全球有超過100組織因MOVEit漏洞受到影響,證實新增受害者包括西門子能源、施耐德電機、UCLA、紐約市教育局等

最近受到MFT檔案共享工具MOVEit Transfer零時差漏洞CVE-2023-34362的影響,導致系統遭到入侵的組織超過100個單位,昨天幾位新的受害者站出來證實了遭到入侵,包括加州大學洛杉磯分校 (UCLA) 西門子能源(Siemens Energy)、施耐德電機(Schneider Electric)、紐約市教育局等。UCLA證實該校使用的 MOVEit Transfer 工具是此次攻擊的核心,並表示其 IT安全團隊於 6 月 1 日發現該工具成為攻擊目標。根據SC Media UCLA的報導, UCLA的發言人表示,加州大學洛杉磯分校立即啟動了事件回應程序,使用了Progress Software發布的安全修補修復了該漏洞,加強了對系統的監控並通知了聯邦調查局(FBI),並與外部資安專家合作調查此事,確認了事件的發生、哪些數據受到了影響以及被盜數據屬於誰,並進一步通知所有受到影響的人。UCLA表示這不是勒索事件,也沒有證據表明對任何其他校園系統有任何影響。

Cl0p公開UCLA成為其受害者

根據Security Affairs的報導,工業巨頭施耐德電機和西門子能源也成為受害者,兩者都提供用於全球關鍵國家基礎設施的工業控制系統 (ICS)。西門子能源確認其已成為攻擊目標;不過表示沒有關鍵數據被盜,業務營運也沒有受到影響。西門子能源表示,根據目前的分析,沒有關鍵數據受到損害,營運也沒有受到影響,在得知這一事件後立即採取了行動; 而施耐德則表示正在調查該Cl0p的說法,但並未確認遭到入侵,僅表示他們正在調查。

Cl0p公開施耐德則成為其受害者的頁面

Cl0p公開西門子能源成為其受害者

另外,6月24日(週六),紐約市教育局報告稱,駭客竊取了約 45,000 名學生以及工作人員和服務提供商個人資訊。儘管該市的調查仍在進行中,但該市教育部在一份數據外洩通知中表示,大約 19,000 份檔案在未經授權的情況下被存取,其中暴露了9,000個社會安全號碼和數量不詳的員工ID號碼。該市表示,個人將獲得身份監控服務,聯邦調查局和紐約警察局正在調查這起攻擊事件。自6月14日以來,Cl0p 一直在其暗網外洩網站上發布受害者的姓名,殼牌環球(Shell)、Telos、諾頓 LifeLock、加州公共僱員退休系統 ( CalPERS )、普華永道(PWC)、安永、Sony等數十家公司均被列入名單。MOVEit Transfer 是一種託管檔案傳輸,企業可以使用它通過 SFTP、SCP 和基於 HTTP 的上傳來安全地傳輸檔案。CVE-2023-34362漏洞是一個SQL注入漏洞,未經身份驗證的攻擊者可以利用它來獲得對MOVEit Transfer數據庫的未經授權的存取。Microsoft認為Clop 勒索軟體組織 (又名 Lace Tempest )發起了利用MOVEit Transfer平台中的漏洞的活動。5月31日,Progress Software修補MOVEit的CVE-2023-34362漏洞後,於6月10日及6月16日再修補另外兩個同樣位於MOVEit的SQL Injection漏洞CVE-2023-35036CVE-2023-35708。MOVEit Transfer用戶應密切注意並即時修補所有相關的安全更新。

6月17日,美國政府的正義獎勵(Rewards for Justice)計畫懸賞高達 1000 萬美元,以獲取將Cl0p勒索軟體集團或任何其他針對美國關鍵基礎設施的駭客資訊。

MOVEit的漏洞的部分入侵指標(Indicator of compromise -IOCs):

fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f

f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7

ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a

e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e

華碩發布修補以修復影響多款路由器型號的關鍵安全漏洞

Photo Credit: Asus

華碩修補了9個WiFi 路由器的漏洞,包括一個追溯到 2018年的重大漏洞,該漏洞可使用戶面臨任意程式執行攻擊。

台灣電腦硬體廠商製造商華碩週一(6月19日)發布了緊急韌體更新,以解決其 WiFi 路由器產品線中的漏洞,並警告用戶遠端程式碼執行攻擊的風險。在一份公告中,華碩記錄了至少九個漏洞和其中包括一些允許程式碼執行、阻斷服務攻擊、資料外洩和身份驗證繞過的漏洞。九個資安漏洞中最嚴重的漏洞有兩個 ,CVSS分數分別同樣是9.8分的重大漏洞,一個是漏洞編號為 CVE-2018-1160的漏洞,可追溯到 2018 年,它使路由器面臨任意程式執行攻擊,影響Netatalk 3.1.12 之前的版本,是一個存在dsi_opensess.c中近五年的越界寫入錯誤,該漏洞是源於攻擊者控制的數據缺乏邊界檢查,遠端未經身份驗證的攻擊者可以利用此漏洞實現任意程式碼執行。

華碩的韌體更新還修補了另一個CVSS分數9.8的重大漏洞,漏洞編號為CVE-2022-26376,這是 3.0.0.4.386_48706 之前的 Asuswrt 和 386.7 之前的 Asuswrt-Merlin New Gen 的 httpd unescape 功能中的記憶體損壞漏洞。華碩證實,特製的 HTTP 請求可能導致記憶體損壞,攻擊者可以發送網路請求來觸發此漏洞。其他還有六個被評為高嚴重性漏洞和一個目前正在等待分析的漏洞:

  • CVE-2022-35401(CVSS 分數:8.1)- 一個身份驗證繞過漏洞,可能允許攻擊者發送惡意 HTTP 請求以獲得對設備的完全管理存取權限。
  • CVE-2022-38105(CVSS 分數:7.5)- 一個信息洩露漏洞,可被利用通過發送特製網路數據包存取敏感資料。
  • CVE-2022-38393(CVSS 分數:7.5)- 一個拒絕服務 (DoS) 漏洞,可以通過發送特製網路數據包觸發。
  • CVE-2022-46871(CVSS 分數:8.8)- 使用過時的 libusrsctp 庫可能會使目標設備受到其他攻擊。
  • CVE-2023-28702(CVSS 分數:8.8)- 一個命令注入漏洞,本地攻擊者可以利用該漏洞執行任意系統命令、中斷系統或終止服務。
  • CVE-2023-28703(CVSS 分數:7.2)- 一個基於堆棧的緩衝區溢出漏洞,具有管理員權限的攻擊者可以利用該漏洞執行任意系統命令、中斷系統或終止服務。
  • CVE-2023-31195(CVSS 分數:N/A)- 中間對手 (AitM) 漏洞可導致用戶連線劫持。

受影響的設備清單包括以下型號:GT6、GT-AXE16000、GT-AX11000 PRO、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000 和 TUF-AX5400,涉及多款路由器型號。

華碩呼籲,“請注意,如果您選擇不安裝這個新韌體的版本,我們強烈建議關閉從 WAN 端存取的服務,以避免潛在的不必要的入侵。這些服務包括從 WAN 遠端訪問、端口轉發、DDNS、VPN 伺服器、DMZ、端口觸發器。我們強烈建議您定期檢查您的設備和安全程式,因為這將確保您得到更好的保護。” 華碩還建議為無線網路和路由器管理頁面建立不同的強密碼。

了解更多: https://www.asus.com/content/asus-product-security-advisory/

多國網路安全機構:LockBit勒索軟體已在約1700次攻擊中,獲得超過九千萬美元的不法所得

6月15日,為了幫助各地的組織了解和抵禦LockBit 勒索軟體,這現為全球最猖獗的威脅及其大量會員(affiliate),美國網路暨基礎安全局 (CISA)、聯邦調查局 (FBI) 以及包含澳洲、 加拿大、 英國、 德國、 法國和新西蘭等多國網路安全機構共同發布了關於題為Understanding Ransomware Threat Actors: LockBit的聯合網路安全諮詢,該諮詢包括:

*LockBit 使用了大約 30 個免費和開源工具的清單

*超過40個mapping 到MITRE ATT&CK的攻擊戰略、攻擊手法(TTPs)

