【資安日報】2022年7月18日，近160萬WordPress網站遭到外掛程式漏洞攻擊、多家企業級系統軟體廠商著手修補Retbleed

在上週末到今天的資安新聞裡，幾乎都與漏洞有關。這包含了針對WordPress外掛程式的攻擊行動，還有Intel、AMD處理器的漏洞Retbleed，已有多家企業級的系統軟體廠商已經著手修補。

資安業者揭露專門針對WordPress外掛程式WPBakery Page Builder而來的攻擊行動，駭客鎖定了開發者已不再維護的元件Kaswara下手，利用任意文件上傳漏洞發動攻擊，在10天內已有近160萬個網站遭到漏洞利用嘗試攻擊。

而在處理器漏洞Retbleed的部分，則是在研究人員公布細節後，很快就有企業級的軟體系統廠商著手修補，這些廠商多半為提供虛擬化平臺與Linux作業系統的業者。

【攻擊與威脅】

駭客鎖定近160萬個WordPress網站，攻擊外掛程式WPBakery Page Builder的元件

WordPress外掛程式的漏洞很可能因為開發者不再維護，而成為攻擊者用來對網站下手的管道。資安業者Wordfence針對一起大規模網站攻擊行動提出警告，駭客鎖定WordPress外掛程式WPBakery Page Builder的Kaswara元件下手，利用任意文件上傳漏洞CVE-2021-24284進行攻擊行動。

研究人員自今年7月4日至13日，總共偵測到1,599,852個網站成為攻擊目標，該公司平均一天攔截逾44萬次嘗試攻擊的行動。由於此漏洞CVSS風險評分達到10分，且沒有修補軟體，廠商也不再維護此外掛程式，攻擊者有可能將其用於接管網站，他們呼籲管理者最好移除此外掛程式。

研究人員揭露瀏覽器快取旁路攻擊手法，有可能導致上網用戶身分曝光

國家級駭客試圖運用各式的攻擊手法，企圖辨識網路上的用戶並進行跟蹤，有研究人員發現新的手法，能讓攻擊者將存取網站的使用者進行解析，將其數位生活拼湊起來，確認目標的身分，進行目標式去匿名化（Deanonymization）攻擊。

紐澤西理工學院（NJIT）的研究人員指出，他們發現攻擊者能透過特製的網站來收集使用者瀏覽器的資料，當受害者瀏覽攻擊者的網站時，此網站會在瀏覽器載入網頁的過程中，發出對於社群網站（如：YouTube、Dropbox、推特、臉書、TikTok等）嵌入式資源的跨網站請求，並忽略使用者身分驗證的Cookie，而這些社群網站會依據使用者的身分做出回應。攻擊者藉由上述的跨網站請求獲得的共享資源，就有機會得知受害者是否為他們鎖定的目標。

最後一步，攻擊者會確認共享資源在受害電腦（或行動裝置）上被載入的情形，他們會針對瀏覽器占用處理器快取的旁路通道資源進行比對，來確認此使用者就是他們鎖定的攻擊目標。

研究人員提出警告，這樣的手法很可能會影響政治人物、參與政治活動的人士，以及記者，而且不光能對於時下主流的網頁瀏覽器進行攻擊，還能對洋蔥瀏覽器（Tor Browser）下手。

木馬程式Sality宣稱提供密碼破解功能來感染ICS系統

工業控制系統（ICS）的管理者，很有可能因為需要管控許多設備而可能會忘掉密碼，有人在網路提供能夠破解可程式化邏輯控制器（PLC）或人機介面（HMI）密碼的工具，但也有人藉由提供這個工具的名義，進而在工控環境植入木馬程式。資安業者Dragos發現，有人在數個社群網站上投放廣告，宣稱提供PLC或是HMI的密碼廠解工具，針對的工控設備廠牌涵蓋了Automation Direct、歐姆龍（Omron）、西門子（Siemens）、富士電子（Fuji Electric）、三菱（Mitsubishi）、松下（Panasonic）、LG、Vigor、Pro-Face、Allen Bradley、Weintek，以及ABB等。

研究人員針對其中一個能解鎖Automation Direct系統的軟體進行分析，發現此工具確實能破解密碼，但是是利用工控系統的已知漏洞來進行，而在提供密碼的同時，此工具也暗中在工控設備植入木馬程式Sality。研究人員呼籲工控環境的管理者，在需要重新取得PLC或MHI的密碼時，應該尋求開發廠商協助，而非透過來路不明的軟體。

【漏洞與修補】

多家企業級系統軟體著手修補處理器漏洞Retbleed

上星期研究人員揭露影響Intel與AMD處理器的漏洞Retbleed（CVE-2022-29900、CVE-2022-29901、CVE-2022-28693、CVE-2022-23825），近期有多家企業級系統軟體，著手予以修補。根據資安新聞網站SecurityWeek的報導，虛擬化平臺Citrix Hypervisor、VMware ESXi、Xen都已提供修補程式，Red Hat、SUSE、Ubuntu等Linux作業系統也有相關的資安通報。此外，微軟在最新版Windows修補程式裡，也有對於AMD處理器的Retbleed漏洞著手修補。

IT稽核軟體Netwrix Auditor漏洞恐被駭客用於挾持AD網域

稽核軟體很可能握有高系統權限，而使得此種系統的漏洞引起嚴重的後果。資安業者Bishop Fox發出資安公告指出，他們在IT稽核軟體Netwrix Auditor上找到新的漏洞（尚未取得CVE編號），與不安全的物件反序列化有關，一旦攻擊者加以利用，就有可能在目標伺服器上執行任意命令。

研究人員指出，由於Netwrix Auditor對於指令的執行，是使用NT AUTHORITY\SYSTEM的權限，而使得上述漏洞的危害相當嚴重，除了攻擊者可能將Netwrix伺服器完全破壞，還能進一步挾持受害組織的AD網域。研究人員呼籲，組織應儘速更新Netwrix Auditor至10.5版，來避免此漏洞帶來的資安風險。

微軟Teams的貼圖功能存在漏洞，恐讓攻擊者用於XSS攻擊

協作平臺提供的貼圖功能可讓人更容易表達看法，但這樣的功能也有可能出現漏洞，而成為攻擊者利用的目標。研究人員Numan Turle在微軟Teams的貼圖（Sticker）功能裡，發現了能觸發跨網站指令碼（XSS）的漏洞，起因與微軟採用了舊版JavaScript框架元件Angular有關。研究人員使用HTML程式碼製作惡意iframe，然後透過Teams的貼圖功能傳送後，能夠觸發前述的XSS漏洞。微軟於今年1月6日獲報，並在3月完成修補，研究人員在7月13日公布細節。