2024-08-01
在2024年7月资安新闻中,虽然CrowdStrike引发全球电脑大当机事故的消息不断,占据不少新闻版面,但其实还有不少重要消息需要大家共同关注,因此我们特别选出下列7大焦点,帮助大家快速回顾本月发生的重要事件。
焦点1:震撼全世界的IT大当机,罪魁祸首竟是资安厂商的产品更新。台湾时间7月19日下午1点多,包含台湾与全球都传出Windows电脑大当机的情形,预估有850万台电脑受波及。这起事故的后续消息不断传出,涵盖灾情影响、事故原因、企业应对的报导,甚至还有许多衍生问题的讨论。
因此我们预期,接下来8月还会有更多讨论,持续关注该如何避免这样的问题发生。毕竟,这次事件冲击许多民生关键基础的服务提供,造成的影响甚至比许多网络攻击事件还要严重。
焦点2:台湾上市柜公司资安重讯的新闻在7月明显增加,几乎每隔几天的资安日报中就有相关报导。值得注意的是,这些资安重讯揭露的事件创下单月数量新高,共有10起,包括骅讯、东元、宅配通、圣晖系统集成集团(圣晖代子公司公告),宏盛、助群营造(宏盛代子公司公告)、灿坤、灿星网、光宝科、华经。
特别的是,以东元的事故而言,当时有网友表示报修冷气时,自己无法连上报修网站,前来维修的人员也指出领料系统有状况。以灿坤的事故而言,其在线购物网站至今仍未能复原。
焦点3:国际有多起重大资安事故。7月有AT&T、日本夏普、Twilio、TeamViewer等多起资安事故,美国洛杉矶高等法院也传出遭勒索软件攻击,而被迫关闭网络系统。
先前揭露的polyfill易主后的供应链攻击事件,后续消息也不断传出。较特别的是,这个月还有在特定区域之内发生的软件供应链攻击,7月初我们看到两起事故的揭露,包括印度软件开发业者Conceptworld遭遇软件供应链攻击,以及韩国ERP系统更新服务器遭软件供应链攻击,显示黑客锁定这些国家,动机不单纯。
焦点4:APT黑客组织的最新攻击活动揭露,也让许多资安事故曝光。例如,以中国黑客组织APT40而言,多国网络安全机构联手对该组织的攻击行动提出警告,同时公布2起澳洲遭遇攻击的案例,让外界了解其手法;以北韩黑客组织APT45而言,多家资安大厂与美国司法部相继揭露该组织的威胁现况,尤其是美国司法部指出有多个重要组织遇害,不只是美国国防承包商、两个美国空军基地、NASA监察长办公室,台湾的国防承包商同样是受害者,这也成为国内需要关切的事件。
焦点5:涵盖范围广泛的高风险漏洞。OpenSSH在7月1日修补了一个RCE重大漏洞CVE-2024-6387,发现与通报这项漏洞的资安业者Qualys,将该漏洞称为regreSSHion,Qualys特别指出,这是OpenSSH问世以来,首次出现可授予完全Root权限的未经授权RCE漏洞。
还有一个漏洞消息值得留意,就是Blast RADIUS(CVE-2024-3596),因为揭露这项漏洞的微软、Cloudflare及加州大学圣地牙哥分校的研究人员指出,这不仅会导致RADIUS通信协定被攻击者用来发动中间人(MitM)攻击,甚至认为设备厂商应汰除RADIUS over UDP,使用更安全的传输技术,或是标准组织IETF应翻新此协定的设计。
至于最新漏洞利用态势,本月有14个被CISA列入已知漏洞利用清单,包括:Acronis、Adobe、Cisco、微软、OSGeo、Rejetto、ServiceNow、SolarWinds、Twilio、VMware的漏洞,我们在每期资安周报已经不断强调其严重性,需要尽速因应。特别的是,从数量上来看,这次7月有14个算是多的月份,之前6月是9个,5月是14个,4月是10个。
焦点6:电脑与服务器固件安全层出现重大危机。固件安全公司Binarly在7月25日揭露名为「PKfail」的漏洞,指出这是固件供应链在加密密钥管理实务上的问题,从Binarly公布的受影响产品列表来看,这个问题有9家电脑、主板与服务器品牌业者、将近850款产品受影响,恐影响数百万台设备。
值得我们注意的是,当中以台厂技嘉的651款最多,其次为 Supermicro的72款、Dell的48款。这些厂商受影响的数量落差相当悬殊,尤其是技嘉,他们应该要对此提出说明,并尽快解决相关问题。若细部视图PKFail漏洞影响的产品型号,以技嘉而言,涉及的产品类型相当广泛,例如,包括多种类型服务器(协同运算服务器、机架式服务器、高密度服务器、边缘运算服务器、存储服务器、数据中心服务器)、主板,以及迷你准系统电脑、嵌入式电脑、笔电等。