*觀察到常被利用的CVEs漏洞

*LockBit勒索軟體即服務(RaaS)的演變以及全球趨勢和統計數據

*推薦的資源和緩解措施,以幫助抵禦全球 LockBit 活動

該公告指出,自 2020 年以來,僅在美國就發生了約 1,700 次 LockBit 勒索軟體攻擊,企業和組織為此支付了約 9,100 萬美元的贖金。這些多安全機構警告,LockBit 勒索軟體即服務 (RaaS) 吸引附屬會員(affiliate)使用 LockBit 進行勒索攻擊,導致大量互不關聯的攻擊者進行各種各樣的攻擊。根據Malwarebytes上週分享的統計數據,LockBit 於 2019 年底首次出現,它具有破壞性和多產性,僅在 2023 年 5 月就針對多達 76 名受害者。迄今為止,與俄羅斯有關聯繫的會員稱對至少 1,653 起勒索軟體攻擊負責。網路犯罪行動攻擊了廣泛的關鍵基礎設施部門,包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸。到目前為止,LockBit 已經進行了三次實質性的升級:LockBit Red(2021 年 6 月)、LockBit Black(2022 年 3 月)和 LockBit Green(2023 年 1 月),其中最後一個的升級是基於已經被解散的 Conti勒索軟體遭外洩的原始碼。

根據該公告,LockBit 用於吸引會員的一些方法包括但不限於,通過允許會員在收到贖金之後再付款;在線上論壇中貶低其他勒索軟體團體;花錢推廣宣傳活動,例如花錢招募人來紋含有 LockBit logo的紋身;推出抓漏獎勵專案等;它還包括為其勒索軟軟體開發和維護一個簡化的點擊式界面,使技術水平較低的人也可以使用它,使LockBit成為是去年全球最熱門活躍的勒索軟體組織。

Photo Credit: Cert NZ

涉及 LockBit 的攻擊鏈利用,包含最近披露的 Fortra GoAnywhere Managed File Transfer (MFT) 和 PaperCut MF/NG 伺服器中的漏洞以及 Apache Log4j2、F5 BIG-IP 和 BIG-IQ 以及 Fortinet 設備中的其他已知漏洞來獲得初始存取權限。LockBit還使用了三十多個免費軟體和開源工具,允許網路偵察、遠端存取和隧道、憑證轉儲和檔案外洩。該公告補充說,在大多數入侵中都觀察到了 PowerShell 和batch-script的使用,這些入侵側重於系統發現、偵察、密碼/憑證搜索和權限升級,這些入侵被發現進一步濫用合法的紅隊工具,如Metasploit和Cobalt Strike。

該諮詢提出各種預防相關攻擊的緩解措施,包括實施沙盒瀏覽器,要求所有使用密碼登錄的帳戶遵守 NIST 標準以製定和管理密碼策略;在電子郵件網關上實施過濾機制;安裝網路應用防火牆;分段網路;採用最少權限的最佳實踐;強制管理和審核具有管理權限的用戶帳戶;對設置在管理員級別和更高級別的帳戶實施基於時間的存取。它還建議開發並定期更新綜合網路圖;控制和限制網路連接;啟用增強的 PowerShell 日誌記錄;配置 Windows 登錄檔案以要求 UAC批准任何 PsExec 操作;禁用命令行和腳本活動和權限;啟用憑證保護;實施本地管理員密碼解決方案 (LAPS)。

另外,CISA本週發布了一項具有約束力的操作指令 23-02,指示聯邦機構在發現後 14 天內保護暴露在公共互聯網上的防火牆、路由器和交換機等網絡設備,並採取措施最大限度地減少攻擊面。

了解更多關於此資安諮詢: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

中國駭客利用 VMware ESXi零時差漏洞部署後門,入侵國防和科技領域

資安研究員觀察到一個中國網路間諜組織利用VMware ESXi零時差漏洞進行權限提升,廣泛使用一系列攻擊者腳本來獲取 vpxuser憑證、枚舉 ESXi 主機及其來賓虛擬機,並操縱連接的 ESXi 主機防火牆規則以竊取數據。

6 月 14 日,資安公司Mandiant 警告稱,一個追踪為 UNC3886 的中國駭客間諜組織被發現利用 VMware ESXi 零時差漏洞來提升客戶虛擬機的權限。UNC3886 最初於 2022 年 9 月詳細介紹,一直在使用惡意 vSphere 安裝服務包(VIB)(通常用於維護系統和部署更新的軟體包)在 ESXi 管理程式上安裝後門並獲得命令執行、檔案操作和反向 shell 功能。該組織的惡意行為會影響 VMware ESXi 主機、vCenter伺服器和Windows 虛擬機 (VM)。

