【資安週報】2024年4月22日到4月26日

這一星期3則漏洞利用消息，有兩起涉及零時差漏洞利用，當中最受關注的是，思科修補了旗下ASA及FTD防火牆的2個零時差漏洞CVE-2024-20353、CVE-2024-20359，原因在於，思科Talos同時公布了調查狀況，指出年初經客戶通報安全性問題，調查後發現當時已有攻擊活動，並是國家級駭客UAT4356（亦稱Storm-1849）所為。

另一事件發生在檔案伺服器軟體CrushFTP，該團隊宣布修補已遭利用的零時差漏洞CVE-2024-4040，有研究人員指出駭客很可能是鎖定政治目標收集情報。

還有一個已知漏洞利用情形，是微軟詳細揭露了俄羅斯駭客組織APT28近年的攻擊手法，當中利用了Windows Print Spooler服務漏洞CVE-2022-38028。因此，近日美國CISA將之列入已知利用漏洞清單。

其他漏洞消息方面，有一則影響全球10億用戶的消息，是市面上常見的中國拼音輸入法被發現存在諸多漏洞。為了幫助這些用戶不受攻擊者監控輸入內容，加拿大公民實驗室已向8家輸入法供應商通報大批漏洞，多家廠商已針對最嚴重的漏洞進行修補，但Vivo、小米卻並未針對通報回覆。

在資安威脅態勢方面，有4則新聞我們認為值得重視，這些攻擊趨勢研究的面向，涵蓋SAP用戶、網頁伺服器被鎖定、CDN快取遭濫用、以及AI的趨勢，我們整理如下：

●SAP用戶注意，有兩家資安業者警告，鎖定SAP旗下應用系統的勒索軟體攻擊行動在2023年大增，不僅攻擊活動比兩年前暴增4倍，SAP的RCE漏洞在黑市的價格也水漲船高，顯示駭客正對此有高度興趣。
●鎖定網頁伺服器已知漏洞並部署Web Shell的攻擊行動被揭露，目的是植入勒索軟體Adhublika，而全球受害數量最多的國家除了美國與印度，臺灣居於第三。
●駭客組織CoralRaider攻擊行動被揭露，研究人員指出對方使用CDN快取伺服器存放惡意程式，這將導致網路防禦系統可能無法對其進行偵測而放行。
●最新一項大學研究報告指出，LLM Agents將能自動利用具CVE編號、已被揭露的One-day漏洞，實測10個LLM的結果顯示，GPT-4成功完成這項工作，再次顯現AI帶來的風險與挑戰。

此外，本期周報也新補上一則AI監管的最新動向，是美國康乃狄克州議會在24日通過了SB 2，若是之後順利發布，SB 2將成為美國第一部監管民營企業開發與部署人工智慧的法案，成為與歐盟AI法案相當的立法。

還有2則值得警惕的攻擊態勢，是關於駭客正鎖定資安管理不善的國防產業，以及鎖定網路邊際裝置來入侵。

●韓國國防承包商傳出遭北韓駭客組織攻擊，導致相關機密資料被竊取，韓國警方提出警告，並指出多個北韓駭客組織利用了這些公司資安管理不善的情況進行滲透。
●Google Cloud發布M-Trends報告，除了談及過去一年攻擊者如何利用AiTM入侵多重驗證保護措施，網路釣魚技術在現代化安全控管機制下的演變，並指出中國駭客逐漸以缺乏EDR系統防護的網路邊際裝置與平臺為目標。

至於其他最新惡意活動的揭露，本星期的焦點還包括：安卓金融木馬SoumniBot、惡意軟體SSLoad、竊資軟體RedLine等，以及駭客組織BlackTech利用新的後門程式Deuterbear的揭露。

在資安事件方面，本星期發生多種類型攻擊事件，涵蓋零時差漏洞攻擊、軟體供應鏈攻擊、關鍵CI攻擊與資料外洩。這4則新聞如下：
●年初Ivanti零時差漏洞有新的受害組織，資安研究機構MITRE近日公布他們用於研究、開發、原型設計的協作網路環境NERVE遭入侵。
●防毒軟體eScan的更新機制竟成派送惡意程式GuptiMiner幫兇，研究人員指出是北韓駭客Kimsuky發動的軟體供應鏈攻擊，透過複雜的中間人攻擊手法，針對大型企業網路環境來部署後門程式。
●美國德州小鎮2起供水系統遭攻擊的事件，導致供水系統出現溢流現象，已手動控制因應，研判俄羅斯駭客組織Sandworm（APT44）所為。
●長榮航空在25日夜間發布資安事件，說明察覺不明人士取得旅客帳號資料並透過惡意IP位址登入網站，發現300多名旅客資料被存取。此外，先前群光遭駭事件這周末又有後續消息，我們在此補上，該公司指出駭客組織新揭露的SpaceX資料非機密資料。

