【資安日報】2022年10月19日，Apache修補Commons Text重大漏洞、滲透測試工具Cobalt Strike出現重大RCE漏洞

Apache針對旗下的程式庫Commons Text，在9月底修補重大漏洞CVE-2022-42889，並於近日提出警告。這個漏洞引起不少研究人員高度關注，但原因為何？有資安專家指出，由於有許多Java專案都採用這個程式庫，嚴重程度很可能直逼Log4Shell。

滲透測試工具Cobalt Strike近日發布更新，原因是修補一項9月下旬修補不全引發的RCE漏洞CVE-2022-42948。軟體開發商表示，這項漏洞涉及該工具所使用的框架。

【攻擊與威脅】

伊恩颶風災情慘重，美國政府救濟金發放被駭客盯上，駭客透過即時通訊討論如何冒領的內容曝光

伊恩颶風重創美國佛羅里達州，該國政府對此提供民眾救濟金，但傳出有人意圖詐領的現象。資安業者Cofense發現，多個駭客WhatsApp群組流傳申請災害補助的資訊，內容包含在DisasterAssistance.gov網站填寫表格的螢幕截圖，但其實相關的對話，都是駭客之間交流如何向聯邦緊急事務管理署（FEMA）詐領救濟金，過程中他們會填寫竊得或買來的社會安全碼（SSN）來提出申請。研究人員指出，這些企圖詐領救助金的人士很可能都來自奈及利亞，並向FEMA通報。

郵件安全業者Inky、SlashNext也發現針對佛羅里達州民眾的釣魚郵件攻擊，並研判目標是為了騙取個資，而有可能被用於冒領政府補助。

需要就學貸款的美國學生遭網路釣魚攻擊鎖定

美國針對學生推出聯邦學生援助計畫（Federal Student Aid）並於近日開放申請，美國聯邦調查局提出警告，駭客也在此同時盯上這些想要申請優惠貸款的學生──他們會設置樣貌雷同的詐騙網站，並以釣魚郵件引誘人們上鉤，進行竊取受害者的資料，或是巧立名目收取各式費用。

Microsoft 365的訊息加密功能可能會洩漏結構性資訊

資安業者WithSecure提出警告，微軟Office 365提供的訊息加密（OME）機制，因使用電子密碼本（ECB）的保護模式不夠安全，有可能洩漏關鍵資訊。研究人員強調，利用此漏洞不需要知道加密金鑰，所以，就連自帶金鑰或是類似的加密金鑰保護措施，都無法緩解這個問題。然而，微軟認為這不算是漏洞，所以不會變更程式碼，也不會發布CVE漏洞公告。為此，研究人員呼籲用戶應避免使用OME。

【攻擊與威脅】

出現影響程度直逼Log4Shell的漏洞！Apache修補Commons Text重大漏洞CVE-2022-42889

Apache軟體基金會（ASF）於9月底發布字串演算法程式庫Commons Text 1.10.0，修補重大漏洞CVE-2022-42889，其CVSS風險評分達到9.8分，影響1.5至1.9版Commons Text，起因是該軟體執行變量差值（interpolation）採用的預設參數不安全。最近該基金會發布資安公告呼籲用戶儘速更新，美國國家標準暨技術研究院（NIST）也提出相關警告。

由於該程式庫在Maven Central套件庫約有2,558個專案採用，資安專家Kevin Beaumont認為，這樣的漏洞很有可能引發類似Log4Shell的效應。資安業者GreyNoise表示，此漏洞已有概念性驗證（PoC）攻擊程式出現。

滲透測試工具Cobalt Strike出現重大RCE漏洞，起因是修補不全造成

軟體開發商HelpSystems發出公告，他們針對滲透測試工具Cobalt Strike的漏洞CVE-2022-42948，發布外部修補（out-of-band patch），這項漏洞只影響4.7.1版Cobalt Strike。

起因是該公司於9月20日發布的更新程式不完整，原本是要修補跨網站程式碼（XSS）漏洞CVE-2022-39197，卻被IBM的研究人員發現，駭客可在特定情況下，透過開發商用於設計使用者操作介面的Java Swing框架，來觸發遠端程式碼執行攻擊。

【資安防禦措施】

美國政府提供紅隊分析工具RedEye

美國網路安全及基礎設施安全局（CISA）與美國能源部太平洋西北國家實驗室（CNNL）聯手，開發紅隊分析工具RedEye，並透過GitHub以開放原始碼的方式提供。此為互動式分析工具，可用來視覺化及匯報紅隊的命令及控制活動，讓操作者可快速存取複雜的資料，評估緩解策略，最終促進有效的決策，且只需少數的人為介入就能達成目的。