在最近的攻擊中,UNC3886從 vCenter Server 獲取所有連接的 ESXi 主機的憑證,使用 VMCI套接字(一種用於虛擬機通信介面的網路套接字API)部署後門以實現橫向移動和持久性,以及修改和關閉受感染系統上的日誌記錄服務。此外,該組織一直在利用 VMware Tools 中的零時差漏洞繞過身份驗證並在 Windows、Linux 和 PhotonOS (vCenter) 來賓虛擬機上執行特權命令。該漏洞編號為 CVE-2023-20867,具有低嚴重性評級,因為它的利用需要攻擊者擁有對 ESXi 伺服器的root存取權限。VMware 在一份公告中表示,受感染的 ESXi 主機可能會迫使 VMware Tools 無法驗證主機到客戶的操作,從而影響客戶虛擬​​機的機密性和完整性,並在VMware Tools的12.2.5版本中解決了該漏洞,建議用戶進行修補。

Photo Credit : Mandiant

根據 Mandiant 的說法,UNC3886 被發現使用腳本通過連接的 vPostgreSQL 數據庫從受感染的 vCenter伺服器獲取憑證,枚舉所有 ESXi 主機及其來賓虛擬機,並修改所有連接的ESXi主機的允許IP清單。

UNC3886組織還使用安裝腳本將惡意安裝服務包(VIB)部署到主機,並利用 CVE-2023-20867 執行命令並將檔案從受感染的 ESXi 主機與來賓 VM 來回傳輸,而無需身份驗證且不留痕跡。

Mandiant進一步說,當從 ESXi 主機執行命令時,利用 CVE-2023-20867 不會在來賓虛擬機上生成身份驗證日誌事件。Mandiant還觀察到該組織使用 VMCI 套接字部署了兩個後門(VirtualPita 和 VirtualGate)以實現橫向移動和持續持久性,以確保他們的惡意活動不被發現。該惡意軟體為攻擊者提供了新級別的持久性(通過存取 VM 重新獲得對受感染 ESXi 主機的存取權限),還允許網路分段繞過和逃避對開放偵聽端口的安全審查。

Mandiant 指出,與 CVE-2023-20867 結合,將重新獲得對 ESXi 主機的存取權限允許攻擊者在該 ESXi 主機下運行的任何虛擬機上使用最高特權帳戶執行未經身份驗證的操作。如果 vCenter 作為 ESXi 主機下的虛擬機存在,攻擊者可以繼續連接到 vCenter 的所有 ESXi 主機獲取所有連接的 vpxuser 憑證,並繼續在環境中橫向移動。Mandiant 補充道,UNC3886以集中攻擊美國和 APJ 地區的國防、政府、電信和技術部門的組織而聞名。他們最喜歡的目標是沒有端點偵測與回應(EDR)功能的防火牆和虛擬化平台中的零時差漏洞,組織必須保持警惕,確保他們不僅在操作系統層監控網路,而且還要繼續修補和維護。

Cl0p 勒索軟體組織聲稱通過利用MOVEit Transfer中的漏洞攻擊了全球數百家公司

Cl0p 勒索軟體利用MOVEit Transfer中的的零時差漏洞竊取個資,危害了全球數百家公司。MOVEit Transfer 是一種MFT檔案共享系統,它允許企業使用 SFTP、SCP 和基於 HTTP 的上傳在業務合作夥伴和客戶之間安全地傳輸檔案。該零時差漏洞CVE-2023-34362是一個SQL注入漏洞,未經授權的攻擊者可利用該漏洞對MOVEit Transfer的資料庫進行未經授權的存取,竊取個資。最近傳出勒索軟體組織駭入MOVEit,攻擊BBC、英航和加拿大政府等企業。6月6日,微軟表示是次MOVEit Transfer的攻擊由勒索軟體組織Cl0p策劃。

Progress公司在發布的公告中表示,在 MOVEit Transfer Web 應用程式中發現了一個 SQL 注入漏洞,該漏洞可能允許未經身份驗證的攻擊者獲得對 MOVEit Transfer 數據庫的未經授權的存取。根據所使用的數據庫引擎(MySQL、Microsoft SQL Server 或 Azure SQL),攻擊者除了執行更改或刪除資料庫元素的 SQL 語句外,還可能推斷出有關數據庫結構和內容的資料。

該漏洞影響所有MOVEit Transfer版本,不影響雲端產品。Progress亦已在5月31日發佈修補程式,但是已經有用戶受害。6月7日,Cl0p在其暗網網站Cl0p News上聲稱已入侵數百家企業,暗示到6月14 日他們必須向其聯絡付贖金,滿足他們的需求,否則他們將把受害公司機密資訊公佈於網上。