焦点7:有国家推动更进阶的MFA机制,要求不要使用OTP码(One-Time Passwords)。新加坡金融管理局在7月9日宣布,要求当地银行强化抵御网钓攻击的能力,需在3个月内逐步淘汰使用OTP码,改用安全性更高的应用程序验证。
OTP码易遭拦截的问题也存在很长一段时间,有国家以政府力量积极采取行动,此举别具意义,可望带动台湾与更多国家跟进。
【资安周报】2024年7月1日到7月5日
在这一星期的漏洞利用消息中,最优先要关注的漏洞利用情形,是Cisco针对NX-OS零时差漏洞CVE-2024-20399提出警告,多款Nexus系列交换器与MDS 9000系列产品线受影响,虽然思科已发布新版修补程序,但也提醒该漏洞在今年4月已有被黑客用于攻击行动的迹象。通报这项漏洞的资安业者Sygnia同时揭露此攻击活动的调查结果,并指出是中国黑客组织Velvet Ant所为。
还有两个重要漏洞修补,需要特别关注,一是开源加密程序库OpenSSH的RCE漏洞,一是苹果应用程序相依性管理套件CocoaPods存在重大缺陷,揭露的不同研究人员均提醒应须尽速修补。
(一)7月1日OpenSSH修补RCE重大漏洞CVE-2024-6387(regreSSHion),Qualys指出这是OpenSSH首次出现可授予完全Root权限的未经授权RCE漏洞,研究人员发现至少70万个曝露于公开网络的OpenSSH实体含有这项漏洞。
(二)Swift和Objective-C项目的开源相依性管理套件CocoaPods被揭露存在3大漏洞,包括:CVE-2024-38366、CVE-2024-38367与CVE-2024-38368,都与验证服务器Trunk有关。特别的是,这些漏洞去年已修补,今年7月CVE编号才公开。
至于其他漏洞修补动向,包括:GitLab、Splunk、Juniper Networks发布漏洞修补,还有新型态Intel处理器漏洞Indirector的揭露。
在资安威胁态势方面,软件供应链攻击的状况再次出现,这一星期我们甚至看到国际间有两起这方面的消息,一是印度软件开发业者Conceptworld遭遇软件供应链攻击,攻击者在其产品安装档(便笺应用程序Notezilla、剪贴板管理程序RecentX、文件拷贝工具Copywhiz)植入窃资软件,一是韩国ERP系统更新服务器遭软件供应链攻击,当地资安业者AhnLab调查出后门程序Xctdoor,并指出攻击者是通过Regsvr32.exe的处理进程加载运行,推测为北韩黑客Andariel所为。
另一项政府与关键CI需重视的议题是网络间谍攻击,若遇到资安事故,不要以为这只是基于经济动机而来的勒索软件攻击。最近资安业者SentinelOne、Recorded Future联手调查的结果,指出现在针对全球政府机关及关键基础设施下手的网络间谍攻击行动,APT攻击者为了模糊焦点,因此通常会在最后阶段使用勒索软件加密攻击,来分散防守方的注意力,以误导事故调查方向并清除迹证,他们并以中国黑客组织ChamelGang的攻击行动为例来说明。特别的是,他们也感谢台湾资安业者TeamT5研究人员Still Hsu提供对于ChamelGang组织的见解,让他们能将其与CatB勒索软件、BeaconLoader联系起来。
在其他资安事件与威胁揭露方面,台湾再度传出半导体业者遭网络攻击的情况,国际间也有Twilio、TeamViewer等的资安事故引发关注,我们整理如下:
●上柜的半导体公司骅讯7月3日发布资安事件重大消息,说明侦测到部份信息系统遭受黑客网络攻击。
●Authy用户注意!云端通信平台Twilio发布资安事故公告,说明他们发现有黑客可经由未经身分认证的节点,辨识出Authy用户的帐户数据,同时他们也要求所有用户尽速更新Authy App。
●远程桌面程序供应商TeamViewer发布资安公告,说明6月底侦测一名员工帐号遭未经授权人士存取,调查显示与APT 29(或称Midnight Blizzard)的俄罗斯黑客有关,7月4日他们再次更新消息,确认影响仅限于该公司内部企业IT环境。
