Ivanti Cloud Service Appliance (CSA) 的三個零日漏洞遭到駭客利用

Fortinet (網路安全公司) FortiGuard Labs 的研究人員警告，疑似國家支持的網路威脅者正在利用 Ivanti (IT軟體公司) 雲端服務設備 Cloud Service Appliance (CSA) 中的三個零日漏洞來進行惡意活動。

這三個漏洞分別是：

• CVE-2024-9380 (CVSS 分數：7.2) – Ivanti CSA 5.0.2 之前版本的管理員網頁控制台中存在的作業系統指令注入漏洞。具有管理員權限的遠端身份驗證攻擊者可利用該漏洞執行遠端程式碼。
• CVE-2024-8190 (CVSS 分數：7.2) – Ivanti CSA 4.6 Patch 518 及之前版本中的指令注入漏洞。具備管理員權限的遠端身份驗證攻擊者可利用此漏洞進行遠端程式碼的執行。
• CVE-2024-8963 (CVSS 分數：9.4) – Ivanti CSA 4.6 Patch 519 之前的版本存在路徑遍歷 (path traversal) 漏洞。未經身份驗證的遠端攻擊者可利用此漏洞存取部分功能。

而其中最主要的漏洞是 CVE-2024-8190，它允許遠端執行程式碼。然而，利用該漏洞需要更高的權限，攻擊者將此漏洞與其他 CSA 漏洞（例如 CVE-2024-8963、CVE-2024-9379 和 CVE-2024-9380）聯合起來利用，以達到認證所需。

根據網路安全公司 Fortinet 的分析，攻擊者利用這些 CSA 零日漏洞入侵系統，然後進行橫向移動、部署 web shell (一種網頁惡意程式)、蒐集資訊、進行掃描和暴力破解攻擊 (Brute-force attack)，並利用被駭的 Ivanti 設備來代理流量 (proxying traffic)。

Fortinet 的公告指出：「我們觀察到有高階網路攻擊者利用這三個影響 Ivanti CSA 的漏洞。在我們著手調查時，這其中的兩個漏洞還尚未被公開。此次事件顯示了網路威脅者如何串聯多個零日漏洞以取得目標網路的初始存取權。」

網路攻擊者利用零日漏洞獲取未經身份驗證的 CSA 存取權，列舉 (enumerate) CSA 設備中的用戶，並試圖取得他們的憑證。一旦攻擊者取得了 gsbadmin 和 admin 憑證後，便可利用 /gsb/reports.php 中的指令注入漏洞，並且部署一種web shell「help.php」。

2024 年 9 月 10 日，Ivanti 針對 CVE-2024-8190 發布了通報，遭駭網路中的威脅攻擊者「修補」了在 DateTimeTab.php 和 reports.php 中被利用的指令注入漏洞，其原因可能是為了防範其他入侵者也利用這些漏洞。攻擊者將參數 TW_ID 和 TIMEZONE 中的分號替換為底線，致使這些漏洞無效。此技術已經過測試證實，由此可以看出網路攻擊者試圖獨佔侵入環境的存取權。

Fortinet 的研究人員在進行記憶體分析時發現，網路威脅者使用了一種名為 ReverseSocks5 的代理工具，透過 CSA 設備發動內部網路攻擊。2024 年 9 月 7 日的日誌顯示，攻擊者試圖在受感染的系統上部署 Linux 核心模組 rootkit (偽裝成驅動程式載入到作業系統核心中的惡意軟體)，可能是為了即使設備恢復出廠設置，依舊能夠維持持續性的存取權限。這部分也與之前 Ivanti CSA 設備遭入侵的報告內容一致。

報告總結道：「我們觀察到有高階的網路攻擊者利用並串聯零日漏洞，藉以建立進軍目標網路的前哨站。更多關於 Ivanti CSA 零日攻擊的詳情可參閱我們的威脅信號報告https://www.fortiguard.com/threat-signal-report/5556。」

Fortinet 也提到，這次攻擊可能是由某個國家支持的駭客組織所發動的，目前尚未確認具體的威脅組織身份。然而，有研究人員指出，Fortinet 公布的一個作為入侵指標 (IoC) 的 IP，先前曾被歸咎於 UNC4841，這是一個與中國有關聯的駭客組織，該組織在 2023 年末被發現到他們利用網路設備廠商 Barracuda 產品的零日漏洞進行活動。

眾所周知，中國支持的駭客組織會在其行動中利用 Ivanti 產品的零日漏洞。另外值得注意的是，Fortinet 的最新報告中提到，部分觀察到的惡意活動與之前中國有關聯的 Ivanti 網路攻擊事件非常類似。

Ivanti CSA零日漏洞相關的部分的入侵指標（IOCs）:

64efc1aad330ea9d98c0c705e16cd4b3af7e74f8

beb723a5f20a1a2c4375f9aa250d968d55155689

6edd7b3123de985846a805931ca8ee5f6f7ed7b160144aa0e066967bc7c0423a

8d016d02f8fbe25dce76481a90dd0b48630ce9e74e8c31ba007cf133e48b8526

d57a2cac394a778e19ce9b926f2e0a71936510798f30d20f207f2a49b49ce7b1

Fortinet 的遠端程式執行 (RCE) 漏洞被網路攻擊者利用

10/9 (週三) 美國網路安全暨基礎設施安全局 CISA 發出公告，駭客正在積極利用 FortiOS 作業系統中一個嚴重的遠端程式執行 (RCE) 漏洞。

這個漏洞（CVE-2024-23113）是由於 fgfmd 常駐程式接受了外部控制的格式字串作為引數 (argument) 所引發，讓未經授權的網路威脅者可以在未作程式修補的設備上執行指令或任意程式碼 (arbitrary code)。這類攻擊的複雜性較低，且不需要與使用者互動。

CVE-2024-23113 漏洞影響到 FortiOS 7.0 及其後的版本、FortiPAM 1.0 及更高階版本、FortiProxy 7.0 及以上版本，還有 FortiWeb 7.4 版本。

Fortinet (美國網路安全公司) 於今年二月份揭露並修補了這個安全漏洞，當時建議網路管理者移除所有介面中對 fgfmd 常駐程式的存取，來作為一種緩解措施，藉以阻擋潛在的攻擊行為。

該公司也建議道，「另外需注意的是，僅允許特定 IP 與 FGFM 連接的區域性策略雖然可以減少攻擊層面，不過還是無法完全防止這個漏洞從該 IP 被利用。因此，這僅能作為一種緩解措施，並不是完備的解決方案。」

儘管 Fortinet 尚未更新其二月的公告並確認 CVE-2024-23113 漏洞遭到利用，CISA 已於10/ 9 (週三) 將此漏洞新增到「已知被利用漏洞目錄」之中。

美國聯邦機構現在也被要求在三週內（即 10 月 30 日之前）確保其網路中的 FortiOS 設備安全無虞，以防範這些持續性的攻擊，這是根據 2021 年 11 月發佈的強制命令 (BOD 22-01) 所要求的。

CISA 警告道，「這類型的漏洞經常是惡意網絡攻擊者的攻擊向量 (attack vector)，並且對聯邦機構造成重大風險。」

荷蘭軍事情報和安全局 (MIVD) 在今年 6 月警告稱，中國駭客在 2022 年至 2023 年期間利用另一個 FortiOS 嚴重的 RCE 漏洞 (CVE-2022-42475) 發動攻擊，植入惡意軟體並且感染了至少 20,000 台 FortiGate 網絡安全設備。

Palo Alto Networks 揭露 Expedition 中的嚴重漏洞

此外，網路安全公司 Palo Alto Networks 也公佈了其 Expedition 軟體中的多個安全漏洞，這些漏洞可以允許攻擊者讀取資料庫內容與任意檔案 (arbitrary files)，並將任意檔案寫入系統的臨時儲存位置。

Palo Alto Networks 在週三 (10/ 9) 的警告中表示，「這些漏洞可能洩露包括使用者名稱、明文密碼、裝置組態和 PAN-OS 防火牆的 API 金鑰等資訊。」

影響 Expedition 1.2.96 之前所有版本的漏洞包括有：CVE-2024-9463（CVSS 評分：9.9）、CVE-2024-9464（CVSS 評分：9.3）、CVE-2024-9465（CVSS 評分：9.2）、CVE-2024-9466（CVSS 評分：8.2）、CVE-2024-9467（CVSS 評分：7.0）。

Cisco 修復 Nexus Dashboard Fabric Controller 漏洞

上週，Cisco (思科) 釋出了修補程式，修復 Nexus Dashboard Fabric Controller (NDFC) 網路管理平台之中一個嚴重的指令執行漏洞。該漏洞是由於不當的使用者授權和指令引數的驗證不足所導致。

該漏洞編號為 CVE-2024-20432，CVSS 評分為 9.9，它允許通過驗證的低權限遠端攻擊者對受影響的設備進行指令注入攻擊。此漏洞已在 NDFC 12.2.2 版本中修復。需要注意的是，11.5 及更早的版本並未受到該漏洞影響。

