風暴來襲！「零日漏洞」和遠端攻擊使企業陷入困境

編譯／Cynthia

近日，資訊安全領域掀起一陣風暴，迎來一系列重要議題，從企業被釣魚攻擊到Microsoft零日漏洞修補，每一事件彷彿都在提醒著資安的挑戰與危機正逐漸升級，近期三大資安相關事件整理如下。

一，威脅與漏洞報告

微軟(Microsoft)近期釋出了修補程式修復72個漏洞，其中包括兩個在野外受到攻擊的零日漏洞（CVE-2024-21412，CVE-2024-21351）。Fortinet也修補FortiOS的關鍵遠端程式碼執行漏洞，其中一個「可能」受到利用（CVE-2024-21762）。Roundcube webmail網頁郵件軟體的XSS漏洞（CVE-2023-43770）被攻擊者利用，並被列入已知受攻擊漏洞目錄。QNAP Systems公司則解決影響其NAS設備的兩個未經身份驗證的作業系統命令注入漏洞（CVE-2023-47218，CVE-2023-50358）。

更多新聞：Chrome零日漏洞警報！ Google發布緊急更新保護你的數據安全

二，威脅與攻擊手法

駭客近期以AnyDesk遠端桌面應用程式進行針對員工的釣魚攻擊，藉此傳播惡意軟體，同時全球地緣政治緊張局勢推動了數位戰爭手法增加。報告指出，Ivanti Connect Secure、Policy Secure和Neurons for ZTA的漏洞（CVE-2024-21893）被利用，注入一個名為DSLog的新型後門。此外，駭客正濫用AI技術，透過生成式AI來強化威脅郵件的攻擊手法。

三，威脅防禦與解決方案

專家強調在車輛設計和製造過程中整合網路安全的重要性，特別是對電動和連網汽車的保護。未來數據分析和自動化將，將在因應不斷演變的威脅中發揮關鍵作用。同時，開源工具SiCat可用於漏洞研究，而Fabric則是一個開源框架，允許用戶將人工智慧應用於日常挑戰。另外，解密工具成功解開Rhysida勒索軟體加密的文件，這源於韓國研究人員發現的實施漏洞。

保護資安，共創數位未來

總結近期的資安事件，應能深刻體會到資安的複雜性和重要性，在資安風暴不斷升級的時代，只有持續學習、創新、協作，才能共同打造更安全的數位未來。

資料來源：Help Net Security

瀏覽 294 次