●资安业者揭露有黑客为了散布窃资软件Vidar Stealer,其方法很特别,竟是借由蓄意打造IT技术支持网站,假借提供PowerShell脚本「解决」Windows更新错误,欺骗用户下载恶意程序加载工具并被植入窃资软件。
此外,先前发生的重大资安事件,现在有更多后续消息传出,包括:前一星期传出的Polyfill供应链攻击事故,已有多个资安业者示警受害规模扩大;去年底俄罗斯黑客Midnight Blizzard入侵微软邮件系统事件也延烧至今,近期传出微软正通知一些美国政府机构,说明可能部分数据遭窃,包括美国国际媒体署、美政府资助的和平部队,以及维吉尼亚州,都受到该次事件的影响。
【资安周报】2024年7月8日到7月12日
在7月第2个星期,适逢多家厂商发布每月例行安全更新,包含微软、SAP、Adobe、西门子、施耐德电机,Citrix、VMware也在这段期间发布漏洞修补公告,需要大家关注与尽快修补,而漏洞已遭利用的消息更需密切关注。
(一)微软修补4个零时差漏洞,有2个已遭黑客利用,包括:MSHTML平台漏洞CVE-2024-38112,以及Hyper-V漏洞CVE-2024-38080。另两个漏洞则是已被公开。
(二)Rejetto文件服务器系统HTTP File Server(HFS)在5月底修补的漏洞CVE-2024-23692,近期已有一些资安业者示警,发现有黑客锁定并用于攻击行动。
(三)文档转换程序库Ghostscript在5月初修补的RCE漏洞CVE-2024-29510,该漏洞CVE编号于7月初公开,并有研究人员公布相关细节,同时警告该漏洞已被用于实际攻击行动。
还有一个名为Blast RADIUS(CVE-2024-3596)的漏洞揭露要留意,微软、Cloudflare及加州大学圣地牙哥分校的研究人员认为,设备厂商与标准组织IETF都应汰除RADIUS over UDP,考虑使用更安全的传输技术,或翻新此协定的设计。
在资安威胁焦点方面,有2则新闻我们认为值得优先关注,一是多国网络安全机构联手针对中国黑客组织APT40的攻击行动提出警告,同时揭露了锁定澳洲发动攻击的2起案例,供外界了解该组织的作案手法;一是资安业者揭露中国黑客组织SneakyChef的最新攻击行动,指出该组织从2023年8月开始针对欧洲、中东、非洲、亚洲,散布名为SugarGh0st的恶意程序,并常利用政府机关扫描文档作诱饵。
商业电子邮件(BEC)诈骗的威胁仍不容轻忽,本星期有两则这方面的新闻,首先,台湾近期有崴宝精密科技与其客户遭BEC诈骗,其客户依指示将3000万元款项汇至另一个不属于崴宝精密科技的帐户,所幸及时发现,特别的是,这是国内上市柜企业资安重讯发布,首次有企业主动揭露遭遇BEC诈骗;另一起事件是与恶意软件沙箱服务业者有关,他们揭露自身遭遇网钓与BEC诈骗活动,并进一步指出邮件备份应用程序PerfectData有邮件外泄的问题。
在资安事件方面,有3起与国内上市柜公司有关,有2起是国际间数据外泄的消息,包括:
●上市公司东元电机说明发生网络资安事件
●上市公司宅配通说明部份信息系统遭受黑客网络攻击
●上柜公司圣晖系统工程代子公司公告,揭露圣晖系统集成集团发生资安事件。
●黑客论坛流传一份近100亿帐号密码的「rockyou2024.txt」文件,较2021曝光的版本多出15亿组数据。
●网络犯罪论坛传出有人公布Nokia的7千多名员工个资,以及微软的2千多名员工个资,并宣称这些数据来自两家公司的第三方合作伙伴。
值得注意的是,上述发布资安重讯的东元电机、宅配通,均属于东元集团,他们在证交所发布资安公告之后,后续在网络论坛有人讨论东元电机的空调及家电产品服务,似乎也受到资安事故的影响而停摆,例如,有网友在PTT上指出,东元冷气报修的安欣科技服务网站在遭骇前就连不上,领料系统也有状况,在TECO东元家电的脸书粉丝专页上,也有网友询问服务连不上的状况,小编则回应官网维修中。由于安欣科技也隶属于东元集团,TECO东元家电也是其事业部之一,这样的状况也不禁令人产生更多联想。
此外,先前其他国家发生的重大资安事件,最近有更多后续消息。包括:今年3月富士通揭露IT系统遭入侵,如今调查结果出炉,说明发现一个进阶伪装技术的蠕虫程序,从一台公司电脑进而感染49台电脑,并研判部分客户姓名和公司信息外泄,已通知受影响客户;今年5月美国最大售票平台Ticketmaster遭骇,近期传出黑客为了提高勒索该公司的赎金,不仅公开17万张Taylor Swift演唱会的行动门票条码,还有Ticketfast服务的门票条码文件链接。