Fortinet 安全性漏洞相關的部分的入侵指標（IOCs）:

0f76936e237bd87dfa2378106099a673

1079d416e093ba40aa9e95a4c2a5b61f

129ba90886c5f5eb0c81d901ad10c622

1b7aee68f384e252286559abc32e6dd1

1d89b48548ea1ddf0337741ebdb89d92

2716c60c28cf7f7568f55ac33313468b

2bade2a5ec166d3a226761f78711ce2f

2c28ec2d541f555b2838099ca849f965

381b7a2a6d581e3482c829bfb542a7de

3a8a60416b7b0e1aa5d17eefb0a45a16

中國駭客組織Earth Baxia的攻擊目標擴及菲律賓、韓國、越南、台灣和泰國等地

截至2024年，中國支持的駭客組織已躋身國家支持的網路威脅前段班。經過上半年，資安研究人員發現了一系列由APT40、Velvet Ant、UNC3886、Mustang Panda等駭客組織主導的長期網路間諜活動和破壞性行動。這些組織越來越依賴網路釣魚攻擊和 CVE 漏洞來滲透目標網絡，對全球網路安全形成越來越大的威脅。

最近趨勢科技研究人員報告揭露，一個與中國有關的 APT 組織「地球巴夏」(Earth Baxia) 已經針對台灣的一個政府機構以​​及亞太地區 (APAC) 的其他國家發動了網路攻擊。

該駭客組織使用魚叉式網路釣魚電子郵件並利用最近更新的 GeoServer 漏洞CVE-2024-36401。GeoServer 是一個開源伺服器，它允許使用者共享和編輯地理空間的資料。

研究人員表示：「根據收集到的網路釣魚電子郵件、誘餌文件以及對事件的調查，攻擊目標主要為菲律賓、韓國、越南、台灣和泰國等地的政府機構、電信公司和能源產業。」

2024年7 月，研究人員發現到針對台灣某政府組織和其他亞太地區國家的機構的可疑活動。網路攻擊者在遭侵入的系統上部署了定製的 Cobalt Strike (一種滲透測試工具) 元件，並安裝了一支稱為 EAGLEDOOR 的新型後門程式，這支後門程式並且支援多種通訊協定。

經調查，資安專家發現有多台伺服器是託管於阿里雲服務上或是位於香港地區的。而有一些行動中使用的惡意軟體則是從中國上傳到 VirusTotal (免費線上掃毒網站) 的。

分析其多階段感染鏈的流程，發現到是利用兩種不同的技術，包括魚叉式網路釣魚電子郵件和利用 GeoServer 的缺陷（CVE-2024-36401，CVSS 評分：9.8），最終目的是送出Cobalt Strike 和先前未知的代號EAGLEDOOR 的後門程式，該程式允許資訊收集和負載 (payload) 傳遞。

該APT 組織仰賴 GrimResource 和 AppDomainManager 注入攻擊 (用來載入執行惡意程式的技術) 來部署額外的負載，其目的是降低受害者的警覺心並且避免被偵測到。

此外，日本網路安全公司 NTT Security Holdings 最近詳細介紹了一個與APT41有關聯的駭客集團，據稱該集團使用了相同的兩種技術來針對台灣、菲律賓軍方以及越南的能源機構。

研究人員指出：「地球巴夏 (Earth Baxia) 的據點很可能位於中國，他們針對多個亞太地區國家的政府和能源部門發動了一系列精細設計的攻擊行動。」

「他們利用 GeoServer 漏洞、魚叉式網路釣魚和客製化惡意軟體（Cobalt Strike 和 EAGLEDOOR）等先進技術來入侵系統和外洩資料。該APT 組織利用公有雲服務來託管惡意檔案以及 EAGLEDOOR 的支援多重通訊協定特性，再再凸顯了他們行動的複雜性以及面對不同場域的應變能力。」

EAGLEDOOR後門程式共支援四種，包括透過 DNS、HTTP、TCP 和 Telegram 來與 C2 伺服器通訊的方法。前三個通訊協定其主要用途為傳送受害者狀態，不過核心功能則是透過 Telegram Bot API (網路機器人應用程式介面) 來執行的，用以上傳和下載檔案，以及執行額外的負載。而獲取到的資料則是透過curl.exe 執行程式來洩漏出去。

Earth Baxia組織相關的部分的入侵指標（IOCs）:

