【資安週報】2024年4月1日到4月3日
· 2024-04-08

這一星期適逢清明連假,而連假前夕最大條的資安消息,就是關於XZ Utils程式庫被植入後門與漏洞的事件,還有2個漏洞利用要注意,包括AI框架Ray與Android Pixel的漏洞;資安事件焦點方面,以CISA的Ivanti伺服器遭駭,及OWASP基金會資料外洩,最受矚目,臺灣也發生亞昕資訊校務行政系統遭駭、7高中受影響的事件

在這一星期IT界與資安界最重大的新聞,就是有開發人員意外發現了XZ/liblzma被植入後門的事件,紅帽也公布了XZ相關漏洞CVE-2024–3094,本期有多篇新聞與此事件有關。

所幸的是,這次能夠及早揪出了這個潛藏的後門,目前只有部分Liunx版本受影響,影響層面還不是太廣,然而,這起針對開源軟體的供應鏈攻擊事件,正持續受到調查與探討,

不只是意外發現的過程,後門植入的手法,更讓各界吃驚的是,涉及此事件提交的GitHub帳號,竟是從2021、2022年就開設帳號,並逐漸取得原始XZ維護者的信任,這樣的潛伏歷程備受矚目,也再次引發各界對於開源軟體安全議題的探討。

還有兩個Linux漏洞的揭露值得關注,一是名為Flipping Pages、涉及netfilter元件的漏洞,一是名為WallEscape、涉及util-linux 套件的漏洞。這兩個漏洞的修補,分別在今年1月底與3月底釋出,近期研究人員各自揭露漏洞細節與並利用場景,同時呼籲尚未因應的用戶盡速更新。

在其他漏洞利用消息方面,使用AI框架Ray的企業組織需特別留意,去年11月底Anyscale揭露5個漏洞,唯有CVE-2023-48022漏洞沒有修補,甚至認定這並非漏洞,但如今有資安業者揭露名為ShadowRay的攻擊行動,並指出該漏洞已被用於攻擊行動。

Google Pixel手機用戶也要當心,在Android的4月安全更新公告中,有兩個Pixel的資訊洩漏漏洞已有跡象受到針對性利用,分別CVE-2024-29745、CVE-2024-29748,本期資安日報尚未提及,在此補上。

在最近的資安事件中,還有2則新聞我們認為值得重視,分別發生在美國網路安全暨基礎設施安全局(CISA),以及非營利組織OWASP基金會。我們整理如下:
美國CISA亦受到年初Ivanti系統漏洞影響,駭客針對美國聯邦高風險化學關鍵設施,入侵CISA提供的化學品資安評估工具(CSAT),並成功部署了Web Shell,且另一關鍵基礎設施資安資訊工具CISA Gateway也受影響。
以公布十大網站資安風險而廣為知名的OWASP基金會,最近發布資料外洩通知,說明2006至2014年的成員簡歷檔案可能外洩,原因出在一臺舊的維基(Wiki)網頁伺服器,當中存在組態配置不當的問題。

此外,國內發生一起7所高中校務系統遭駭的事件,我們認為,當中有兩個議題值得留意與警惕。一是關於駭客勒索的對象,並非這些學校,而是打造校務行政系統的亞昕資訊,另一是通用帳號密碼的問題,調查中發現駭客先入侵1所學校的系統,獲得登入該校務系統的帳密,但駭客利用同一組帳號密碼,也能成功登入其他6所學校的系統。

 

【4月1日】發現潛伏三年的供應鏈攻擊事件,程式庫XZ Utils近期被植入後門

週末一起供應鏈攻擊事件的揭露,震撼了整個資安圈,也讓IT界忙於修補因應,有攻擊者針對XZ Utils資料壓縮程式庫植入後門,而這個後門將可讓攻擊者繞過SSHD的身分認證機制,且相當難以察覺。

 

幸好有研究人員因為調查一個SSH登入失敗及登入變慢500豪秒的狀況而發現,但回顧這個提交惡意的GitHub帳號,竟是在2021年就註冊,並從2022年2月就開始試探性的對XZ程式庫提交Commit。

【4月2日】CISA傳出向美國政府報告Ivanti系統遭到入侵的事故

今年初Ivanti公布一連串Connect Secure、Policy Secure漏洞,再度震撼全球資安界,有研究人員不斷發現相關攻擊行動,但截至目前為止,鮮少企業組織證實遭到相關攻擊,不知該慶幸沒事或擔心有後遺症。

 

直到3月上旬,傳出美國網路安全暨基礎設施安全局(CISA)所屬的Ivanti伺服器遭到入侵,導致其中2個系統被駭,等於證實上述漏洞的確產生衝擊,而在3月底,該機構也向數個政府機關報告此事細節。

【4月3日】研究人員發現中國駭客組織APT41旗下團體使用更為隱密的方式迴避偵測

最近幾年中國駭客組織APT41的攻擊行動不時傳出,但今年初鮮少有相關的事故揭露,直到最近,有研究人員發現該組織旗下團體的攻擊手法。

 

資安業者趨勢科技發現該組織旗下團體Earth Freybug,特別針對端點防護系統(註:這裡研究人員應該指的是EDR相關系統)追蹤惡意行動的方法下手,企圖讓這類系統無法偵測他們的行蹤。

 

熱門文章
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
首頁
遊戲
合作
發現
我的