【资安周报】2024年7月15日到7月19日
这一星期最重大的资安消息,当属7月19日(周五)资安业者CrowdStrike旗下的EDR系统更新后,引起全球大量微软Windows电脑出现蓝色当机画面(BSoD)的事故。由于本该帮助电脑能侦测与应变威胁的资安工具,却因为一次更新问题导致大规模公司电脑当机、服务瘫痪的状况,引发全球高度重视。
事实上,当日发生了两起事件,首先是微软,在19日台湾清晨6点,美国中部区域一座Azure数据中心出现故障问题,导致包含M365在内等云端服务大中断,影响在线版SharePoint、商用版OneDrive、Teams等众多服务。
到了下午1点,我们注意到国内社群网站的资安群组开始讨论Windows电脑出现蓝色当机画面,并点出问题可能出在资安业者CrowdStrike,当下我们查找更多信息,发现美国社群网站Reddit已经指出CrowdStrike更新造成当机的情形,在此同时,笔者身边友人也通报其公司电脑1点多发生当机,同样确认原因出在CrowdStrike。
两点后,大规模电脑当机消息开始在全球新闻媒体传开,国内传出桃园机场、台大医院、台北荣总营运受影响,全球各国也有大量蓝色当机画面情形的报导。后续,CrowdStrike发布相关公告,说明发生EDR更新文件与Windows系统冲突造成电脑当机,并指出C-00000291.sys是有问题的版本,同时指出这次事件并非遭遇网络攻击,微软在Azure Status服务状态页面也指出,他们在台湾时间中午12点09分同样受到CrowdStrike的影响(事件编号为1VT1-LX0),并表示这次事件与已解决的美国中部Azure数据中心中断事件无关(该事件编号为1K80-N_8)。
至于何起事件是影响航班管理系统服务供应商Navitaire的主因,有待后续厘清。
周末期间又有新的消息曝光,首先,微软表示这次CrowdStrike引发的事件估计影响全球850万台的Windows电脑,另也发布因应这次事件的手动安装更新KB5042421,此外,有研究人员在社群平台X上指出,分析CrowdStrike当机数据后找出是有段C++程序存在内存安全错误,详情有待后续CrowdStrike说明。
在其他重要资安事件与威胁态势方面,国内有建设公司与人力银行的消息,国际间也有不少数据外泄、攻击行动的揭露,我们整理如下:
●国内上市公司宏盛建设发布资安重讯,设说明该公司发生网络资安事件,另也代子公司助群营造公告发生网络资安事件。
●国内检调单位接获104人力银行通报,有人企图通过公司名义收集求职者个资,新北地检署已在17日搜索涉案公司并查扣物证。
●项目管理工具Trello有逾1,500万用户个资遭人公开于Breach Forums地下论坛,对方并声称是通过公开的API取得。
●美国电信公司AT&T通报美SEC,说明发生数据泄事故,有黑客在今年4月存取AT&T在第三方云端平台的工作区,导致所有客户的通话与短信历程记录被窃。
●意大利资安业者TG Soft揭露一起攻击行动,他们在6月24日、7月2日侦测到中国黑客组织APT17针对当地企业及政府机关下手,意图散布9002 RAT恶意程序。
●日本JPCERT/CC警告,当地企业组织遭到攻击行动MirrorFace锁定,攻击者入侵企业后的目的是散布后门程序NoopDoor。
在漏洞消息方面,我们注意到有4个已知漏洞首次被发现遭黑客利用的情形,近期已被美国CISA列入限时修补名单,包括:3月底VMware vCenter Server已修补的漏洞CVE-2022-22948,6月初SolarWinds Serv-U已修补的漏洞CVE-2022-22948,6月中Adobe Commerce及Magento Open Source已修补的CosmicSting漏洞(CVE-2024-34102),以及7月1日GeoServer已修补的RCE漏洞CVE-2024-36401。其中CosmicSting漏洞值得留意,有资安业者指出这是该电商平台历年来最严重的漏洞之一。
