【資安日報】2022年2月15日，運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

運動用品業者在網站上發出公告，表示因系統故障，而可能會延遲出貨，但背後原因很可能是因為遭到勒索軟體攻擊。例如，日本大型運動用品業者美津濃（Mizuno）於美國分公司網站上指出，他們出現系統故障的情況，但根據消息人士向資安新聞網站Bleeping Computer透露，該公司就是遭到勒索軟體攻擊，而使得營運受到影響。

在今天的資安新聞裡，有2則漏洞的消息相當值得留意，因為都已被駭客用於攻擊行動。其中一個是電商網站軟體Magento的重大漏洞CVE-2022-24086，CVSS風險層級達到9.8分，使得Adobe呼籲用戶要儘速修補。

第2個則是Chrome瀏覽器電腦版的漏洞CVE-2022-0609，雖然Google沒有透露太多細節，但基於此漏洞已經遭到利用，用戶最好手動更新該瀏覽器至98.0.4758.102版。

【攻擊與威脅】

運動用品業者美津濃傳出將延遲出貨，原因疑似是遭到勒索軟體攻擊

運動用品業者遭到駭客盯上，傳出受到勒索軟體攻擊而影響營運。資安新聞網站Bleeping Computer取得消息人士的說法指出，日本大型運動用品業者美津濃（Mizuno）於2月4日遭到勒索軟體攻擊，導致該公司業務嚴重中斷，電話無法使用，或是延遲出貨的現象。美津濃也在美國網站上發出公告，表明該公司出現系統故障的情況，將可能會導致訂單處理延遲，但除此之外沒有透露進一步的資訊。也有客戶聯繫上客服得知，該公司內部系統被迫關閉，而無法搜尋訂單，或是訂購產品，再者，經銷商疑似無法存取該公司的B2B網站進行採購。截至目前為止，美津濃始終沒有對於此事做出回應，攻擊者身分也仍不明朗。

歐洲大型汽車經銷商成為Hive勒索軟體的受害者

汽車產業近年來也成為勒索軟體攻擊的目標之一。根據新聞網站ZDNet的報導，瑞士大型汽車經銷商Emil Frey，證實於1月11日遭到勒索軟體攻擊，並表示於數日後恢復公司營運。至於攻擊者的身分，該公司也於2月1日，出現於勒索軟體Hive的受害者名單裡。

勒索軟體Vice Society攻擊派遣人力業者Parasol Group，竊得資料疑似於暗網公開

在1月上旬，派遣人力業者Parasol Group疑似遭到網路攻擊，導致其處理工資的IT系統運作中斷，並得到母公司Optionis的證實。而到了2月初，這起事故出現了後續發展。根據新聞網站The Regsiter的報導，勒索軟體駭客Vice Society聲稱是由他們發動相關攻擊，並於2月11日公布部分竊得的資料。該新聞網站取得數名派遣人員的說法指出，他們僅有取得部分1月份的薪資報酬。

克羅埃西亞電信業者傳出資料外洩，20萬用戶恐受波及

又是電信業者資料外洩的事故。克羅埃西亞電信業者A1 Hrvatska近期發出公告，表示他們的用戶資料庫，疑似遭到未經授權的人士存取，大約有10%用戶（約20萬人）受到波及。該公司指出，遭到存取的資料包括用戶姓名、地址，以及電話號碼，至於信用卡與網路帳號的資料，則不受影響。

【漏洞與修補】

電商網站軟體Magento驚傳RCE漏洞

知名電商網站軟體Magento，最近出現新的重大漏洞而值得用戶留意。Adobe甫於2月13日，發布緊急更新，修補Magento（商業版稱為Adobe Commerce）的重大漏洞CVE-2022-24086，CVSS風險層級為9.8分，且已有開始利用該漏洞的攻擊行動，一旦駭客成功利用，可在無須身分驗證的情況下發動RCE攻擊。這項漏洞影響2.3.3版以上的Magento，較舊的版本不受影響。資安業者Sansec指出，雖然他們尚未看到有人能夠成功利用這項漏洞，但應該很快就會出現大規模的掃描行動。

Google緊急修補已被利用的瀏覽器漏洞

駭客利用零時差瀏覽器漏洞的情況，迫使開發者緊急發布軟體更新。Google於2月14日發布資安通告，針對Windows、macOS、Linux版用戶，推出Chrome 98.0.4758.102，本次共計修補11個漏洞，有數項與記憶體釋放的濫用（UAF）有關，其中，最值得留意的是CVE-2022-0609，因為已有相關攻擊行為。Google亦表示將會逐步推送新版Chrome，但由於本次已有漏洞遭到利用的情況，使用者應考慮透過手動更新的方式，取得Chrome 98.0.4758.102。而該漏洞也是Google今年修補的第一個零時差漏洞。

針對可被攻擊者用於規避掃描的弱點，微軟疑似悄悄修補了Windows防毒軟體

資安業者SentinelOne於1月揭露微軟防毒軟體Microsoft Defender的組態漏洞，該漏洞允許一般使用者透過Windows的搜尋功能，就能找到該防毒軟體不會掃描的資料夾，而可能被駭客用來存放惡意軟體以規避偵測。根據資安新聞網站Bleeping Computer的報導，近日Andy Dormann、Antonio Cocomazzi、CISOwithHoodie等資安人員發現，微軟疑似透過Microsoft Defender的情資更新機制，默默地修補此項漏洞。

針對部分已終止支援的NAS設備，威聯通將提供重大安全更新至10月

為了讓客戶有更多時間能夠汰換設備，廠商可能針對部分終止支援（EOL）的產品，破例延長維護安全更新的時間。例如，臺灣NAS業者威聯通（QNAP）於2月14日發出公告，表明針對部分已經終止支援的NAS產品，包含可執行QTS作業系統4.2.6、4.3.3、4.3.6、4.4.1版的款式，將額外提供重大漏洞與嚴重漏洞的安全更新至2022年10月。不過，該廠商還是呼籲，用戶最好不要將這些設備直接曝露於網際網路，以免攻擊者針對尚未修補的漏洞下手。

【資安產業動態】

思科擬開價200億美元買下大數據分析業者Splunk

近期大型資安業者併購動作頻頻。根據華爾街日報（WSJ）、路透社（Ruters）等多家新聞媒體於2月12日的報導指出，思科疑似打算以200億美元的價碼，購買大數據分析業者Splunk，此消息傳出後，Splunk股價大漲17%，最高達到126美元。消息人士透露，這筆交易雙方甫提出討論，尚未論及更進一步的細節。