Mandaint News 你不能不知道的漏洞新訊

近一個月高風險零日漏洞頻傳，自 Barracuda 嚴重漏洞後， Progress 的商業檔案傳輸工具 Moveit 也爆發嚴重漏洞，以及 VMware ESXi 也被 Mandiant 發現遭中國駭客利用的漏洞，以及三月發布 Fortinet 的漏洞。這些產品在台灣都有客戶使用，且與中國駭客有關，很有可能已經遭到入侵，若有可疑或已遭駭，都可以透過羽昇國際協助運用 Mandiant 進行 IR 事件調查。

以下為近期四個零日漏洞的相關資訊，Mandiant 揭露與發現駭客的背景與手法

1. Barracuda CVE-2023-2868

Mandiant指出被中國駭客 UNC4841 所利用，藉此闖入全球數百個公共和私營部門組織的網路，其中近三分之一是政府機構，包括外交單位。

Mandiant 技術長 Charles Carmakal 聲明，這是自 2021 年初，微軟 企業級電郵平台Microsoft Exchange 被大規模入侵以來，涉中國組織發動的最大型網路間諜活動。

• Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor, Suspected Links to China | Mandiant

• Barracuda 建議受黑客入侵影響客戶更換全新設備    
• 美資安公司：駭客替北京網攻全球政商機構

2. MOVEit CVE-2023-34362

CL0P 俄羅斯勒索軟體組織利用，目前在美國已經有近百個政府與企業遭勒索，美國能源部、殼牌石油、英國航空等都已經承認遭駭，受害產業包含非常多，以竊取商業資訊為目的。

• Zero-Day Vulnerability in MOVEit Transfer Exploited for Data Theft | Mandiant

• 美國 CISA 要求政府機構儘快修補 MOVEit 漏洞 
• 大規模網攻：MOVEit 零日漏洞危機擴大，美國近百個政府單位、企業遭勒索
• MOVEit 漏洞堵不住 能源部2單位遭勒贖 
• Clop 駭客公布 MOVEit 事件受害組織名單，包括美國能源部、殼牌石油
• 駭客滲透檔案傳輸軟體 MOVEit 發動網攻，英美政府機構都受害 

3. ESXi CVE-2023-20867

此漏洞 Mandiant 調查由中國駭客組織 UNC3886 所利用，此組織專門針對美國與亞太的國防、科技與電信組織攻擊。雖然此漏洞駭客必須取得 root 訪問權限才能發動，但仍然是很可能被駭客所利用的漏洞。

• VMware ESXi Zero-Day Used by Chinese Espionage Actor to Perform Privileged Guest Operations on Compromised Hypervisors | Mandiant

• Mandiant: New VMware ESXi zero-day used by Chinese APT

4. Fortinet FortiOS CVE-2022-41328

Mandiant 調查將此歸因於 UNC3886，並懷疑該組織與中國有聯繫。Fortinet近日透露旗下防火牆作業系統 FortiOS 的路徑穿越漏洞已出現攻擊行動，呼籲用戶儘速修補，但並未說明更多資訊。直到這幾天，協助調查的資安業者 Mandiant 表示，該漏洞在2022年的攻擊行動就被利用，並指出駭客也對受害組織部署的  Fortinet 其他類型的產品出手。

• Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation | Mandiant

• 2023/3月初 Fortinet修補的防火牆零時差漏洞，傳出去年就遭到中國駭客利用

瞭解 Mandiant 如何為您的安全把關

了解更多

Mandaint News 你不能不知道的漏洞新訊