特別的是，還有一起案外案，是北韓雲端伺服器組態不當造成資料外洩，當中資料顯示，疑似美國多家影音平臺動畫製作外包給中國公司，中國公司又外包給北韓動畫公司，導致違反美國政府禁令的狀況曝光。

在防禦態勢上，這一星期有2項新進展，首先，我國數位發展部正式公布國家資通安全研究院（資安院）接手TWCERT/CC，這項消息其實我們在1月初採訪TWCERT/CC得知並揭露，2月也有對此的專訪報導，最近4月24日，數位發展部部長唐鳳與資安院院長何全德不僅正式宣布此事，同時還揭露5大推動策略。

其次，推動IoT開放標準協定FDO的FIDO聯盟，近日在臺舉辦FDO WorkShop活動，該單位認證計畫主管透露，首批通過FDO標準認證的名單將於近1到2月內公布，有4家廠商進度最快，臺灣工業電腦廠東擎科技也包括在內。

【4月22日】資安研究機構MITRE證實遭遇Ivanti零時差漏洞攻擊

一月份Ivanti針對Connect Secure公布兩個零時差漏洞，當時通報此事的資安業者Volexity就表示，這些漏洞自去年底就被中國駭客用於攻擊行動，但迄今鮮少有組織出面證實受害。

但諷刺的是，傳出受害的組織，竟然都是引領全球資安防禦的機構。上個月，美國網路安全暨基礎設施安全局（CISA）傳出遭到攻擊，而到了最近，維護資安防護框架的資安研究機構MITRE，也證實受害。

【4月23日】研究人員揭露新舊作業系統路徑轉換弱點，並指出能被當作rootkit發動攻擊

資安業者SafeBreach指出，Windows作業系統存在名為MagicDot的漏洞，這項弱點與新舊版本作業系統的路徑轉換有關，一旦將其利用，攻擊者有可能將其當作惡意程式運用。

值得留意的是，為維持新舊作業系統相容性，MagicDot微軟並未完全修補，使得這項弱點很可能被拿來挖掘新的攻擊手法。

【4月24日】北韓雲端伺服器傳出組態不當，曝露間接承攬美國多家影音平臺外包動畫製作的情況

伺服器存取未設密碼保護在網路「裸奔」的離譜情況不時傳出，但過往這類事故外界關注的焦點，通常是這些資料曝光造成的危害，如今有一起事故成為國際的政治焦點。

近期有專門研究北韓相關事務的媒體指出，他們發現1臺配置錯誤的雲端儲存伺服器，其內容與動畫製作有關，而且當中存放的資料當中，竟然有多個美國串流服務平臺播放的動畫，以及製作這些數位內容的工作討論。

【4月25日】思科證實防火牆零時差漏洞遭國家級駭客利用，於政府機關植入後門程式

針對思科防火牆而來的攻擊行動近期不斷傳出，先是一個月前有人鎖定提供遠端存取VPN服務（RAVPN）的防火牆設備下手，進行密碼潑灑攻擊，現在傳出有國家級駭客從去年12月開始，對其進行零時差漏洞攻擊。

值得留意的是，這些駭客在攻擊行動半年前就找到這些漏洞，而思科在攻擊發生後的3個月才進行修補，受害情況有待研究人員進一步調查。

【4月26日】駭客鎖定網管人員散布後門程式MadMxShell，意圖取得入侵企業組織的管道

利用Google廣告散布惡意程式的攻擊行動頻傳，但最近有一起散布後門程式MadMxShell攻擊行動，特別引起研究人員的注意。因為，有別於相關攻擊行動主要是針對個人，這起攻擊行動背後恐怕有更大的目的。

這些駭客聲稱提供多種網路管理工具，並希望引誘IT人員上當，進而取得入侵整個組織的管道。