【資安週報】2024年1月15日到1月19日

這一星期的漏洞利用威脅情形，有兩個新事件需要特別留意，一是Citrix NetScaler設備管理介面存在零時差漏洞，包括CVE-2023-6548、CVE-2023-6549，已被用於攻擊行動；另一是Google修補Chrome的V8 JavaScript引擎的CVE-2024-0519漏洞，同樣已遭成功利用。

還有兩個已知漏洞遭利用的狀況，包括：Laravel網頁應用程式框架在2018年修補的已知漏洞CVE-2018-15133，另一個是這段期間資安日報未報導的漏洞CVE-2023-35082，這個弱點存在行動裝置管理平臺MobileIron Core，以及EPMM。特別的是，關於上述鎖定Laravel的攻擊，我們從美國FBI與CISA近期近期的示警，可以發現是惡意程式Androxgh0st的攻擊行動所為。

還有多家業者發布漏洞修補公告，需要企業採取行動，包括Oracle第1季例行安全更新發布，Atlassian修補Confluence的漏洞，GitLab修補零點擊帳號劫持漏洞，以及Juniper修補防火牆及交換器重大漏洞。

在國內資安消息方面，近日有多家上市櫃公司發布資安事件重大訊息，而且短短一週之內，居然發生三起的情況，格外引人注目。我們整理如下：

（一）上市半導體設備業京鼎精密在1月16日公告，部份資訊系統遭受駭客網路攻擊。

（二）上市印刷電路板廠恩德科技在1月17日公告，部份資訊系統遭受駭客網路攻擊。

（三）上市運動休閒業者柏文健康事業在1月19日公告，說明旗下「健身工廠」會員個資遭駭客竊取。本期資安日報尚未提及，在此補上。

值得關注的是，京鼎精密發生2024年首起上市櫃資安事件，而且狀況相當特別，因為駭客的勒索訊息，還藉由竄改京鼎公司的網站於16日上午公諸於外，行徑非常囂張。

關於健身工廠會員個資遭竊，他們的公告這方面消息的時機有爭議，因為他們載明的事實發生日是去年7月30日，但竟然等到2024年1月才曝光，這顯然違反「應於資安事件發生次一營業日開盤前2小時公告」，而且拖延幾乎長達半年時間。依照先前資料外洩的公司諾貝兒遭到主管機關開罰的經驗，金管會應同樣會對此祭出處分。

另一家同樣在去年11月遭到網路駭客攻擊的雄獅，交通部近期依違反個人資料保護法第27條第1項，開罰200萬元。

還有一項值得警惕的事件，是KKday前員工跳槽對手Klook所涉的外洩營業機密案，最近調查局資安工作站更詳細說明其手法與事發過程，包括利用未修改的預設密碼、不法登入KKday系統等，並起訴涉案3人。

在資安威脅焦點方面，近期鎖定蘋果電腦、Docker主機的惡意軟體，引發研究人員重視。他們的研究對象是3款針對macOS的竊資軟體，包括KeySteal、Atomic Stealer、CherryPie，經過調查分析之後，他們指出這類惡意程式普遍具有繞過作業系統內建XProtect的能力；近期有攻擊者鎖定易受攻擊的Docker主機部署惡意容器，當中使用了網路流量交換軟體9hits盜取流量，相當罕見。

最後，還有兩個涉及GPU與UEFI的漏洞揭露，都是去年夏天已經通報、如今分別有資安業者對外揭露相關細節，並指出問題所在。

例如，被命名為LeftoverLocals的漏洞CVE-2023-4969，影響蘋果、AMD、高通的GPU產品。研究人員重點提醒，如WebGPU的許多GPU框架，存在著未充分隔離記憶體的狀況；UEFI開源參考實現TianoCore EDK II存在9個漏洞，統稱為PixieFAIL，研究人員並指出，其他廠商的UEFI解決方案也受波及，包括Arm、系微（Insyde）、AMI、Phoenix Technologie與微軟。由於廠商們的修補時程未定，不確定是否修補相當棘手。

【1月15日】程式碼儲存庫GitLab的密碼重設機制有弱點而可能被用於帳號挾持攻擊

使用者若是忘記密碼，透過電子郵件來重設是相當常見的做法，但這樣的機制若是不夠嚴謹，很有可能遭到濫用，而成為攻擊者奪取帳號的管道。

例如，近期GitLab修補的CVE-2023-7028，就是這樣的例子。起因是開發團隊在今年5月引入新的機制，不再限制只能使用主要的電子郵件信箱來二次驗證用戶身分，而產生了漏洞。對此，他們也新增額外的測試機制，來檢驗密碼重設的流程是否存在瑕疵，來防範類似弱點再度出現。

【1月16日】駭客竄改半導體設備廠京鼎的網站聲稱竊得5 TB內部資料

臺灣廠商遭遇網路攻擊的情況不時傳出，但最近出現一起資安事故相當特別，駭客竄改該公司的網站，宣稱竊得大量的資料，並揚言若不付錢，將公布所有客戶資料，並讓該公司員工失業。

今日鴻海旗下的半導體設備廠京鼎的網站出現遭到竄改的情況，但究竟是只有網站受到影響，還是公司的IT環境遭到勒索軟體攻擊，仍有待進一步釐清。

【1月17日】逾17萬臺SonicWall防火牆存在無需身分驗證即可癱瘓系統的網頁管理介面漏洞

存在弱點的程式碼一旦重複利用，很有可能造成類似的漏洞不斷出現，駭客可能得以多次挖掘這類弱點，將其用於攻擊。

最近有研究人員針對SonicWall防火牆已有概念性驗證程式的已知漏洞進行調查，結果發現，另一個1年前公開的漏洞因為也採用相同的程式碼，而具有類似的弱點，依此情況來看，其他採用這部分程式碼的功能模組也會曝險，而有可能導致其危害擴大。

【1月18日】多款竊資軟體穿透macOS內建的惡意程式防護機制

最近2、3年竊資軟體（Infostealer）肆虐，駭客從原本針對Windows電腦下手，也將部分目標轉向macOS電腦，針對該作業系統打造的竊資軟體，在過去一年更是不斷出現攻擊行動。

如今有研究人員提出警告，攻擊者鎖定macOS內建的防護功能，企圖避開偵測，而其中1種遭到頻頻闖關成功的就是防惡意軟體機制XProtect，企圖打造其特徵碼無法識別的竊資軟體來隱匿行蹤。

【1月19日】針對安卓電視盒的大規模殭屍網路攻擊也鎖定智慧電視下手

針對缺乏資安防護的連網家電發動攻擊的情況，最近2年不斷傳出，去年9月就傳出一起鎖定安卓電視盒的攻擊行動，最近有研究人員公布新的發現，他們指出其攻擊對象較先前公布的更廣泛。

根據他們的調查，駭客從9年前就開始從事相關攻擊行動，並且不光針對執行安卓作業系統的電視盒，對於搭載這類作業系統的智慧電視、另一種作業系統eCos的電視盒，也是他們下手的標的。