【資安週報】2023年2月13日到2月18日

這一周有5個漏洞遭鎖定利用的狀況需要優先因應，首先是微軟本周發布的產品安全公告中，有三個已遭鎖定利用的零時差漏洞，包括涉及Office的CVE-2023-21715、Windows的CVE-2023-23376、CVE-2023-21823漏洞，以及蘋果修補涉及WebKit的CVE-2023-23529漏洞，還有開源網路監控系統Cacti去年12月修補的CVE-2022-46169漏洞。其他留意的漏洞消息，還包括Adobe、思科、Citrix、Splunk與SAP等業者的產品修補公告，隨著這些業者持續積極修補漏洞，企業在留意這些消息之餘，也應該更積極規畫更新修補排程來主動減少弱點遭利用的可能性。

在資安威脅重點方面，有國外資安業者揭露惡意軟體Frebniis攻擊行動，是鎖定臺灣組織而來，該惡意程式會針對IIS伺服器功能建立後門；以及又有資安業者揭露勒索軟體ESXiArgs攻擊的更多細節，還有殭屍網路Mirai出現新變種V3G4的消息。此外，還在持續發展的對話語言模型ChatGPT如今成為全球大眾焦點，引發許多研究人員示警被濫用的問題，還有智慧財產權等層面的關注。

在資安事件焦點方面，包括Atlassian的第三方供應商遭駭而傳出資料外洩消息，A10 Networks傳出遭勒索軟體Play攻擊而資料外洩，在國內，也有華航在12日周日發布資安事件重大訊息，說明該公司電商平臺系統有5千多會員資料可能外洩。

【2月13日】俄羅斯駭客Nobelium發起攻擊行動MagicWeb鎖定AD聯邦服務、逾2成工控系統漏洞不會被修補

因SolarWinds供應鏈攻擊事件惡名昭彰的俄羅斯駭客Nobelium，近期再度發起攻擊行動，這次駭客的目標是受害組織的AD聯邦服務（AD FS），在伺服器上植入後門程式來破壞相關驗證機制。

透過短網址與網路廣告服務濫用來進行網路攻擊並非新鮮事，然而，現在出現同時濫用兩者的手法，最近有研究人員發現濫用短網址與Google的廣告服務Adsense的攻擊，此類惡意活動有越來越多的跡象。

針對工業控制系統（ICS）的漏洞，有資安業者分析了最近3年美國網路安全暨基礎設施安全局（CISA）發出的資安通告，他們呼籲大家注意當中有不少漏洞缺乏修補程式可用，比例高達五分之一。

【2月14日】資安業者Group-IB遭到中國駭客Tonto Team攻擊、美國2022年7萬人因愛情詐騙損失13億美元

又是資安業者遭到APT駭客鎖定的情況！資安業者Group-IB揭露去年遭中國APT駭客組織Tonto Team盯上的事故，並指出他們並非首度遭到這些駭客攻擊。

今天是情人節，美國聯邦貿易委員會、資安業者Sophos皆針對愛情詐騙提出警告，並透露歹徒的行騙手法，研究人員指出，歹徒有意擴大這類詐騙的範圍。

研究人員發現新的PyPI惡意套件攻擊事故，駭客意圖在受害電腦植入惡意瀏覽器擴充套件，Chrome、Edge、Brave、Opera都成為目標。

【2月15日】微軟發布2月份例行修補、俄羅斯駭客Killnet阻礙北約組織救援土耳其地震

昨天微軟發布了2月份的例行修補（Patch Tuesday），該公司本次緩解的漏洞裡，有3個是已出現攻擊行動的零時差漏洞。其中有2個與Windows作業系統有關，另一個出現在Office套件裡的排版軟體Publisher──駭客可能會將此漏洞用於執行VBA巨集。

自烏克蘭戰爭開打，俄羅斯駭客組織Killnet不斷對資助烏克蘭的國家及北約組織出手，發動DDoS攻擊，但如今這些駭客變本加厲，連正在對土耳其大地震進行援助的組織也不放過。

日前有駭客組織宣稱利用MFT檔案共享系統GoAnywhere零時差漏洞CVE-2023-0669發動攻擊，現在也有受害的醫療機構向當地證交所證實遇害，可能導致大量病人資料外洩。

【2月16日】逾60個亞太地區組織在2021年遭駭客組織SideWinder攻擊、SAP發布2月份例行修補

有資安業者公布駭客組織SideWinder在2021年6月發起的攻擊行動，這起攻擊行動為期半年，根據研究人員的統計，至少有60個東南亞組織受害，其中大部分是政府機關。

SAP發布了本月份的例行修補，其中解決了Start Service、BusinessObjects的重大漏洞，這些漏洞有可能影響Start Service的完整性，或是導致BusinessObjects資訊洩露等情況。

Citrix也針對旗下的桌面虛擬化系統及應用程式管理平臺進行修補，其中有部分漏洞能讓攻擊者取得SYSTEM權限，使得CISA提出警告，IT人員應儘速修補。

【2月17日】殭屍網路V3G4針對13個物聯網裝置漏洞而來、臺灣組織IIS伺服器遭到惡意軟體Frebniis鎖定

有新的Mirai殭屍網路V3G4去年下旬出現，該殭屍網路病毒攻擊的裝置類型相當廣，包含了電話交換機系統、視訊監控系統、路由器，以及協作平臺等。研究人員指出，目標系統一旦遭到感染，將會受到駭客擺布。

架設IIS伺服器的臺灣組織要注意了！有研究人員發現專門鎖定這類伺服器而來的攻擊行動，特別的是，駭客利用其中的網頁請求除錯元件FREB來下達命令，而可能讓資安系統難以察覺異狀。

思科、Splunk近日針對旗下產品發布更新，修補多項漏洞。而這兩家修補的漏洞中，也包含了不少第三方元件的修補。

【2月18日】Fortinet修補WAF與網路存取控制系統的重大漏洞、施耐德電機PLC存在可被用於RCE攻擊的漏洞

資安業者Fortinet本週修補了重大漏洞CVE-2022-39952與CVE-2021-42756，這些漏洞分別與該廠牌的網路存取控制系統（NAC）、網頁應用程式防火牆（WAF）有關，共通點是攻擊者皆無需通過身分驗證就能利用。

研究人員揭露施耐德電機PLC的漏洞CVE-2022-45788、CVE-2022-45789，並指出這些漏洞可被串連、利用，而能讓攻擊者遠端執行任意程式碼（RCE）。