目前無法確定遭Cl0p利用 MOVEit Transfer 漏洞入侵的組織的確切數量和是否存在台灣企業遭受此漏洞的影響。

5 月 31 日,資安公司Rapid7 專家發現了大約 2,500 個可在互聯網上公開存取的 MOVEit Transfer 實例 ,其中很大一部分位於美國。

Rapid7稱到目前為止,其團隊已經在多個客戶環境中觀察到相同的 webshel​​l 名稱,這可能表明存在自動利用。遭到零時差漏洞CVE-2023-34362攻擊的組織之一是薪資服務提供商Zellis,為英國數百家公司提供薪資支援服務,Zellia透露他們的MOVEit Transfer伺服器遭駭,部分客戶受到波及包含BBC 和英國航空公司員工的出現資料外洩的情況。另外,英國保健和美容零售商及藥店連鎖店 Boots 也證實受到了此次襲擊的影響。該公司尚未確定受影響員工的人數。另一家受影響的公司是愛爾蘭航空公司,該公司證實我們的一些現任和前任員工資料已被披露。

Progress 已及時提供緩解措施,通過將 MOVEit Transfer 更新到其中一個修補版本來幫助防止利用此漏洞。如果更新到上述修補對您的組織不可行,建議禁用 MOVEit Transfer 的 HTTP(s) 流量。

這並非Clop第一次經由檔案傳輸服務製造軟體供應鏈安全危機。該組織分別在2020和 2021年以檔案傳輸服務Accellion及2023年的GoAnywhere 造成大規模感染攻擊。

微軟Outlook 在親俄駭客組織的DDoS攻擊後在周一當掉

在親俄羅斯駭客組織 Anonymous Sudan 聲稱已開始了一項專門針對美國公司和基礎設施的攻擊活動之後,微軟 Outlook 在週一當掉,造成全球用戶受到影響。

Anonymous Sudan 的Telegram頻道

美國東部時間週一上午 10 點左右,總部位於蘇丹的駭客組織 Anonymous Sudan開始在其Telegram 頻道上發布已發動攻擊微軟的消息,大約在同一時間,Outlook 用戶開始在 Twitter 上發布抱怨Outlook.com當掉,這影響了他們的工作效率的消息。從 Anonymous Sudan 分享的 check-host.net URL 來看,他們的目標是“ https://outlook.live.com/mail/0/ ”,這是 Outlook.com 網路服務的主要 URL。當時,約 15,000 名微軟用戶向Downdetector 報告故障事件。

微軟在推特上回覆了預設回覆,“您好。對於由此造成的不便,我們深表歉意。我們已讓相關團隊了解此問題,我們正在努力讓您盡快恢復正常運行。感謝您的耐心等待,”Outlook說。

隨後,微軟證實當掉的不僅是Outlook.com, Microsoft 365與其他服務包含OneDrive for Business、Microsoft Teams、SharePoint Online等也當掉,同時表示正在檢查網路系統與更新活動,以確認造成服務中斷的原因。

Anonymous Sudan 的Telegram頻道

Anonymous Sudan為了向其followers提供背景資料,該組織在Telegram中特別提到了美國國務卿安東尼·布林肯 (Antony Blinken)。布林肯上周訪問了沙特阿拉伯,討論處理蘇丹危機的戰略方法。美國國務卿還宣布對蘇丹的多個實體實施經濟制裁,包括蘇丹武裝部隊 (SAF) 和快速支援部隊 (RSF),以應對最近“對平民住宅和基礎設施的搶劫、佔領和襲擊”。

Anonymous Sudan駭客組織自今年 1 月出現,它擅長對目標進行分散式服務阻斷攻擊 (Distributed Denial of Service -DDoS),分散式阻斷服務攻擊為DoS (Denial of Service)的延伸,為駭客利用大量偽造且無意義的封包,藉以消耗被攻擊者的網路頻寬與系統資源,導致網路癱瘓,無法提供正常的服務。

專家警告技嘉系統中存在類似後門的行為,數百萬PC可能因技嘉系統中的關鍵韌體漏洞而成為駭客的目標

韌體安全公司 Eclypsium 表示,技嘉主機板中的更新過程可能會忽略驗證下載是否來自官方的來源

Photo Credit: Gigabyte

韌體安全服務提供商 Eclypsium的研究人員在超過200款技嘉主機板主中發現了類似後門的功能,進一步分析表明,技嘉系統中的韌體在系統啟動過程中會投下並執行Windows本機執行檔。執行檔用於不安全下載和執行其他有效負載。專家指出,這與其他OEM類似後門的功能(如Computrace後門(又名LoJack DoubleAgent)和韌體植入物(如Sednit LoJax,MosaicRegressor,Vector-EDK)觀察到的行為相同。

