【資安日報】2023年1月17日，雲端資安業者Datadog金鑰因CircleCI遭駭而曝光、主機管理介面元件CWP漏洞已被用於攻擊行動

DevOps業者CircleCI甫於昨日（1月16日）公布資安事故的調查結果，現在有雲端服務業者證實他們也受到這起事故波及，但初步認定僅有部分使用者有可能曝險。

被用於管理CentOS伺服器的元件Control Web Panel（CWP），在10月底被修補的漏洞CVE-2022-44877近期出現了攻擊行動，使得研究人員呼籲IT人員應儘速套用新版程式。

主機板廠商調整的UEFI配置也有可能造成風險。有研究人員發現微星在一年前更動主機板韌體的預設配置，有可能導致近300款主機板的UEFI安全開機機制失效。

【攻擊與威脅】

雲端資安業者Datadog金鑰因CircleCI遭駭而曝光

1月16日雲端資安業者Datadog發布資安通告，表示他們在1月4日接獲DevOps業者CircleCI的通知，有可能受到正在調查的資安事件波及。Datadog經過調查後，確認其中一個RPM GPG私鑰及密碼儲存在CircleCI，但沒有證據顯示遭到攻擊者濫用的跡象。為求謹慎，Datadog公布受影響的私錀細節，並發布新的RPM套件版本Linux代理程式。

該公司表示，即使攻擊者取得了上述金鑰並製作惡意的RPM套件，還是難以攻擊他們的使用者。此外，該公司亦強調，在Windows、macOS、Debian、Ubuntu等作業系統執行代理程式的用戶，或是採用容器版的代理程式，不受此次資安事故影響。

CentOS主機網頁管理介面元件CWP已於10月修補的漏洞，已出現攻擊行動

資安業者Gais Cyber Security指出，他們向CentOS主機網頁管理介面元件Control Web Panel（CWP）通報的漏洞CVE-2022-44877，自1月3日發布概念性驗證（PoC）攻擊影片，3天後就有駭客存取尚未修補的系統，並掃描網路上含有相同弱點的伺服器。這項漏洞研究人員於2022年7月通報，CWP於10月下旬發布0.9.8.1147版修補。

另一家資安業者CloudSEK對於上述PoC進行分析，並透過物聯網搜尋引擎Shodan，找到逾43萬個可透過網際網路存取的CWP系統。Shadowserver基金會則發現已有相關攻擊行動，駭客利用漏洞來啟動反向Shell，或是在CWP主機上植入Python的pty模組。而對於攻擊行動出現的地區，資安業者GreyNoise發現美國、泰國、荷蘭等地的攻擊行動。

客戶關係管理平臺SugarCRM重大漏洞已被用於攻擊行動

資安業者Censys提出警告，他們自12月30日發現有人流傳針對客戶關係管理平臺SugarCRM發動攻擊的手法，當中利用零時差漏洞CVE-2023-22952，破壞伺服器主機並植入以PHP製作的Web Shell，SugarCRM於1月5日證實此事，並於11日發布12.0.2版和11.0.5版修補漏洞。

Censys表示，截至1月11日，他們在網際網路上發現3,066個SugarCRM系統，其中有354個遭到破壞，又以美國有90臺受害伺服器最多。

加拿大酒品零售商LCBO網站遭駭，駭客側錄信用卡資料

加拿大酒品零售商LCBO於1月11日發布資安通告，表示未經授權的人士在他們的網站上，植入了惡意程式碼，藉此在結帳的過程竊取客戶的資料，他們初步判定1月5日至10日購物的客戶資料可能已經外洩，這些資料包括客戶姓名、電子郵件信箱、送貨地址、信用卡資料，以及LCBO網站帳密。不過，使用行動裝置App或Vintages Shop Online網站購物的客戶不受影響。

資安新聞網站Bleeping Computer發現，駭客在LCBO網站植入的側錄程式碼（Web Skimmer），偽裝成網站分析工具Google Analytics來規避偵測。LCBO已將網站與行動應用程式下線，並著手進行調查。

駭客論壇疑出現臺灣軍情機構資料，10 GB要價15萬美元

根據三立新聞、自由時報等媒體報導，有人在駭客論壇BreachForums上，聲稱握有臺灣軍情單位的機密資料，目前針對一份10 GB檔案開價15萬美元，並表示手上還有更多資料求售。對此，法務部調查局表示正在處理，不便透露細節。

三立新聞引述前情報人員的說法，這些資料疑似與線民有關，包含化名、駐地、任務等基本資料，亦有家庭背景、工作條件、人格特質、政治考核，很可能是確認線民是否適任擔任相關工作的報告，但只要是涉及線民的資料，一旦曝光，後果會很嚴重。

自由時報引述資深軍事迷馬蘭的看法，指出這些資料有可能是中國間諜在臺工作的資料，也有可能還有其他人員或機構遭到滲透。

【漏洞與修補】

微星疑似在韌體更新的過程中調整UEFI安全開機設定而曝險，影響近300款主機板

資安研究員Dawid Potocki指出，微星有超過290款主機板會受到預設的UEFI安全開機設定影響，有可能使得這些電腦執行不安全的作業系統而曝險，且無論是支援Intel或AMD處理器的微星主機板都可能曝險。

研究人員發現，微星在2022年1月18日發布的韌體7C02v3C，更動了主機板預設的安全開機配置，將Image Execution Policy的設定調整為總是執行（Always Execute），在這種情況下，將允許透過任意ROM映像檔、外接式裝置，以及電腦內部裝置開機。他呼籲使用者應調整相關配置為拒絕執行，才能發揮UEFI安全開機的作用。

Chrome瀏覽器漏洞SymStealer恐導致機敏資料曝險

資安業者Imperva針對Google修補的瀏覽器漏洞SymStealer（CVE-2022-3656）揭露相關細節，這項漏洞與符號連結（Symlink）機制有關，曾於2022年10月的Chrome 107、11月的Chrome 108二度修補。

一旦攻擊者利用這項漏洞，就有可能濫用符號連結功能來繞過檔案系統的限制，來對於未經授權的檔案操作。研究人員指出，攻擊者可引誘使用者下載ZIP檔案，內有指向電腦重要檔案或資料夾的符號連結，進而竊取加密貨幣錢包的帳密或是金鑰。

【其他資安新聞】

防毒業者Avast提供「變臉」勒索軟體解密金鑰

惡意PyPI套件攻擊行動Lolipop散布竊密軟體

德國大學遭到勒索軟體Vice Society洩露資料

研究人員發布Zoho重大漏洞的概念性攻擊程式

近期資安日報

【2023年1月16日】 WordPress網站外掛程式存在SQL注入漏洞、網路監控系統Cacti漏洞被用於植入惡意軟體

【2023年1月13日】 SAP修補旗下產品多項重大漏洞、逾百款西門子PLC設備韌體存在漏洞而可能曝險

【2023年1月12日】 惡意軟體Gootkit假冒VLC影音播放器攻擊醫療機構、駭客組織Dark Pink鎖定亞太地區政府與軍事單位