【資安日報】2022年4月12日，Fox因配置不當導致1300萬敏感記錄無密碼可存取，烏克蘭警告當心騙取Telegram帳戶的釣魚連結

美國福斯新聞的資料庫因權限設置不當，再次喚起企業組織對於配置不當問題的重視。烏克蘭戰爭持續，雙方引發的網路攻擊也不斷，如今又出現針對Telegram烏克蘭用戶的釣魚連結，使烏克蘭國安單位發出警告。勒索軟體Conti的危害仍不斷，美國汽車工具製造商Snap-on現也揭露資料外洩事故。

此外，金融木馬方面也有新威脅出現，一種名為Fakecalls的金融木馬將可攔截用戶撥給銀行的電話，偷偷改為撥給網路犯罪分子或播放預先錄製的偽客服語音。

而在漏洞修補方面，去年底美國CISA推出「已知成功利用漏洞目錄」（Known Exploited Vulnerabilities Catalog），而CISA於4月11日發布更新，指出今年3月揭露的WatchGuard漏洞，以及近期微軟、Linux的漏洞，以及威聯通的漏洞，已是企業組織優先修補重點。

至於國內方面，行易公司嘸蝦米官方網站上近日了發布重大安全快訊，指出遭不明人士屢次嘗試入侵，已暫時關閉所有會員服務。

【攻擊與威脅】

美國福斯新聞因配置錯誤，導致1300萬條敏感記錄無保護的讓外部都可存取

又發生因配置不當造成企業機敏資料曝險的事件，再次喚起企業對於錯誤配置問題的重視。專門提供架站服務的Website Planet近日揭發，福斯新聞頻道（Fox News Channel）公司的資料庫曝光於網際網路，不需密碼就能存取，而該資料庫裡面存放了1300萬條的記錄，包含700多封內部郵件，並有許多資訊連結到FOX使用的ThePlatform線上影音管理平臺，以及內容管理系統的資料，包含的用戶ID、事件記錄、主機名稱、IP位址、介面與裝置等，共58.03 GB。Fox收到研究人員通報後，已經採取因應行動，並調查是否有未經授權存取。

烏克蘭國安部門警告新一波網路攻擊鎖定Telegram用戶，目的是騙取帳號權限

俄羅斯軍隊進入烏克蘭已一個月，加密通訊軟體Telegram在這段期間成為烏克蘭民眾聯繫的重要管道之一，烏克蘭總統澤倫斯基也時常在Telegram發布消息安定民心，不過，烏克蘭技術安全與情報部門警告，近日出現新一波網路攻擊，目標是獲取用戶Telegram帳戶的存取權限。根據Hacker News報導，烏克蘭國家特殊通訊暨資訊保護局（SSSCIP）在警告中表示，網路攻擊者利用偽冒的Telegram網站，發送帶有惡意連結的訊息。而根據當局公布的圖片顯示，該訊息假借的名義是，提醒用戶發現未經授權的裝置登入，該裝置IP位址位於俄羅斯，藉此騙取用戶的帳密，並可能包含簡訊OTP驗證碼。這樣的攻擊目前研判是UAC-0094駭客組織所為。

美國汽車工具製造商Snap-on遭Conti勒索軟體攻擊

美國汽車工具製造商Snap-on在4月7日於官方網站發布聲明，說明近期系統中斷為資安事件，他們是在3月初於部分IT系統環境偵測到異常，因此關閉了所有系統。根據Bleeping Computer報導指出，這起事件該公司已通知加州總檢察長辦公室，相關資料外洩通知內容已經披露，當中說明調查結果，攻擊者是在2022年3月1日至3日間，竊取了員工個資與加盟商資料。儘管Snap-on並未對這起攻擊提供太多資訊，但Bleepcomputer表示，3月時已有威脅情報研究員Ido Cohen指出，Conti勒索軟體宣稱攻擊了Snap-on，並開始公布攻擊期間所竊取的1GB資料，不過，後續這批外洩資料已經不顯示於Conti的資料外洩網站，研究人員研判已支付贖金。目前，Snap-on並未對此做出回應。

出現可攔截通話並偽冒銀行電話語音的金融木馬

資安業者卡巴斯基在4月11日公布一項研究，指出去年出現了一種名為Fakecalls的金融木馬，除了具有間諜功能之外，特別的是，還可以偽裝成銀行員工與受害者交談。卡巴斯基指出，Fakecalls曾假冒韓國KB國民銀行與韓國純網銀Kakao銀行的App，一旦使用者安裝，將請求包括聯絡人、麥克風、攝影鏡頭、地理位址，以及呼叫處理（call handling）等權限，若是用戶撥打銀行的電話，該木馬將會悄悄斷開通話，同時啟動假的通話顯示螢幕，並呈現真的銀行電話號碼，而在攔截通話當下，Fakecalls有兩種模式，一是讓受害者與網路犯罪分子直接通話，另一是播放預錄的語音，也就是模仿銀行的語音查詢內容。