Eclypsium分析這個後門似乎正在實施有意的功能,需要韌體更新才能將其從受影響的系統中完全刪除,並表示雖然我們正在進行的調查尚未證實特定攻擊者的利用,但一個活躍的、廣泛存在的、難以移除的後門給擁有技嘉系統的組織帶來了供應鏈風險。

Eclypsium 表示, 它於 2023 年 4 月首次檢測到該異常情況,在分析受影響的 UEFI韌體後,研究人員確定了一個名為8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin的檔案,這是一個 Windows 原生二進制執行檔,Windows 執行檔駐留在 UEFI韌體卷中。

韌體在系統啟動過程中將執行檔案寫入磁盤,這種技術通常被 UEFI 植入程式和後門程式採用。

該執行檔案可用於執行惡意活動,例如下載和執行其他有效負載。

Windows 可執行檔案是一個 .NET 應用程式,它根據其配置從以下位置之一下載並運行可執行負載:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

https://software-nas/Swhttp/LiveUpdate4

專家指出,使用 HTTP 為中間人攻擊打開了大門,研究人員還注意到,即使使用 HTTPS 協議,遠端伺服器憑證的驗證也未能正確實作,在這種情況下也允許 MITM 攻擊,使情況更加複雜的是,韌體不支援執行檔案的數位簽名驗證。

“投下的執行檔案和正常下載的技嘉工具確實具有滿足 Microsoft Windows 程式簽名要求的技嘉加密簽名,但這對抵消惡意使用幾乎沒有作用,尤其是在使用離地生存技術(如在最近關於Volt Typhoon攻擊者的警報中  )因此任何攻擊者都可以利用它通過 MITM 或受損的基礎設施持續感染易受攻擊的系統,類似後門的行為可能會影響超過三百個 Gigabyte 系統。

這些問題使組織面臨範圍廣泛的攻擊場景:

*攻擊者濫用 OEM 後門。

*OEM 更新基礎設施和供應鏈的妥協

*使用 UEFI Rootkit 和植入程式的持久性

*MITM 攻擊韌體和軟體更新功能

*由於官方韌體中的不良行為而持續存在風險

Eclypsium建議採取以下措施將風險降至最低:

*掃描和監控系統和韌體更新

*將系統更新到經過驗證的最新韌體和軟體。

*檢查並禁用技嘉系統上 UEFI/BIOS 設置中的App Center下載和安裝功能,並設置 BIOS 密碼以阻止惡意更改

*阻止上述網站加入封鎖名單

6 月 1 日, 技嘉更新:已發布修復程式以解決主機板漏洞,並表示其程師在對技嘉主機板的新BIOS進行全面測試和驗證後,已經降低了潛在風險,並將Intel 700/600和AMD 500/400系列Beta BIOS上傳至官網

兆勤警告其防火牆和 VPN 設備存在兩個重大漏洞,呼籲儘快更新

Photo Credit: Zyxel

#CVE-2023-33009

#CVE-2023-33010

網路設備製造商兆勤科技Zyxel 警告客戶其數款防火牆和 VPN 產品中存在兩個嚴重漏洞,攻擊者無需身份驗證即可利用這些漏洞。

這兩個安全問題都是緩衝區溢出的漏洞,並可能允許在易受攻擊的設備上執行阻斷服務攻擊 (DoS) 和遠端程式碼。

“兆勤已經發布了針對受多個緩衝區溢出漏洞影響的防火牆的修補,”該供應商在一份安全公告中表示。“建議用戶安裝它們以獲得最佳保護,”該公司補充道。

緩衝區溢出問題允許內存操作,使攻擊者能夠在分配的部分之外寫入數據。它們通常會導致系統崩潰,但在某些情況下,成功利用可以允許在設備上執行代碼。

Zyxel 的最新修補解決了以下漏洞,以下是對這兩個漏洞的簡要說明:

CVE-2023-33009:通知功能中的緩衝區溢出漏洞可能使未經身份驗證的攻擊者能夠導致拒絕服務 (DoS) 條件和遠端程式碼執行(CVSS 分數為 9.8)

CVE-2023-33010:ID 處理函數中的緩衝區溢出漏洞,允許未經身份驗證的攻擊者執行遠端程式碼或導致拒絕服務 (DoS)(CVSS 分數為 9.8)

