發布編號 :OIS-CTI-2024-11-003
情資來源 :iThome
事件類型 :攻擊、漏洞警訊公告
內容說明 :
上週二資安業者 BlackBerry 揭露對於間諜軟體 LightSpy 攻擊行動的最新調查結果,指出攻擊者的身分是中國駭客 APT41,並提及另一款模組化的惡意程式框架 DeepData Framework,事隔 3日,有研究人員透露更多關於該框架的外掛模組功能細節,其中最引起他們注意的是,專門針對FortiClient 用戶端程式零時差漏洞而來的外掛元件。
值得留意的是,這項漏洞的修補狀態並不明朗,後續發展相當值得觀察。
【攻擊與威脅】
中國駭客 BrazenBamboo 利用 FortiClient 零時差漏洞,開發能擷取VPN帳密的惡意程式
11 月 12 日資安業者 BlackBerry 指出,他們發現使用 iOS 間諜軟體 LightSpy 的攻擊者身分,就是惡名昭彰的中國駭客組織 APT41,並指出這些駭客也鎖定政治人物及記者的電腦,打造Windows 惡意程式框架 DeepData Framework,事隔數日,有其他研究人員公布新的調查結果。
資安業者 Volexity 指出,他們在今年 7 月,於執行 Fortinet 的 VPN 用戶端的 Windows 電腦裡,察覺零時差漏洞(目前尚未登記 CVE 編號),此為可導致帳密洩漏的弱點,攻擊者可藉由用戶端FortiClient 的處理程序,從記憶體內竊取帳密資料。
針對惡意程式的來歷,研究人員認為開發者是中國國家級駭客組織 BrazenBamboo ,這組人馬與LightSpy 、 DeepData 、 DeepPost 惡意軟體家族有所聯繫。他們也揭露駭客設計的部分攻擊流程,包含如何利用 FortiClient 漏洞,以及得逞後透過 DeepPost 外傳資料的手段。
已終止支援的 GeoVision 視訊監控設備存在重大漏洞,傳出被用於攻擊行動
11 月 15 日台灣電腦網路危機處理暨協調中心(TWCERT/CC)發布資安公告,指出奇偶科技(GeoVision)旗下有多款已停止維護設備存在作業系統層級的命令注入漏洞 CVE-2024-11120 ,而且,他們已經掌握該漏洞已遭到利用的跡象。
對於這項漏洞帶來的影響,TWCERT/CC 表示涵蓋視訊主機 GV-VS11、GV-VS12,車牌辨識系統GV-DSP LPR V3,以及第 2、第 3 代的 GVLX 4 移動式攝影機。攻擊者一旦利用這項漏洞,就有機會在未經身分驗證的情況下,遠端注入系統指令,並於設備上執行,CVSS 風險評為 9.8 分。由於這些設備奇偶已終止支援,TWCERT/CC 建議用戶應汰換設備因應。
針對已經出現的漏洞利用情況,通報此事的 Shadowserver 基金會表示,他們看到該零時差漏洞有殭屍網路廣泛利用,鎖定該廠牌已終止支援(EOL)的設備而來。究竟有多少設備受害,研究人員並未進一步說明。
影響平台 :
FortiClient
建議措施 :
PostgreSQL發布安全性更新,修補高風險任意程式碼執行漏洞
11月14日關聯式資料庫軟體平臺PostgreSQL開發團隊發布17.1、16.5、15.9、14.14、13.17,以及12.21版一系列更新,本次修補4項資安漏洞,以及35項程式臭蟲。
其中,最值得留意的是被列為高風險層級的CVE-2024-10979,此為PL與Perl環境變數變更造成的弱點,使得攻擊者有機會執行任意程式碼,CVSS風險達到8.8(滿分10分)。
參考連結 :