【資安日報】2022年11月2日，Dropbox證實130個GitHub儲存庫遭竊、Azure Cosmos資料庫被發現存在身分驗證漏洞

駭客鎖定開發者盜取GitHub帳號的手法，9月下旬傳出有人假借CI/CD平臺CircleCI的名義發動網釣攻擊，如今有大型網路公司受害──雲端檔案存取服務業者Dropbox遭到相關攻擊，駭客成功竊得130個GitHub儲存庫資料。

資安業者揭露Azure Cosmos資料庫的身分驗證漏洞CosMiss，一旦遭到利用，攻擊者就有可能用於執行遠端命令（RCE），微軟獲報後已著手修補。

2014年因HeartBleed漏洞而嚴重影響IT業界的開源程式庫OpenSSL，於10月底突然預告要修補一項重大漏洞，但在新版本推出後僅修補了高風險漏洞。開發團隊表示是因為原本認定的重大漏洞實際影響有限，而將其改列高風險等級。

【攻擊與威脅】

雲端檔案存取服務業者Dropbox傳出130個GitHub儲存庫外洩事故，起因是員工遭到網釣攻擊

駭客鎖定企業軟體開發部門下手的情況，近期有人假冒持續整合與交付平臺CircleCI的名義發動攻擊，竊取GitHub帳密資料，這樣的攻擊行動如今傳出有大型線上服務業者受害。

雲端檔案存取服務業者Dropbox於11月1日發出公告，表示他們遭到網釣攻擊，導致130個GitHub儲存庫被入侵。這些駭客假冒CircleCI向該公司員工發動攻擊，約於10月初就有員工收到相關郵件，一旦員工依照指示，就會被導向冒牌CircleCI登入網頁。攻擊者藉此取得部分員工的帳密，進而存取Dropbox其中一個GitHub據點，複製130個儲存庫，其內容包含該公司修改的第三方程式庫、資安團隊工具，以及數千名員工、客戶、供應商的姓名與電子郵件信箱，但不含Dropbox用戶端程式或是基礎設施的程式碼。

GitHub於10月13日察覺異狀，並於隔日通報Dropbox。值得留意的是，Dropbox已導入專屬的OTP密碼產生器裝置，仍無法倖免於難，該公司擬規畫基於FIDO的WebAuthn機制來防堵相關攻擊。

中國駭客APT10鎖定日本組織，以提供防毒軟體名義散布惡意軟體Lodeinfo

資安業者卡巴斯基揭露中國駭客APT10（亦稱Cicada）鎖定日本組織的攻擊行動，這些駭客自今年3月，利用魚叉式網路釣魚郵件發動攻擊，郵件挾帶了RAR自解壓縮檔案，企圖濫用防毒軟體K7Security Suite的元件，來載入惡意DLL程式庫K7SysMn1.dll，研究人員指出，由於此惡意DLL檔案由防毒軟體主程式側載（Side-loading），而使得電腦裡的防毒軟體可能不會將其視為有害，該DLL檔案執行後將會藉由XOR金鑰，解碼名為Lodeinfo的Shell Code。

此外，研究人員於今年6月發現另一種攻擊手法，駭客使用惡意Word檔案並引誘受害者啟用巨集，然後透過名為Downiissa的Shell Code部署Lodeinfo。

陸軍將考題放上網路，疑將自主研發武器「蜂眼雷達」參數外洩

國防單位為招考相關人員而在網路上提供題庫，竟不慎將自主研發武器的細節納入，而使得這類機密隨之曝險。民眾黨立法委員邱臣遠於11月1日質詢國防部長邱國正時指出，他們發現國防部陸軍砲兵指揮部於10月27日，在網站上公布的111年、110年雇員教考測驗試題當中，提及我國自主研發的防空偵查巡弋武器「蜂眼雷達」多項機密參數，包含了雷達角度、搜索範圍、距離參數等性能資料，一旦遭中國利用，恐導致此款武器遭到反制。