該公司表示,以下設備受到影響:

ATP(版本 ZLD V4.32 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補)

USG FLEX(版本 ZLD V4.50 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補)

USG FLEX50(W) / USG20(W)-VPN(版本 ZLD V4.25 到 V5.36  Patch 1,在 ZLD V5.36 Patch 2 中修補)

VPN(版本 ZLD V4.30 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補),以及

ZyWALL/USG(版本 ZLD V4.25 到 V4.73 Patch 1,在 ZLD V4.73 Patch 2 中修補)

供應商建議受影響產品的用戶盡快應用最新的安全更新,以消除駭客利用這兩個漏洞的風險。

中小型企業使用運行上述易受攻擊版本的設備來保護他們的網路,並允許遠端或在家辦公的員工進行安全網路訪問 (VPN)。攻擊者密切關注影響此類設備的任何重大漏洞,因為它們可以促進輕鬆存取公司網路。

上週,網路安全研究員Kevin Beaumont報告,4 月底,Zyxel 在其防火牆設備中修復了一個嚴重的 RCE 漏洞,跟踪為 CVE-2023-28771  (CVSS 分數為9.8),並敦促客戶安裝補丁。該公司還修復了影響某些特定防火牆版本的高嚴重性身份驗證後命令注入問題(CVE-2023-27991 ,CVSS 分數為8.8)。

鈴木摩托車Suzuki Motorcycle India因網路攻擊導致工廠生產線已停工一周,造成嚴重生產損失

Key Points:

*鈴木摩托車印度廠提供全球近一半的鈴木汽車產品,該國也是該品牌在 2023 財年增長最快的市場

*除了造成超過 20,000輛摩托車的生產損失外,該資安事件還迫使鈴木推遲其年度供應商大會

*該公司尚未透露攻擊的來源或何時恢復生產

負責製造鈴木摩托車的印度廠在遭受網路攻擊後被迫關閉,據印度媒體報導,由於營運受到網路攻擊,Suzuki Motorcycle India 的工廠被迫停產,自 5 月 10 日(星期六)以來,生產一直停滯不前,估計在此期間造成了至少 20,000 多輛摩托車的生產損失。鈴木摩托車稱已採取措施應對這一情況,包括因前所未有的業務需求(unprecedent business requirement)而推遲了原定於本週開始的年度供應商會議。該公司已將事件報告給有關政府部門,並正在配合調查。不過,該發言人補充說出於安全考慮,目前無法提供更多細節,因此並未透露此次攻擊的來源,也未提供恢復生產的具體時間表。如果該公司之後透露遭受到勒索軟體攻擊,相信任何人都不會感到驚訝。儘管如此,消息人士表示,該工廠將在未來幾天恢復營運。

Photo Credit: 鈴木摩托車印度廠

據印度Acko Drive的報導,鈴木摩托車是 2023 財年該國第五大兩輪車生產商,產量接近 100 萬輛,就像其姊妹公司 Maruti Suzuki 一樣,印度是這家兩輪車製造商在日本以外的最大市場。它是日本鈴木汽車的主要出口中心,印度 20% 的產品供應全球主要市場。印度佔鈴木汽車公司全球產量的 50%,是上一財年增長最快的市場之一。鈴木的全球產量在 2023 財年增長了超過 22 萬輛,其中近 85% 的增量來自印度。

鈴木摩托車在競爭激烈的印度兩輪車市場中佔有接近 5% 的市場份額,其 Burgman Street 和 Access 踏板車系列享有很高的市場佔有率。踏板車佔其 2023 財年總產量的 90% 以上,該公司在該領域的市場份額為 14%。憑藉在踏板車領域 14% 的市場份額,鈴木計劃在其產品線中推出更多產品,但像這樣的資安事件肯定會破壞或延誤其一些計劃。

印度公司經常成為攻擊目標

此次鈴木遭攻擊前,在過去 3-4 年中,包括印度國家銀行 (SBI)、印度最大的電力公司Tata Power、印度最大的醫療機構全​​印度醫學科學研究所( AIIMS ) 、頂級醫院Safdarjung

印度香料航空SpiceJet印度航空達美樂印度等幾家大企業亦曾被網路或勒索軟體攻擊,在所有行業中,醫療保健受到網路攻擊的打擊最嚴重,其次是教育和政府。然而印度並不孤單,因為全球網路攻擊在2022年激增38%後達到歷史最高水平,隨著 ChatGPT 開啟了駭客快速生成程式碼的可能性,網路安全變得更具挑戰性。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

