资安业者Silent Push本周警告,该公司在今年7月发现了属于黑客组织FIN7的逾4,000个网域名称与IP位址,并发现其中有7个网站是利用AI脱衣工具DeepNude为诱饵来吸引受害者,进而于受害者系统上植入恶意程序。
研究人员发现,FIN7创建了7个色情网站,并提供DeepNude生成功能,以免费下载或免费试用等方式,诱导用户下载恶意程序,以窃取用户的凭证与Cookie,或是允许黑客自远程存取,进而下载其他恶意程序或植入勒索软件。
黑客部署了许多复杂的技术来躲避侦测,像是使用多个打包器,把恶意程序嵌入Pascal代码中,或是利用Java启动器来隐藏或运行恶意程序。
Zimbra上个月修补的CVE-2024-45519遭大规模利用
电子邮件与协作平台Zimbra在上个月修补安全漏洞CVE-2024-45519,且于近日传出已遭大规模利用,资安专家争相呼吁用户尽速更新。
资安业者Proofpoint在9月28日发现有人企图利用这项漏洞,HarfangLab的首席网络威胁研究人员Ivan Kwiatkowski则在10月1日指出,黑客已开始大规模利用,自单一IP位址寄出大量恶意邮件。
资安专家认为,无需通过身分验证让CVE-2024-45519漏洞特别危险,代表任何能够存取运行PostJournal服务之网络的用户,都得以利用该漏洞,呼吁Zimbra用户最好尽快修补,若是无法及时修补,应暂时关闭PostJournal服务因应。
Ivanti设备管理系统重大SQL注入漏洞已被用于攻击行动
今年5月资安业者Ivanti修补设备管理平台Endpoint Manager(EPM)重大层级的SQL注入漏洞CVE-2024-29824,隔月资安业者Horizon3.ai公布相关细节与概念性验证代码(PoC),指出攻击者有机会借此于EPM随意运行命令,呼吁IT人员应确认该系统是否遭到入侵的迹象,检查SQL Server的事件记录文件,了解是否有人通过xp_cmdshell运行命令的情形。如今这款产品的供应商证实,该漏洞已被用于实际攻击行动。
10月1日Ivanti更新公告内容,说明他们得知该漏洞已被黑客利用,有部分客户遭遇攻击行动。美国网络安全暨基础设施安全局(CISA)于隔日列入已被利用的漏洞列表(KEV),要求联邦机构于10月23日以前完成修补。
明码存储用户密码,Meta被爱尔兰政府罚款9,100万欧元
社群平台Meta数年前被发现未加密存储用户密码,上周遭爱尔兰数据保护主管机关处以9,100万欧元罚金。
2019年3月Meta被发现以明码存储用户密码,其爱尔兰分公司向爱尔兰数据保护委员会(Data Protection Commission,DPC)坦承不慎以明文形式将「某部分」用户密码存储在内部系统,DPC于4月启动调查,6月DPC做出裁决草案,这份草案获得欧盟会员国主管机关无异议通过。DPC也在9月26日通知Meta最终裁决,包含9,100万欧元罚款。
根据安全专家Brian Krebs报导2019年Meta的资安事故,估计共有2亿到6亿脸书用户密码以明文存储,而可被2万名Meta员工搜索,这起外泄事件最早可追溯到2012年。
其他攻击与威胁
◆中国黑客CeranaKeeper锁定东南亚窃取机敏数据
◆黑客伪装成求职者散布后门程序More_eggs
◆窃资软件Rhadamanthys通过AI进行文本辨识,挖掘加密货币钱包通关密语
◆恶意软件Skuld Stealer、Blank Grabber锁定Roblox作弊玩家而来
◆北韩黑客传出渗透德国国防业者Diehl Defence
【漏洞与修补】
Supermicro基板管理控制器固件存在能被轻易利用的漏洞
Supermicro基板管理控制器(BMC)出现重大层级漏洞CVE-2024-36435,这项漏洞起初由Nvidia资安团队通报,该公司于7月发布公告及新版固件因应。针对此事,9月底资安业者Binarly揭露相关细节。
此漏洞引起研究人员高度关注的原因,在于攻击者可在未经身分验证的情况下,轻易地借由发出请求触发弱点,引起内存堆栈溢出,最终有机会运行任意代码。Binarly认为,这是今年度最严重的BMC漏洞。
Binarly针对这项漏洞进一步分析,他们提到该漏洞存在于BMC的网络组件,假如攻击者能够存取BMC网页界面,就能利用漏洞,而且,过程中无须通过身分验证,也不需要用户交互。
DrayTek修补危险程度达到10分的重大漏洞,70万台路由器恐受影响
资安业者Forescout指出,他们在居易科技(DrayTek)路由器找到14个漏洞,有2个为重大层级,其中1个CVSS风险评分达到满分(10分),值得留意的是,这些漏洞存在于24款机种,但其中有11款生命周期已经结束(EOL)。他们在全球168个国家当中,看到有70.4万台路由器曝险,其中有超过半数位于欧洲(42.5万台)最多,亚洲有超过19万台居次。
对此,居易在本日发布资安公告,表示他们于6月20日得知此事,这些漏洞被登记为CVE-2024-41583至CVE-2024-41596,他们已为受影响的设备提供新版固件,呼吁用户应尽速升级。此外,他们也建议采用最佳实务措施,包括停用远程存取的管道、使用存取控制名单(ACL)、激活双因素验证(2FA)等措施。
若是IT人员无法及时套用新版固件,应一并停用管理员远程存取,以及SSL VPN功能。我们也洽询居易,想确认此项弱点目前处理状态,该公司表示他们在8月发布修补,台湾现行销售的机种皆完成修补。
台厂普莱德交换器存在重大漏洞
9月30日台湾电脑网络危机处理暨协调中心(TWCERT/CC)发布资安公告,指出台厂普莱德(Planet)旗下的交换器存在12项中、高风险漏洞,CVSS风险评分界于4.8至9.8,有可能导致远程代码运行、未经授权存取、阻断服务(DoS)。对此,普莱德已针对部分机种发布新版固件修补。
这些漏洞影响的范围涵盖3款机种,包含搭配2.0版硬件的GS-4210-24PL4C、搭配3.0版硬件的GS-4210-24P2S,以及搭配1.0版硬件的IGS-5225-4UP1T2S。值得留意的是,前两款机型都有修补漏洞,至于IGS-5225-4UP1T2S,由于其产品生命周期已经结束,该公司不再支持,因此,他们本次并未提供修补,而是呼吁用户应更换设备。
【资安产业动态】
新版操作系统上市在即,微软为AI功能Recall加强安全措施
在Recall功能因隐私疑虑延迟将近3个月后,于Windows 11 24H2推出前夕,微软于9月27日宣布添加安全功能,包含加密存储、集成生物验证功能Windows Hello,以及虚拟隔离区技术,为其重新推出铺路。
首先,快照(snapshot)和任何相关信息都会保持加密存储在矢量数据库中,加密密钥经由芯片的信赖平台模块(TPM)和用户的Windows Hello进阶签入安全身分绑在一起,只能在虚拟化安全隔离区(VBS Enclave)中使用。这表示其他人都无法存取这些密钥,因而无法解密信息。
再者,使用、管理Recall必须通过Windows Hello进阶身分验证,为了避免被恶意程序「搭便车」,用户完成验证后只能短暂解密Recall内容查找。
近期资安日报
【10月1日】黑客组织Storm-0501将攻击范围延伸到云端环境
【9月30日】Unix与Linux普遍内置的打印系统CUPS存在重大漏洞
【9月27日】黑客利用Docker引擎API进行挖矿



2024-10-05
