近一個月高風險零日漏洞頻傳,自 Barracuda 嚴重漏洞後, Progress 的商業檔案傳輸工具 Moveit 也爆發嚴重漏洞,以及 VMware ESXi 也被 Mandiant 發現遭中國駭客利用的漏洞,以及三月發布 Fortinet 的漏洞。這些產品在台灣都有客戶使用,且與中國駭客有關,很有可能已經遭到入侵,若有可疑或已遭駭,都可以透過羽昇國際協助運用 Mandiant 進行 IR 事件調查。
以下為近期四個零日漏洞的相關資訊,Mandiant 揭露與發現駭客的背景與手法
1. Barracuda CVE-2023-2868
Mandiant指出被中國駭客 UNC4841 所利用,藉此闖入全球數百個公共和私營部門組織的網路,其中近三分之一是政府機構,包括外交單位。
Mandiant 技術長 Charles Carmakal 聲明,這是自 2021 年初,微軟 企業級電郵平台Microsoft Exchange 被大規模入侵以來,涉中國組織發動的最大型網路間諜活動。
2. MOVEit CVE-2023-34362
CL0P 俄羅斯勒索軟體組織利用,目前在美國已經有近百個政府與企業遭勒索,美國能源部、殼牌石油、英國航空等都已經承認遭駭,受害產業包含非常多,以竊取商業資訊為目的。
3. ESXi CVE-2023-20867
此漏洞 Mandiant 調查由中國駭客組織 UNC3886 所利用,此組織專門針對美國與亞太的國防、科技與電信組織攻擊。雖然此漏洞駭客必須取得 root 訪問權限才能發動,但仍然是很可能被駭客所利用的漏洞。
4. Fortinet FortiOS CVE-2022-41328
Mandiant 調查將此歸因於 UNC3886,並懷疑該組織與中國有聯繫。Fortinet近日透露旗下防火牆作業系統 FortiOS 的路徑穿越漏洞已出現攻擊行動,呼籲用戶儘速修補,但並未說明更多資訊。直到這幾天,協助調查的資安業者 Mandiant 表示,該漏洞在2022年的攻擊行動就被利用,並指出駭客也對受害組織部署的 Fortinet 其他類型的產品出手。
瞭解 Mandiant 如何為您的安全把關
