轉載「Fortinet網路設備管理平臺API漏洞出現零時差攻擊」訊息

 Fortinet網路設備管理平臺API漏洞出現零時差攻擊

近日Kubernetes維護團隊指出，他們提供的映像檔建置工具（Image Builder）當中，存在漏洞CVE-2024-9486、CVE-2024-9594，有可能讓攻擊者能夠藉由預設帳密資料存取虛擬機器（VM），並得到root權限。

 這兩項漏洞較為嚴重的是CVE-2024-9486，主要原因在於：以Proxmox提供者（provider）建置而成的虛擬機器映像，無法停用當中的預設帳號，若用這些映像檔建置節點，後續有心人士可透過這些預設帳密進行存取，藉此取得root權限，CVSS風險評分達到9.8。

另一個漏洞CVE-2024-9594，則是涉及其他系統平臺提供者產生的映像檔，這些提供者包含Nutanix、OVA、QEMU，在映像建置過程也會啟用預設的帳密組態，而此預設帳密同樣可用於取得root權限，但不同的是，在映像檔建置完成後，這些帳密就會被停用。該漏洞被評為中度風險，CVSS評為6.3。

 針對上述情形，Kubernetes資安回應團隊除提供新版映像檔建置工具，並呼籲用戶應透過這些已解決上述問題的工具，重建具有潛在風險的映像檔。

【資安新聞-iThome】

Fortinet網路設備管理平臺API漏洞出現零時差攻擊

詳細資訊請參考：https://www.ithome.com.tw/news/165661

轉載「中國駭客組織IcePeony利用SQL注入手法，針對亞洲國家網頁伺服器下手」訊息

中國駭客組織IcePeony利用SQL注入手法，針對亞洲國家網頁伺服器下手

中國駭客發動攻擊的情況不時傳出，近期研究人員揭露多組過往未曾發現的駭客組織，如今有個組織因駭客的作業疏失，而讓研究人員有機會一探究竟。

資安研究團隊Nao_sec揭露中國駭客組織IcePeony的攻擊行動，並推測這些駭客至少從2023年開始活動，針對印度、模里西斯、越南等國家的政府機構、學術單位、政治組織發動網路攻擊，根據他們取得的事件記錄資料，駭客試圖攻擊印度各個政府網站的情況相當頻繁，有超過200次的記錄。

這些駭客會鎖定網頁伺服器發動SQL注入攻擊，一旦找到弱點，就會藉此注入Web Shell或惡意程式，其中一種是專門針對IIS伺服器的後門IceCache，最終目的是竊取帳密資料。研究人員認為，這些駭客的攻擊意圖，很有可能與中國的國家利益有關，尤其優先考慮海洋戰略層面的利益。

研究人員調查該組織行蹤的原因，主要是意外發現駭客因操作錯誤不慎曝露了Cobalt Strike、SQLmap等攻擊資源。值得一提的是，他們發現駭客工時很長，每日耗費14小時攻擊，僅有週日沒有活動，研究人員推測，駭客很可能採取中國IT業界常見的996工作制度──即每天從上午9時工作到晚間9時，每週工作6天。

【資安新聞-iThome】

中國駭客組織IcePeony利用SQL注入手法，針對亞洲國家網頁伺服器下手

詳細資訊請參考：https://www.ithome.com.tw/news/165649

轉載「Ghostpulse 惡意軟體藏身 PNG 圖片，新型態攻擊手法難以偵測！」訊息

 

Ghostpulse 惡意軟體藏身 PNG 圖片，新型態攻擊手法難以偵測！

Ghostpulse 惡意軟體現在透過 PNG 影像檔案的像素來提取其主要酬載。安全專家表示，這是自 2023 年推出以來，幕後黑手所做的「最重大改變之一」。

 PNG 圖片格式普遍用於網頁圖形，由於其為無損格式，能保留關鍵細節（例如平滑的文字輪廓），因此經常被選擇用於取代有損壓縮的 JPG 檔案。

Elastic Security Labs 的薩利姆·比塔姆（Salim Bitam）指出，Ghostpulse 常被用於攻擊活動中，作為更危險惡意軟體（如 Lumma 資訊竊取器）的載入器，而最新的變化使其更難以被偵測。

早期版本的 Ghostpulse 也很難偵測，並使用諸如將酬載隱藏在 PNG 檔案的 IDAT 區塊等隱密方法。然而，它現在會解析圖片的像素，將惡意資料嵌入其結構中。

「該惡意軟體透過使用 GdiPlus(GDI+) 函式庫中的標準 Windows API，依序提取每個像素的紅、綠、藍 (RGB) 值來建構一個位元組陣列，」比塔姆表示。「一旦位元組陣列建立完成，惡意軟體就會搜尋包含加密 Ghostpulse 設定的結構起點，包括解密所需的 XOR 金鑰。」

 「它透過以 16 位元組區塊迴圈讀取位元組陣列來做到這一點。對於每個區塊，前四個位元組代表 CRC32 雜湊值，而接下來的 12 個位元組是要進行雜湊的資料。惡意軟體會計算 12 個位元組的 CRC32，並檢查它是否與雜湊值相符。如果找到相符的項目，它就會提取加密 Ghostpulse 設定的偏移量、其大小和四位元組 XOR 金鑰，然後進行 XOR 解密。」

【資安新聞-電腦王】

Ghostpulse 惡意軟體藏身 PNG 圖片，新型態攻擊手法難以偵測！

詳細資訊請參考：https://www.techbang.com/posts/119061-ghostpulse-png

轉載「蘋果修補macOS的HM Surf漏洞，目前已有嘗試利用的跡象」訊息

蘋果修補macOS的HM Surf漏洞，目前已有嘗試利用的跡象

蘋果在macOS Sequoia 15修補Transparency, Consent, and Control（TCC）漏洞CVE-2024-44133，通報這個問題的微軟公布漏洞細節，並指出已偵測到嘗試利用漏洞的跡象。

 今年9月蘋果發布電腦作業系統大改版macOS Sequoia 15，當中修補中度風險漏洞CVE-2024-44133，這項漏洞影響由行動裝置管理平臺（MDM）控管的裝置，應用程式有可能藉由漏洞繞過特定的隱私權組態，CVSS風險評為5.5分，通報此事的微軟近日公布相關細節，並指出他們偵測到疑似漏洞利用的情況。

微軟威脅情報中心指出，這項漏洞有機會讓攻擊者繞過macOS的Transparency, Consent, and Control（TCC）保護機制，進行在未經授權的情況下，存取受到保護的使用者資料。研究人員將這項漏洞稱為HM Surf，並指出該漏洞涉及移除Safari瀏覽器程式資料夾的TCC防護，以及更動特定資料夾的組態檔案，使得攻擊者有機會存取使用者資料，包含瀏覽過的網頁、裝置的視訊鏡頭、麥克風、地理位置。

對於這項漏洞發生的原因，他們提到Safari被作業系統賦予一種名為com.apple.private.tcc.allow的權限，而能夠繞過作業系統的TCC檢查，自由存取通訊錄、相機、麥克風等，但在預設情況下，此瀏覽器還是透過自己的TCC機制，管控、徵求每個網頁的存取權限。

【資安新聞-iThome】

蘋果修補macOS的HM Surf漏洞，目前已有嘗試利用的跡象

詳細資訊請參考：https://www.ithome.com.tw/news/165640

轉載「Kubernetes映像檔製作工具存在重大漏洞，恐曝露虛擬機器root權限」訊息

 

Kubernetes映像檔製作工具存在重大漏洞，恐曝露虛擬機器root權限

近日Kubernetes維護團隊指出，他們提供的映像檔建置工具（Image Builder）當中，存在漏洞CVE-2024-9486、CVE-2024-9594，有可能讓攻擊者能夠藉由預設帳密資料存取虛擬機器（VM），並得到root權限。

 這兩項漏洞較為嚴重的是CVE-2024-9486，主要原因在於：以Proxmox提供者（provider）建置而成的虛擬機器映像，無法停用當中的預設帳號，若用這些映像檔建置節點，後續有心人士可透過這些預設帳密進行存取，藉此取得root權限，CVSS風險評分達到9.8。