美國CISA再要求聯邦政府優先修補8項漏洞，包含WatchGuard與微軟已遭成功利用的漏洞

在4月11日，美國網路安全及基礎設施安全局（CISA）更新「已知成功利用漏洞目錄」，此工具的目的是要求聯邦機構，在所有已知漏洞中，對於遭駭客成功利用的漏洞需優先更新修補，同時也建議其他民間企業組織採取行動，此目錄清單自去年11月3日提出，CISA正持續更新中（上次更新是在5天前），而在4月11日的更新內容，再增加8個漏洞，要求聯邦機構需在5月2日完成修補。包括：
-今年3月揭露的WatchGuard防火牆產品漏洞CVE-2022-23176；
-今年3月揭露的Google Pixel手機漏洞CVE-2021-39793；
-今年1月揭露的Linux核心漏洞CVE-2021-22600；
-去年11月揭露的微軟Windows AD漏洞CVE-2021-42278與CVE-2021-42287；
-去年5月揭露的Checkbox Survey漏洞CVE-2021-27852；
-去年4月揭露的威聯通NAS設備漏洞CVE-2020-2509；
-應用程式開發業者Telerik的UI for ASP.NET AJAX漏洞CVE-2017-11317

在DevOps界知名的Atlassian雲端服務斷線7天，至今仍未完全恢復

近日發生一起有可能是SaaS服務斷線最久的事故，澳洲軟體公司Atlassian的雲端服務從4月5日斷線，目前僅Jira Product Discovery、Jira Align、Trello、Bitbucket這4項服務正常運作，但軟體缺陷追蹤管理系統的Jira Software、Jira Work Management，以及團隊協作平臺Confluence已7日仍未恢復，該公司僅透露是某個執行維護的script出問題，造成小部分網站意外被關閉。後續，該公司的公告指出，這些受影響的用戶可能還要再等兩周，12日又再表示正加快恢復速度，受影響用戶的40%功能已恢復。

「嘸蝦米輸入法」官方公告網站屢遭攻擊，暫時關閉會員服務

打造嘸蝦米輸入法的行易公司近日發布公告，指出官方網站屢遭不明人士嘗試入侵，為了保護用戶資料安全，現已暫時關閉所有會員服務。對於有重新下載需求的用戶，該公司建議可先利用試用版本。行易公司說明，在相關單位調查完成後，將盡快恢復提供服務。由於揭露的資訊並不多，到底實際情況如何值得持續關注。

【漏洞與修補】

開源內容管理平臺Directus修補可允許文件任意執行JS的重大漏洞

在4月11日，Synopsys揭露開源內容管理系統Directus存在CVE-2022-24814漏洞，這是一個儲存型XSS漏洞，可導致Directus管理者應用程式中的帳戶洩漏，影響Directus v9.6.0與之前的版本。Directus在收到通報後，已於3月18日發布新版修補。

【資安防禦措施】

OpenSSH 9.0開始採用後量子密碼，因應日後量子破密威脅

儘管後量子密碼標準尚未完全揭曉，但已是未來資安防護趨勢，現在市場上就有業者或組織積極著手因應，日前才有IBM表示其大型主機z16上將內建傳統與新世代的簽章，新採用網格密碼學的加密演算法，最近OpenSSH 9.0版釋出，除了將SCP的底層換掉改用SFTP，並且新採用基於網格密碼學的NTRU Prime，加上傳統橢圓曲線X25519金鑰交換方法。

微軟新推Autopatch服務，Windows Enterprise E3以上企業用戶將於7月可免費使用

面對安全漏洞修補問題，如何有效或更好地去確保更新，企業可以關注未來微軟一項Autopatch服務的新服務。為確保企業Windows 10/11持續安裝更新，近日微軟公布將推出Windows與Office軟體的Autopatch服務，簡單說這是一項託管服務（Managed Service），讓企業面對Patch Tuesday，可以只是另一個尋常的星期二。根據微軟說明，只要是Windows Enterprise E3以上訂閱方案的用戶，都可免費使用，預計於今年7月上線。在運作上，主要分4階段來部署，針對安全、韌體或必要功能的更新，腳步會相對快速。

【資安產業動態】

私募基金Thoma Bravo以69億美元收購身分安全管理業者SailPoint

身份識別存取管理市場持續受看好，在4月11日身分安全管理資安業者SailPoint宣布，已與私募股權基金Thoma Bravo達成併購協議，將以每股65.26美元的價格出售，總值69億美元。對此，Thoma Bravo的經營合夥人Seth Boro表示，混合工作型態在現今大型企業中是越來越普遍，他們也看好SailPoint在此領域的能量，並認為其角色將更加吃重。而在併購之後，SailPoint將成為私人公司。

HelpSystems併購資安培訓平臺業者Terranova Security

美國IT管理軟體業者HelpSystem在4月9日宣布，將併購資安意識培訓平臺業者Terranova Security，期望能補強該公司的Clearswift、Agari、PhishLabs電子郵件安全產品。目前Terranova Security推出的資安意識培訓平臺，已支援40多國的語系，微軟也與該公司合作主辦Gone Phishing Tournament活動，運用現實世界的網路釣魚威脅的電子郵件，測試員工資安意識。