登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

【资安周报】1014~1018,CMMC 2.0即将上路。FIDO联盟将推Passkey凭证交换

分享

支付動態

2024-10-21

这一星期的资安防护发展态势有两个重要焦点,包括美国国防部研拟已久的国防供应链网络安全CMMC 2.0,年底即将上路,以及FIDO联盟为促进Passkey跨平台应用,新发布安全凭证交换规范草案

回顾10月第四周的资安新闻,在资安防御方面有两大重要焦点,一是CMMC国防产业安全供应链的发展态势,一是Passkey无密码登录的最新进展。

(一)美国国防部在10月15日于联邦公报正式公布研拟已久的CMMC规则,60天后将正式生效实施。这意味着,该国国防部将开始要求业者,必须取得新的CMMC相关认证,才能参与合约竞标与履行,显示该国逐步加强对国防承包商的网络安全要求。
(二)关于Passkey的新闻有两大焦点,一是FIDO联盟为了改善Passkey的用户体验,宣布将聚焦于安全凭证交换可携的推动,新公布CXP与CXF这两个规范草案;另一是Amazon宣布将扩大支持Passkey,不只去年导入于其购物平台,明年将让其他应用及服务也支持。

在资安事件方面有3则消息,其中卡西欧遭勒索软件攻击的事件最受关切,因为该公司遭攻击后发生部份服务器故障状况,并导致多个系统停摆;台湾有两家上市公司揭露资安事件,巧合的是,友讯、神脑这两家业者遭受攻击的时间相近,且都属通信网络业。

●卡西欧于10月11日于公司网站发布资安事故公告,指出在5日遭遇勒索软件攻击,已有Underground黑客组织宣称犯案。
●友讯科技于10月15日说明资安事件的处理及因应,指出一台外网服务器遭受黑客攻击
●神脑国际于10月16日说明发生网络资安事件,指出外部服务器遭受黑客攻击

还有一起值得我们警惕与留意的事件,奥丁丁被揭露Amazon S3 bucket因配置不当而曝露在互联网上,由于曝险数据有9成均涉及台湾旅客引发关注,该公司表示部分数据可能遭未经授权存取。

在威胁态势上,以EDRSilencer红队演练工具遭滥用是主要焦点,有资安业者针对此情形示警,指出有利用该工具的攻击行动,能干扰市面上16款EDR资安产品运作。值得注意的是,上月台湾无人机制造商遭攻击被揭露,亦曾提及攻击者使用EDRSilencer的情形,显示此类威胁已在台湾实际发生。

●有黑客将红队演练工具EDRSilencer纳入武器库,资安业者呼吁防守方要提高警觉,因为该工具能影响16款EDR系统的运作。
金融业注意,有资安研究人员揭露北韩黑客散布恶意软件FASTCash,指出其意图是洗劫提款机。
●新一波针对Python开源软件生态系的攻击被揭露,这次手法之所以受注意,是因为攻击者滥用软件套件管理系统中的Entry Point命令行工具机制。

在漏洞利用方面,有两个已知漏洞遭利用的消息,一是SolarWinds在8月修补的Web Help Desk凭证写死漏洞,近日发现有攻击者正积极利用。

另一是微软6月修补的Windows Kernel TOCTOU竞争条件漏洞CVE-2024-30088,如今发现伊朗黑客组织OilRig正锁定利用,且近期目标是石油及天然气的关键基础设施。

在漏洞修补动向上,我们认为最要注意的是,Kubernetes资安回应团队修补映像档制作工具Image Builder的2项漏洞,该漏洞将让攻击者有机会以root权限存取虚拟机。至于其他重要修补,包括:Spring Framework、Ubuntu身分验证组件Authd,以及Apache Avro软件开发套件的修补,还有GitHub、兆勤、Moxa、交互资通、趋势科技、F5的产品漏洞修补。

 

【10月14日】Windows内核漏洞传出遭伊朗黑客OilRig利用

上周末有数起攻击行动引起资安圈高度关注,其中一起就是伊朗黑客OilRig对于阿拉伯联合酋长国(UAE)及周边海湾地区攻击升温,而其中一种提升权限的方法,就是利用今年6月微软公告的已知漏洞CVE-2024-30088。

值得留意的是,这些黑客向来针对石油及天然气相关的关键基础设施下手,一旦得逞,很有可能左右这些能源的供应。

【10月15日】北韩黑客针对支付处理系统散布恶意软件

美国曾在2018、2020年警告北韩黑客利用名为FASTCash的恶意软件,针对金融机构支付相关系统下手的情况,事隔4年,这些黑客扩大攻击范围,对于更多态态的支付系统开发专属的FASTCash。

值得留意的是,这次他们锁定的目标,是运行特定版本Ubuntu的支付处理系统,相当具有针对性。

【10月16日】台湾区块链旅宿平台业者云存储库疑似因配置不当,而可能曝露旅客数据

云端环境的配置不设防情况,不时有事故传出,但过往公布曝露危险的多半是国外的企业组织,而在最近一起资安事故里,有研究人员发现台湾区块链业者所有的数据库。

值得留意的是,在此存储桶曝露的个资当中,超过9成电话号码都是台湾用户所有,实际影响情况有待后续观察。

【10月17日】Kubernetes映像档制作工具存在重大漏洞

最近几年针对微服务管理平台Kubernetes而来的攻击行动,不时传出相关事故,这样的情况也使得不少研究人员调查这类系统的弱点,例如:出现在特定组态Azure Kubernetes服务(AKS)的权限提升漏洞WireServing,以及Google Kubernetes Engine(GKE)重大风险漏洞Sys:All,该漏洞能让任何具有Google帐号的攻击者接管配置不当的Kubernetes集群。

本月Kubernetes修补映像档建置工具(Image Builder)的漏洞也相当值得留意,因为这些弱点有机会让攻击者取得虚拟机(VM)的root权限。

【10月18日】红队演练工具EDRSilence遭滥用,16种EDR系统可能因此被「噤声」

过往黑客滥用防守方渗透测试工具的情况相当频繁,最常见的是Cobalt Strike,利用Brute Ratel C4(BRC4)的情况不时传出,但今年,出现黑客锁定红队演练工具的现象。

继上个月思科揭露有人使用名为MacroPack的红队演练框架打造恶意文件,本周资安业者趋势科技针对另一款工具EDRSilencer遭到滥用的情况提出警告,并指出已有黑客将其当作重要武器。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu