的潛在受害者免受真正的損失,同時他們也知道這只是冰山一角,將繼續鎖定全球的犯罪集團。
【資安產業動態】
展望2025國際治理趨勢,BSI揭露董事會「義務」成新主軸
隨著生成式AI應用的高速發展,企業在面對數位與永續轉型浪潮,以及AI風險快速竄升之際,我們該如何解決與因應這些風險與挑戰?
在11月舉行的英國標準協會(BSI)數位信任國際資安標準年會上,該公司東北亞區董事總經理蒲樹盛強調,今年一項備受關注的國際趨勢,就是對「董事會義務」的高度重視,這是國內企業在公司治理上需關切的重要發展,他共歸納4大重點。
首先,當今的公司法正強化受託人義務,從治理層面全面提升應對能力。他解釋,所謂受託人指的就是公司董事、獨立董事、高階經理人,這些都是受託來管理公司組織的人,更重要的是,現今重點是放在「義務」,也就是應符合利害關係人的期待,包含客戶、員工、股東認為公司應該要做到的事。
近期資安日報
【11月26日】軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊,客戶受到波及
【11月25日】俄羅斯駭客在軍事行動前夕,藉由跳版入侵目標組織的無線網路環境
【11月22日】駭客疑似利用零時差漏洞入侵2千臺Palo Alto Networks防火牆
