上周台湾资安业者戴夫寇尔针对他们向PHP通报的重大层级漏洞CVE-2024-4577提出警告,呼吁网站管理者尽速套用新版PHP程序,或是采取缓解措施,由于全球有近八成网站采用PHP,这项漏洞很快就有黑客将其用于攻击行动。
在PHP于6日发布新版软件修补上述漏洞,隔日Shadowserver基金会就发现密罐陷阱出现漏洞尝试利用的情况。接着在6月8日,资安业者Imperva发现勒索软件黑客组织TellYouThePass利用这项漏洞从事攻击,他们看到对方成功触发漏洞后,于受害服务器上运行PHP代码,利用名为system的功能进行寄生攻击,通过运行档mshta.exe运行攻击者网页服务器上的HTML应用程序文件,从而部署勒索软件并加密文件。
华邦电发布重讯说明疑似发生数据外泄,起因是合作厂商遭骇
内存大厂华邦电子在6月6日傍晚发布资安事件重大消息,说明他们合作厂商的信息系统遭不明人士入侵,导致该公司疑似发生数据外泄的状况。
根据华邦电子公告指出,这次事件主要是合作厂商信息系统遭不明人士入侵,由于合作厂商向他们通报,指出与华邦电合作相关数据有外泄疑虑的状况,因此,华邦电针对这样的情况发布重讯说明。不过,他们并未明确指出是哪家合作厂商的信息系统遭入侵。
其他攻击与威胁
◆荷兰指出中国黑客锁定全球Fortinet防火墙漏洞从事的网络间谍活动受害规模扩大,逾2万台防火墙遭到破坏
◆中国黑客组织SecShow在全球进行大规模DNS探测行动
◆日本影音共享平台Niconico传出遭到网络攻击,被迫暂停相关服务
【漏洞与修补】
微软发布6月例行更新,修补已被公布细节的DNSSEC零时差漏洞
微软于6月11日发布本月例行更新(Patch Tuesday),总共修补49个漏洞,其中有一个零时差漏洞,而引起关注。
此为网域名称系统安全扩充程序(DNSSEC)的设计缺陷漏洞CVE-2023-50868,存在于DNSSEC验证机制当中,假如DNS解析器使用NSEC3回应请求,攻击者可借由要求来自DNSSEC签章区域的回应,就有机会让实作DNSSEC验证机制的解析器耗尽处理器的运算资源,CVSS风险评为7.5分,微软为Windows Server 2012至2022版,发布相关的修补程序。
这个漏洞有几个特别的地方,首先,这项漏洞CVE编号并非微软自行登记,而是由资安团体MITRE所为,而且,登记的时间在今年2月13日,距微软发布修补程序间隔达4个月。
集成开发环境IntelliJ存在重大漏洞,恐曝露GitHub存取凭证
6月11日软件开发业者JetBrains发布资安公告,指出他们在5月29日接获通报,存在集成开发环境(IDE)IntelliJ平台的漏洞CVE-2024-37051,有可能会影响拉取请求而被用于攻击行动,CVSS风险评为9.3分。
该公司指出,这项弱点影响IntelliJ平台所有2023.1以上版本的IDE,只要开发者同时激活他们提供的GitHub插件程序,就有可能曝险。他们提供新版IDE及插件程序修补漏洞,并呼吁开发者若曾通过这套IDE拉取GitHub项目,应注销插件程序所用的Token。
其他漏洞与修补
◆SAP修补Financial Consolidation、NetWeaver高风险漏洞
◆开源机器学习程序库PyTorch存在重大漏洞,恐导致敏感的AI数据遭窃
【资安产业动态】
AWS云端安全会议强调资安文化,揭露多项幕后资安利器
「追根究底,资安文化是一切的根源。」AWS资安长Chris Betz在6月11日于美国费城举办的云端安全会议re:Inforce 2024中强调资安文化的重要性。他指出,高级主管对资安的重视程度是创建文化的重要关键,AWS首席执行官与资安主管固定每周五与各部门总经理、产品经理与开发人员面对面讨论资安问题,由首席执行官固定呼出时间讨论资安,足以传达高级主管对资安的重视程度。
而为了让资安落实能扩及全组织,AWS也通过资安守护者计划,将资安团队的资安专家派驻在各个部门,一起参与软件开发流程,从Spring冲刺规画会议、站立会议到资安审核,提供资安观点的建议,既协助开发安全的软件,也将资安最佳作法传播到全公司上下。
同时,AWS也推动员工自主决策的文化,任何同仁发现资安问题时,都有权力自主判断将资安问题立即升级至必要的等级。Chris Betz指出,在他过往任职的经验中,资安问题等级的提升往往代表负面意涵,然而在AWS的资安文化中,反而是要奖励能及早意识到问题严重性,从而让组织可以更快速采取行动的同仁。
【资安关键人物】
社群发展要有意识进行传承,更应提供舞台并让参与者有收获
资安社群在台湾资安产业的发展过程中,扮演重要的关键角色。台湾黑客协会理事长、也是资安公司戴夫寇尔首席执行官翁浩正表示,早期资安社群的领导者,因为对资安有高度热情并具备理想性,通过分享知识与组织活动为目标,成功凝聚志同道合的人。
由于资安社群拥有独特的文化,例如各种次文化和迷因梗图,翁浩正认为,这些文化元素为社群的参与者,提供归属感和向心力。此外,定期举办的活动也吸引了许多外界的人参与和投入。为了保持社群的发展和存续,翁浩正也意识到,社群的领导者必须开始进行有意识的传承和管理,提供机会给新成员参与组织和活动,鼓励他们发挥创造力和领导能力,这都有助于社群的持续发展。
近期资安日报
【6月11日】纽约时报证实内部数据流入地下论坛,代码存储库帐密数据外流酿祸
【6月7日】勒索软件黑客RansomHub声称入侵老牌笔电制造厂蓝天电脑,引起国际资安媒体高度关注
【6月6日】病理学暨诊断服务供应商Synnovis遭到勒索软件攻击导致伦敦医院服务中断,传出是黑客组织Qilin所为



2024-06-13
