针对10月上旬公布的Firefox零时差漏洞CVE-2024-9680,本周研究人员公布相关细节,并提及攻击者同时运用另一个未被揭露的Windows漏洞CVE-2024-49039,而能在没有用户交互的情况下,于受害电脑植入后门程序
今年10月Mozilla基金会修补Firefox零时差漏洞CVE-2024-9680(CVSS风险评分为9.8),并表明他们掌握实际利用的活动情资,通报此事的资安业者ESET本周公布这起事故的细节。
研究人员表示,他们在10月8日看到广泛利用CVE-2024-9680的迹象,黑客运用这项当时尚未公开的零时差漏洞,对Mozilla开发的应用程序下手。值得留意的是,攻击者在活动当中,串连11月例行更新修补的Windows零时差漏洞CVE-2024-49039(CVSS风险评分为8.8),而有机会在用户登录操作系统的状态下,运行任意代码。
对于发起这波攻击行动的黑客身分,研究人员表示是代号为Storm-0978、Tropical Scorpius、UNC2596的俄罗斯黑客RomCom。一旦成功利用上述漏洞,这些黑客就会在受害电脑植入后门程序RomCom,以便进行后续的网络间谍活动。
Array Networks、Fortinet SSL VPN漏洞被用于散布后门程序,台湾、日本有企业受害
中国黑客组织Earth Kasha近日以后门程序,攻击包括Array Networks、Fortinet等品牌SSL VPN设备,已有台湾、日本,以及印度等地的企业受害。
趋势科技指出,这些黑客原本主要在日本活动,但他们今年初发现,Earth Kasha发展出新的攻击策略和技俩,从2023年起开始运用企业防火墙软件漏洞植入后门程序Lodeinfo。研究人员发现,黑客利用SSL VPN漏洞取得初始入侵管道,包括存在于Array AG及vxAG的漏洞CVE-2023-28461、Fortinet防火墙操作系统FortiOS与上网安全闸道FortiProxy的漏洞CVE-2023-27997,此外,黑客也滥用文件共用系统Proself漏洞CVE-2023-45727。
在多起事故中,Earth Kasha成功骇入企业组织的网域管理员帐号,并植入Cobalt Strike、Lodeinfo及Noopdoor,借此创建长期渗透管道,并从事数据搜集。
兆勤证实防火墙漏洞遭到勒索软件利用的情况
11月19日资安业者Sekoia针对勒索软件Hellodown的攻击行动提出警告,并提及这些黑客入侵受害组织的管道,就是利用兆勤科技(Zyxel Networks)防火墙的弱点而得逞。事隔数日,该公司坦承情况确实如研究人员揭露,呼吁IT人员要尽速采取行动,升级固件并更换管理员密码。
21日兆勤发布资安公告表示,他们掌握近期有人试图利用已知漏洞攻击该厂牌防火墙,而这项漏洞就是Sekoia在博客提及的CVE-2024-42057。经过确认,防火墙在套用9月3日发布的5.39版固件后,将不受这项漏洞影响。
对此,他们呼吁IT人员要更新防火墙的固件,若是无法及时套用,最好先停用远程存取的功能因应。此外,该公司也建议IT人员重新视图防火墙组态,确认是否遵循最佳实务的建议进行配置。
其他攻击与威胁
◆窃资软件NodeStealer通过脸书广告散布,利用Windows公用程序窃取浏览器数据
◆以色列企业组织遭伊朗黑客锁定,被散布恶意软件WezRat
◆逾四分之三黑色星期五垃圾信涉及诈骗
【漏洞与修补】
PHP修补重大层级的内存越界写入漏洞
11月21日PHP开发团队发布8.3.14、8.2.26、8.1.31版,主要修补一项重大层级的漏洞CVE-2024-8932,这项弱点可被用于越界写入(OBW),CVSS风险评为9.8。
开发团队指出,这项弱点存在于32比特的系统,起因是在名为ldap_escape()的功能里,若是输入不受控制的长字符串,就有可能导致整数溢出的情形。
他们也提及这项弱点影响4.56.2及以前版本的HipHop Virtual Machine(HHVM)虚拟机,此外,介于4.57.0与4.83.0之间多个版本HHVM,也会曝险。
其他漏洞与修补
◆WordPress网站防护插件存在重大漏洞,逾20万网站曝险
◆WordPress寄信插件FluentSMTP存在重大漏洞,恐导致网站遭挟持
【资安防御措施】
国际执法单位与非洲刑警组织联手,逮捕上千名参与网络犯罪的嫌犯
国际刑警组织Interpol及非洲刑警组织Afripol本周宣布,他们联手于19个非洲国家逮捕1,006名涉及网络犯罪的嫌犯,摧毁了134,089个恶意基础设施及网络。
此执法行动称为Operation Serengeti,是针对勒索软件、商业电子邮件诈骗、数位勒索,以及网络诈骗背后的犯罪份子,受害者多达3.5万名,造成近1.93亿美元的经济损失。
Interpol秘书长Valdecy Urquiza表示,从多层次行销诈骗到大规模的信用卡诈欺,网络犯罪的攻击数量与复杂程度不断增加,光是此一逮捕行动就能使无数的潜在受害者免受真正的损失,同时他们也知道这只是冰山一角,将继续锁定全球的犯罪集团。
【资安产业动态】
展望2025国际治理趋势,BSI揭露董事会「义务」成新主轴
随着生成式AI应用的高速发展,企业在面对数位与永续转型浪潮,以及AI风险快速窜升之际,我们该如何解决与因应这些风险与挑战?
在11月举行的英国标准协会(BSI)数位信任国际资安标准年会上,该公司东北亚区董事总经理蒲树盛强调,今年一项备受关注的国际趋势,就是对「董事会义务」的高度重视,这是国内企业在公司治理上需关切的重要发展,他共归纳4大重点。
首先,当今的公司法正强化受托人义务,从治理层面全面提升应对能力。他解释,所谓受托人指的就是公司董事、独立董事、高级经理人,这些都是受托来管理公司组织的人,更重要的是,现今重点是放在「义务」,也就是应符合利害关系人的期待,包含客户、员工、股东认为公司应该要做到的事。
近期资安日报
【11月26日】软件供应链业者Blue Yonder遭遇勒索软件攻击,客户受到波及
【11月25日】俄罗斯黑客在军事行动前夕,借由跳版入侵目标组织的无线网络环境
【11月22日】黑客疑似利用零时差漏洞入侵2千台Palo Alto Networks防火墙