對此，邱國正坦承確有此事，蜂眼雷達的參數公開，是因為招考的相關人員需具備相關學能，陸軍已下架相關資料。

【漏洞與修補】

Azure Cosmos資料庫被發現存在身分驗證漏洞，可被用於發動RCE攻擊

資安業者Orca Security揭露Azure Cosmos資料庫的漏洞CosMiss，該漏洞涉及該服務所採用的Jupyter Notebook元件，只要攻擊者得知Notebook Workspace的UUID，就有機會取得Notebook的完整權限，進而發動遠端命令執行（RCE）攻擊。

研究人員於10月3日通報並得到證實，微軟於10月5日修補完成。針對此漏洞的影響範圍，微軟表示，僅有啟用Jupyter Notebook元件的用戶才會受到影響，他們估計99.8%的Azure Cosmos客戶沒有遭到波及，該漏洞並未出現遭到利用的跡象。

開源加密程式庫OpenSSL釋出3.0.7版，修補2個高風險漏洞

開源加密程式庫OpenSSL的開發團隊日前預告，將於11月1日發布3.0.7版並修補重大漏洞。該版本OpenSSL如期推出，但該團隊修補的漏洞當中，並未包含先前預告提及的重大漏洞，僅有高風險漏洞CVE-2022-3602、CVE-2022-3786。

對此，OpenSSL提出說明──CVE-2022-3602就是原本他們認為的重大等級漏洞。此為任意4位元組的記憶體堆疊溢位漏洞，有可能被用於RCE攻擊，但在許多組織投入相關測試後發現，部分Linux作業系統上不會觸發漏洞，使得該團隊決定調降CVE-2022-3602的風險等級。

三星應用程式市集漏洞恐被用於安裝惡意程式

手機應用程式市集App一旦出現漏洞，有可能成為駭客植入惡意程式的管道！漏洞懸賞社群SSD Secure Disclosure指出，三星應用市集Galaxy Store存在漏洞，可被攻擊者用來在手機上部署惡意程式，進而執行遠端命令發動攻擊，該漏洞存在於4.5.32.4版App。

此漏洞與Galaxy Store處理深層連結（Deeplink）有關，該應用程式並未在使用者存取深層連結網址的時候執行相關檢查，導致攻擊者可在Galaxy Store的Webview元件上執行JavaScript程式碼，進行跨網站指令碼（XSS）攻擊。三星獲報後已發布修補程式，並推送至所有該廠牌的裝置。

【資安防禦措施】

美國為軟體供應商提出供應鏈安全指南

美國國安局（NSA）、網路安全及基礎設施安全局（CISA）、國家情報總監辦公室（ODNI）於10月31日聯手，發布保護軟體供應鏈的實作指南，內容總共有40頁，提及檢查軟體的安全性、保護程式碼、驗證軟體的完整性、如何開發安全的軟體，以及如何辨識、分析與緩解安全漏洞的說明。此文件奠基於NSA及CISA主導的長期安全框架（Enduring Security Framework，ESF），此框架除針對供應商，亦打算對開發者及客戶提供相關建議。

【資安產業動態】

微軟為驗證碼產生器加入防範多因素驗證疲勞的功能

雙因素驗證（MFA）雖強化了密碼安全，近年來卻衍生出MFA疲勞攻擊（MFA fatigue）的情況。對此，有驗證碼產生器開發商嘗試提出對策。微軟於10月25日宣布，為防堵上述駭客疲勞轟炸的情況，他們計畫在驗證碼產生器Microsoft Authenticator上，加入號碼比對（number matching）的新功能，一旦啟用，日後使用者在收到核淮請求通知時，將必須輸入登入網頁上顯示的數字，這麼做的目的是減少使用者誤觸許可的按鈕。這項號碼比對機制目前已可用在政府雲Azure Government的登入，並預計於明年2月28日成為預設啟用的功能。

【其他資安新聞】

惡意軟體假借開源圖片編輯工具GIMP名義，透過Google廣告散布

惡意安卓App上架Google Play市集，已被下載逾百萬次

近期資安日報

【2022年11月1日】資料破壞軟體Azov Ransomware抗議西方國家對抗俄羅斯不力、澳洲國防部傳出資料外洩

【2022年10月31日】德國銅供應商Aurubis遭到網路攻擊、GitHub出現可利用重新命名來挾持儲存庫的漏洞