另一個漏洞CVE-2024-9594，則是涉及其他系統平臺提供者產生的映像檔，這些提供者包含Nutanix、OVA、QEMU，在映像建置過程也會啟用預設的帳密組態，而此預設帳密同樣可用於取得root權限，但不同的是，在映像檔建置完成後，這些帳密就會被停用。該漏洞被評為中度風險，CVSS評為6.3。

 針對上述情形，Kubernetes資安回應團隊除提供新版映像檔建置工具，並呼籲用戶應透過這些已解決上述問題的工具，重建具有潛在風險的映像檔。

【資安新聞-iThome】

Kubernetes映像檔製作工具存在重大漏洞，恐曝露虛擬機器root權限

詳細資訊請參考：https://www.ithome.com.tw/news/165546

轉載「 Ubuntu身分驗證元件Authd存在高風險漏洞，攻擊者有機會發動使用者ID欺騙攻擊」訊息

 

Ubuntu身分驗證元件Authd存在高風險漏洞，攻擊者有機會發動使用者ID欺騙攻擊

本週Canonical針對Ubuntu發布新版身分驗證管理元件Authd，目的是修補高風險漏洞CVE-2024-9312，若不處理，攻擊者可藉由建立特定名稱的帳號，造成UID衝突並進行冒用

 anonical近期針對Ubuntu發布資安公告，揭露高風險漏洞CVE-2024-9312，這項弱點存在於身分驗證管理元件Authd，一旦攻擊者觸發漏洞，就有機會欺騙電腦，並針對特定使用者帳號進行未經授權存取，CVSS風險為7.6分，該公司提供0.3.6版Authd修補。

這項元件的功能，主要是提供雲端身分驗證系統的身分驗證及存取的安全管理，並藉由模組化設計而具備多種身分驗證功能，該元件目前支援存取Entra ID，開發團隊未來也打算支援其他的身分驗證提供者。

究竟這項漏洞發生的原因為何？原因是Authd分配的UID是根據使用者名稱產生的純函數（pure function），再者，則是UID的集合太小，導致無法進行隨機分配。這樣的情況，使得該元件很可能會遭到利用。

 攻擊者可在取得本機權限的情況下，使用可能會造成衝突，或是與目標帳號UID符合的使用者名稱，來建立多個使用者帳號，這麼一來，攻擊者就有機會得到與目標用戶相同的存取權限。

【資安新聞-iThome】

Pure Storage修補儲存設備重大漏洞

詳細資訊請參考：https://www.ithome.com.tw/news/165548

轉載「 逾8萬臺Fortinet設備曝露於今年2月公告的RCE漏洞」訊息

 

逾8萬臺Fortinet設備曝露於今年2月公告的RCE漏洞

10月9日美國網路安全暨基礎設施安全局（CISA）提出警告，今年2月Fortinet修補的重大漏洞CVE-2024-23113已出現實際攻擊行動，要求聯邦機構限期修補，這樣的情況Fortinet也在11日證實，他們得知有外部調查發現漏洞遭到利用的情況。然而，如今有資安研究機構提出警告，仍有不少設備尚未套用更新而曝險。

Shadowserver基金會指出，他們在10月12日發現有87,390個IP位址的Fortinet設備疑似曝露於該漏洞風險，其中數量最多的是美國，約有1.4萬臺，日本、印度居次，分別約有5,100、4,800臺。我們查詢該基金會14日偵測到的資料，臺灣有3,823臺設備曝險。

由於這項漏洞影響範圍涉及Fortinet多項解決方案，涵蓋網路防火牆作業系統FortiOS、網頁安全閘道FortiProxy、特權存取管理系統FortiPAM、交換器集中管理平臺FortiSwitch Manager、應用程式防火牆FortiWeb，這意味著駭客可能會在不同類型的資安系統嘗試利用漏洞。

【資安新聞-iThome】

Pure Storage修補儲存設備重大漏洞

詳細資訊請參考：https://www.ithome.com.tw/news/165516