9f376a334f9362c6c316a56e2ffd4971

e51f2ea5a877e3638457e01bf46a20e1

9833566856f924e4a60e4dd6a06bf9859061f4be

d9b814f53e82f686d84647b7d390804b331f1583

dce0a4c008ea7c02d768bc7fd5a910e79781f925

e2b0c45beadff54771a0ad581670a10e76dc4cf1

04b336c3bcfe027436f36dfc73a173c37c66288c7160651b11561b39ce2cd25e

061bcd5b34c7412c46a3acd100167336685a467d2cbcd1c67d183b90d0bf8de7

1c13e6b1f57de9aa10441f63f076b7b6bd6e73d180e70e6148b3e551260e31ee

1c26d79a841fdca70e50af712f4072fea2de7faf5875390a2ad6d29a43480458

親俄駭客組織 NoName057 原已與 RipperSec 結盟， 9/17 另新增一加盟者 Red Eagle Crew                                                

據報導，上週親俄羅斯駭客組織曾短暫地造成了台灣重要的金融服務平台中斷，包括證券交易所和大型金融控股公司網站，這次事件也暴露出了台灣在面對國外網路攻擊時的弱點。

台灣數位發展部 (MODA) 表示，親俄羅斯駭客組織上週針對 45 家台灣機構及單位發起分散式阻斷服務 (DDoS) 攻擊，其中包括政府機構和金融公司。

數位發展部部長黃彥男於記者會中表示，親俄駭客組織利用由伺服器控制的殭屍電腦網路來發動 DDoS 攻擊，除了台灣之外，攻擊目標還包括美國、加拿大和歐盟的重要基礎設施。

親俄駭客組織NoName057聲稱對台灣政府機構、金融公司和台北松山機場等目標發動了攻擊。據統計，台灣共有45家機構及單位受到了攻擊，不過影響是短期性的，大多數機構很快就恢復了正常運作。

受到影響的機構包括交通部航港局、地方稅務機關、中央政府高層機構、軍事單位包括憲兵指揮部、以及中華電信、國營及公股的金融和證券機構。另外私營企業方面，則以銀行為主要目標。

即時通訊軟體Telegram 上代號為「NoName057」和「RipperSec」的兩個組織上週四下午利用所謂的分散式阻斷服務 (DDoS) 攻擊癱瘓了目標網站，引發平台連線不穩定的問題。台灣證券交易所表示，在此次事件中，證券交易所偵測到來自海外網際網路協定位址 (IP address) 的網路查詢量比平常大上好幾倍。

雖然證券交易所在半小時內隨即恢復了正常運作，但這起事件也暴露出了台灣資訊網路平台的潛在弱點。台灣是全球最大的先進半導體生產國家，也是中美衝突的潛在爆發點。

上週五政府網站和交易系統已恢復正常運作。 DDoS 攻擊是屬於一種惡意性嘗試，透過癱瘓目標或其周圍基礎設施來中斷目標的伺服器、服務或網路的正常流量。

數位發展部最新聲明中表示，「關於NoName057和RipperSec的攻擊，有關當局正蒐集最新資訊，並採取必要措施。」台灣的內閣辦公室也發表譴責，聲稱網路攻擊者不僅在島內引發事端，而且影響範圍擴及整個鄰近區域。

數發布部也證實了本地媒體稍早的報導，並引用Radware研究人員的分析，親俄羅斯組織於Telegram上聲稱參與了此次攻擊事件，其中一個名為 NoName057 的組織在他們的Telegram頻道上說明了之所以針對台灣的原因。

隨著時間推移，事件並未停歇，竣盟科技 觀察到，結盟參與攻擊的駭客組織有所增加，新加盟的是一個稱作Red Eagle Crew的駭客組織。值得注意的是，Red Eagle Crew 在這一波新的攻擊中將 DDoS 攻擊目標鎖定於台灣的私人企業，而非政府相關部門。

此外根據最新消息來源 (NoName057駭客組織於Telegram上發布之訊息)，最近遭遇到攻擊的單位還新增加了高雄市警局、彰化市政府以及員林市政府，短期內仍需密切關注並謹慎防範。

近年來，隨著台灣的戰略重要性日益增加，也使得台灣愈來愈頻繁地受到來自國外的網路攻擊。思科系統 (Cisco Systems) 的資安研究人員於八月時表示，一個據信與中國政府有關聯的駭客組織從台灣政府所屬下的一家電算研究中心盜取了密碼和文件。

NoName057駭客組織相關的部分的入侵指標（IOCs）:

01e2ad9b3069b939594ceae2e4fe694b

0465303c561129698304db1a57396c4b

0f4bd50d057d8f5d279113a3ca5445f7

116ff8c13afee6f906be41ec4b4833ea

1213e1d1bffbe6b514af16de6d0e0f4b

121c453f795e903d4c91012ea2566ca4

12215d3dc6583f4d47dd306f3237d372

13802ced91f97122e3bc230474c17fec

1afa90293565a1e2a72d5062c1674451

1eb6fddaef31d557f07e829a496e29ba

中國關聯的TIDRONE駭客組織攻擊目標為軍事及衛星工業

趨勢科技 (Trend Micro) 日前發現了一個據稱與中國關聯密切的駭客組織TIDRONE，他們於2024 年開始進行網路攻擊活動，追蹤其行動，發現他們的目標是台灣的無人機製造廠商。

趨勢科技正在追蹤這個組織，並將該組織以TIDRONE作為稱號，趨勢表示這次行動是由間諜組織所主導的，而其攻擊重點是與軍事相關的產業鏈。

該組織之前從未被記錄或證實過，他們使用企業資源規劃 (ERP) 軟體和遠端桌面來部署高階惡意軟體，其中包括了CXCLNT和CLNTEND。

自今年4月以來，TIDRONE組織使用了CLNTEND，一種之前尚未被偵測到的遠端存取工具（RAT），這個軟體支援範圍更廣的網路通訊協定，因而進一步加強了他們的攻擊能力。

CXCLNT 和 CLNTEND 惡意軟體屬於後門程式，兩者都是經由 Microsoft Word 應用程式側載 (sideloading) 一個惡意的動態連結程式庫 (DLL) 來啟動的，進而使網路攻擊者能夠獲取更廣範圍的機敏資訊。

CXCLNT 具備了基本的上傳和下載檔案功能，以及清除痕跡、收集檔案清單和電腦名稱等受害者資訊，還可下載下一階段的可移植性執行檔 (PE, portable executable) 和 DLL 檔案以供執行所用。

資安研究人員表示：「考量檔案編譯的時間和網路攻擊者的操作時間，跟其他中國有關間諜組織從事的活動相比，兩者具有相當程度的一致性，因此可以推估這次攻擊行動很可能是由一個身份尚未明朗的中國背景威脅組織所發動的。」

網路安全公司 Acronis 公布了他們對這次攻擊行動的調查結果，調查中將這一系列攻擊稱之為「WordDrone 行動」，他們觀察到的攻擊行為發生於 2024 年 4 月至 7 月期間。

駭客集團侵入的一個特點是在部署 CLNTEND（又稱為 ClientEndPoint）之前會使用稱為Blindside (盲點) 的技術來迴避端點偵測和回應 (EDR) 軟體的偵測。

Acronis 進一步透露，在台灣一種 ERP 軟體 Digiwin 的資料夾中偵測到惡意構件 (artifacts)，這表示有可能是採用供應鏈攻擊或是利用產品中的安全缺陷來取得初始的存取權。

這家新加坡公司同時表示：「台灣大約有十幾家公司參與無人機製造，通常是屬於 OEM 的類型。」 「台灣一直是美國的盟友，再加上台灣強大的科技技術背景，因而成為駭客組織從事軍事間諜活動或供應鏈攻擊的主要目標。」

總結來說，TIDRONE是一個與中國有關聯性的網路攻擊團體。這些攻擊行為是在台灣偵測到而發現的，主要目標為軍事相關產業，特別是無人機製造廠商。這些攻擊行動使用到 CXCLNT 和 CLNTEND 等高階惡意軟體的變種 (variant)，這些進階的惡意軟體是透過 ERP 軟體或遠端桌面等方式來傳播。

TIDRONE駭客組織相關的部分的入侵指標（IOCs）:

15e52f52ed2b8ed122fae897119687c4

26ff6fac8ac83ece36b95442f5bb81ce

798a707e1abac44b0ad7b1114bcd10a6

6ab0e2ede4e0968eae2bdc63864971054a534f7b

6e35ae1d5b6f192109d7a752acd939f5ca2b97a6

92d28c4201e0d56c46b2d750aa25856f60f2facb

0d91dfd16175658da35e12cafc4f8aa22129b42b7170898148ad516836a3344f

19bbc2daa05a0e932d72ecfa4e08282aa4a27becaabad03b8fc18bb85d37743a

1b08f1af849f34bd3eaf2c8a97100d1ac4d78ff4f1c82dbea9c618d2fcd7b4c8

1bf318c94fa7c3fb26d162d08628cef54157dfeb2b36cf7b264e3915d0c3a504