在资安防御与产业动向上,各有一则重要消息,首先,是关于OTP码容易遭拦截与网钓的问题,谈了很多年,最近国际间有政府积极行动,近日新加坡金融管理局宣布,要求当地金融业者在限期3个月内,汰除以短信提供OTP码供客户网银登录,并要求改成安全性更高的应用程序验证;另一项消息,是Google母公司Alphabet传出将以230亿美元收购云端资安新创Wiz,借此强化该公司的云端安全业务,如收购成功将成Google最大并购案。
【资安周报】2024年7月22日到7月26日
在这一星期的资安新闻中,资安业者CrowdStrike旗下的EDR系统更新引发Windows电脑大当机的事故,后续消息是持续不断地传出,占据资安日报的大量新闻版面。
首先,关于影响层面的后续新闻就有不少,例如,微软说明全球850万台电脑受影响,虽然数量不到全球Windows电脑总数的百分之一,但微软自己也指出这已造成对全球社会与经济的广泛影响。
关于台湾受影响状况的新闻,有两则重要报导,一是iThome特别询问多家台湾企业资安长、资服业者等,了解到企业实际面对的状况,不只金融业、资服业、传统制造业与高科技制造业者都传出灾情,有资服业者更是以手动方式在3天复原3,000多台个人电脑;另一是金管会公布针对国内金融业清查的结果,有2家期货商、4家投信业、5家寿险业和2家产险业者受影响,其中保险业就有1千多台服务器与1千多台个人电脑,遭到波及。
此外,在我们日前发布的最新Fintech周报中,也有指出国外金融领域受影响情形,包括摩根大通、瑞士银行、德意志银行、日本野村银行,甚至伦敦证券交易所用来发布监管公告的新闻服务,也都受到影响。
关注灾情之余,对于事故原因的调查,更是大家亟欲了解的部分。CrowdStrike在7月24日的事故更新公布初步调查结果,指出说明问题发生在派送「Rapid Response Content」的环节,加上这个问题在验证检查期间未被检测到,使得后续Falcon感应器更新、布署并加载这些内容,导致了越界内存读取,进而引发Windows电脑当机。
当然,这次事件还有诸多衍生议题,一些新闻内容也未能全部涵盖,像是从一开始大家质疑资安厂商部署前是否有测试、为何没发现问题?后来讨论延伸到为何程序开发人员会犯错?也有人表示这是因为开发人员使用不具内存安全(non-memory-safe)的编程语言;也有人质疑操作系统内核为何要开放第三方软件深度集成,就连该家资安厂商提供Uber Eats礼品卡赔罪,也引发众人不满,以及传出有政府与企业要求赔偿的状况等,这些都值得我们继续追踪。
另一重要资安新闻是,资安业者KnowBe4揭露自身遭遇北韩黑客潜入公司内容成为软件工程师,原因是对方使用AI深伪技术并通过在线面试。事实上,早在2022年美国政府就意识到这样的问题,像是美国财政部就针对来自北韩的IT Workers示警,指出虽然他们主要从事合法的IT工作,但会滥用自身权限协助北韩进行恶意网络入侵,又或是赚钱来帮助北韩实施网络攻击。而从这次对方使用AI深伪技术求职来看,并通过了4次KnowBe4的在线会议面试,幸好他们聘雇后及早发现异常。但这是否也意味着还有很多还没发现的情形?
其他重要资安事件上,有多起消息与国内上市柜公司有关,我们整理如下:
●灿坤与灿星网同日发布资安重讯,说明信息系统遭受网络攻击。
●光宝科发布重大消息,说明侦测一部外网服务器遭受黑客攻击的因应。
●针对半导体硅晶圆厂环球晶圆6月遭骇事故,最近黑客组织Storm-1811突然声称是他们所为,并要胁7月底将公布窃得数据。
●移民署内部通信录惊传流入黑客论坛,该单位表示疑为离职员工所为。
●美国洛杉机高等法院传出遭到勒索软件攻击,被迫关闭网络系统。
在漏洞消息方面,有一个锁定利用状况需要留意,ServiceNow在7月10日修补的重大漏洞CVE-2024-4879,最近有资安业者察觉多个黑客组织蠢蠢欲动,因为出现尝试扫描未修补上述漏洞的ServiceNow平台的行为。
至于资安防御及产业动向上,有3个重要的消息,首先,Google多年来表示将在Chrome中封锁第三方Cookie,如今竟放弃计划,其次是非营利组织OASIS Open宣布安全AI联盟CoSAI(Coalition for Secure AI)成立,多家科技大厂参与,目标是在AI安全设计方面创建协作生态体系;第三是云端安全公司Wiz传出拒绝Google高价收购,将寻求在股票市场挂牌上市(IPO)。