網路戰在中台緊張的局勢中升級,針對台灣的惡意電子郵件在2023年第一季度激增

台灣成為了今年第一季度全球網路攻擊的頭號目標,根據Checkpoint,2023年第一季度全球每個組織每周遭受的平均網路攻擊次數較上年同期增長 7% 至 1,248 次,攻擊目標為政府和軍事機構、私營企業和教育機構。然而,在此期間,台灣每個組織每週的網路攻擊次數平均為 3,250 次,是全球平均水平的 2.6 倍。另外根據Trellix的一份資安報告<<China-Taiwan Tensions Spark Surge in Cyberattacks on Taiwan>>,中國與台灣的緊張局勢導致針對台灣的網絡攻擊顯著增加。特別是對其主要目標部署惡意軟體和竊取敏感資料。Trellix觀察到針對台灣政府官員的勒索郵件顯著增加,1 月份惡意郵件數量同比增長了30 倍。另外瞄准其他組織的攻擊,從 4 月 7 日開始一直持續到 4 月 10 日,在此期間,惡意電子郵件的數量猛增到平時數量的四倍。

Photo Credit: Trellix

Trellix 高級研究中心高級副總裁 Joseph Tal 在報告中表示,在過去幾年中,他們注意到地緣政治衝突是各種行業和機構遭受網路攻擊的主要驅動力之一,從惡意電子郵件和 URL 到惡意軟體。Trellix表示,在中國宣稱台灣是其領土的一部分與台灣保持獨立之間的緊張關係已經演變成令人擔憂的激增網路攻擊。在這種情況下,Trellix 觀察到網路釣魚攻擊帶有國家級駭客組織的特徵。

他們發現,在 4 月 7 日到 4 月 10的期間,惡意電子郵件的數量增加到平時數量的四倍多。這些活動針對政府機構以及 IT、製造和物流行業,駭客部署了被稱為PlugX的一種遠端存取特洛伊木馬程式(RAT),這也是一種Windows 後門。PlugX被發現自2012 年以來已被許多中國APT駭客組織用來控制受害機器並使用DLL 側載技術來躲避被檢測。針對台灣的惡意電子郵件數量激增之後,Trellix檢測到PlugX惡意軟體的數量增加了 15 倍,這表明網路釣魚誘餌充當了初始存取向量以投遞額外的有效負載,使用 PlugX 的一些已知APT駭客包括 APT10、APT27、APT41、MustangPanda 和 RedFoxtrot。PlugX 以其逃避防毒軟體的能力而聞名,並使駭客能夠跟踪擊鍵、在受害者設備上螢幕截圖和存取檔案,一些 PlugX 插件包括磁碟枚舉、鍵盤記錄、網路資源枚舉、port mapping、進程終止、登錄檔編輯、服務控制和遠端 shell 存取等功能。

Photo Credit: Trellix

除了 PlugX,Trellix 表示還發現了其他惡意軟體的系列,例如混淆工具Kryptik 特洛伊木馬式以及針對國家的竊取程式FormBook 和 Zmutzy間諜軟體。在攻擊活動中發送的一些惡意電子郵件涉及來自律師事務所的虛假逾期付款通知,其中包含惡意附件,而另一些則是聲稱來自 DHL 的虛假發貨通知電子郵件,這些電子郵件包含指向網路釣魚頁面的連結,其他電子郵件在報價或採購訂單請求中則附加了惡意軟體。Trellix說,注意到許多不同主題針對台灣組織的的惡意網頁,如通過登錄頁面、目標公司特定頁面、多種品牌登錄頁面等,用於定位用戶以獲取憑證。

PhotoCredit: Trellix

中國和台灣之間日益緊張的關係,加上越來越多的網路安全攻擊,引起了全球個人、企業和政府的關注。在中國外交部上個月發表戰狼言論言論後,美國國會參、眾兩院跨黨派議4月20日同步提出法案,要求美國政府協助強化台灣網路安全,因應中國的網路威脅,大幅擴大與台灣的網路安全合作。兩黨的《台灣網路安全韌性法案》Taiwan Cybersecurity Resiliency Act將授權美國國防部與台灣進行網絡訓練演習,保衛其軍事基礎設施和系統,並消除針對台灣的惡意數位活動。

Trellix 高級研究中心高級副總裁 Joseph Tal 最後表示,監控地緣政治事件可以幫助組織預測其運營所在國家/地區的網路攻擊。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”