【資安週報】2023年2月20日到2月24日

近期有三個漏洞遭駭客鎖定利用狀況受關注，首先是IBM於1月通知客戶修補Aspera Faspex的CVE-2022-47986漏洞，到了2月初與2月底，IBM與美國CISA均公布已有漏洞利用情形，而且IBM在17日將該漏洞CVSS評分從8.1提升至9.8分，另外兩個漏洞是Mitel網路電話系統MiVoice Connect的CVE-2022-41223、CVE-2022-40765漏洞。其他漏洞威脅消息，還有微軟1月修補的Windows備份服務漏洞CVE-2023-21752，傳出可能將被鎖定攻擊的情況。

在資安威脅態勢的焦點上，包括有資安業者指出多款WAF可能存在CRLF漏洞，有資安研究人員揭露有攻擊者濫用GitHub Actions繞過自動化2FA達到NPM帳號接管；還有研究人員與資安業者陸續指出駭客正利用當紅的ChatGPT，冒名散布假冒的App與Windows版程式。此外，應材公布受到主要供應商發生資安事故影響，估下季營收少2.5億美元；加密貨幣平臺Coinbase揭露員工帳密遭駭後攻擊者還企圖假冒該公司IT來電要騙取MFA，所幸及早察覺有異。同時也有不少資安業者陸續發布去年資安態勢的報告。

而這一周的發生資安事件，有印度火車訂票系統RailYatri遭駭，大型資料中心GDS Holdings、ST Telemedia Global Data Centres的資料外洩事故，在國內，我們也發現百貨業者微風要會員更換密碼與內部資料出現於駭客論壇的消息，後續國內媒體跟進報導則顯示該業者收到勒索信並啟動損害機制。

【2月20日】WordPress網站被植入廣告詐欺外掛程式、駭客組織使用13種語言發動商業郵件詐騙攻擊

有人利用50個WordPress網站來進行廣告詐欺攻擊！其共通點是駭客在這些網站植入名為fuser-master的惡意外掛程式，導致使用者在瀏覽網站的時候，該外掛程式元件就會利用另一個在背景運作的瀏覽器視窗偷偷地「瀏覽」廣告，使用者完全不知情遭到利用。

駭客假冒高階主管進行商業郵件詐騙的情況不時有事故傳出，但如今有人也一口氣將詐騙郵件轉換成不同語言的版本，來針對全球各地的企業下手。

曾經使用但已過期的網域名稱，有可能成為攻擊者入侵軟體套件庫的弱點！有資安業者針對特定熱門NPM套件進行研究，並認為這樣的情況並非個案，呼籲開發團隊要提高警覺。

【2月21日】葡萄牙自來水公司傳出遭到勒索軟體LockBit攻擊、加密貨幣平臺Coinbase員工帳密遭駭

又有自來水公司成為駭客鎖定的目標！葡萄牙自來水公司Aguas do Porto在1月底遭到網路攻擊，現在有駭客組織表示是他們的犯行。而針對自來水公司的攻擊行動已有前例──2年前，美國佛州奧德馬爾（Oldsmar）市的淨水廠遭駭，水中的氫氧化鈉濃度差點被調高111倍。

2月初半導體業者MKS Instruments遭到勒索軟體攻擊，當時該公司表示受害規模有待釐清，如今從其他合作廠商的財報揭露當中，間接呈現了損失情況。

駭客鎖定員工下手，企圖存取企業內部環境的情況再度發生。加密貨幣平臺Coinbase揭露該公司員工遭到鎖定的釣魚郵件攻擊，然而，有人已依照指示提供對方所需的帳密資料，結果差點讓駭客得逞。

【2月22日】新加坡與中國的大型資料中心用戶帳密遭竊、殭屍網路MyloBot每天感染逾5萬臺電腦

大型資料中心GDS Holdings、ST Telemedia Global Data Centres傳出自2021年下旬，遭駭客盯上，竊得兩家公司逾2千個使用者帳號。彭博社指出，這樣的資安事故很可能波及蘋果、微軟、高盛、Walmart、阿里巴巴等全球大型企業。

研究人員揭露殭屍網路MyloBot近期的攻擊行動，並指出一天平均有5萬臺電腦遭到感染，且有部分受害電腦難以追查，實際遭到該殭屍網路入侵的電腦可能會更多。

蘋果於1月底推出iOS 16.3、macOS 13.2，但有兩個漏洞最近才公布有關說明。值得留意的是，這些漏洞可破解蘋果對於ForcedEntry漏洞提出的緩解措施，後續影響有待觀察。

【2月23日】研究人員找到WAF可被繞過的盲點、駭客假借提供ChatGPT應用程式的名義散布惡意軟體

有研究人員在為客戶進行展示的過程中，無意間發現了Akamai網頁應用程式防火牆（WAF）的換行字元（CRLF）注入漏洞，而能突破防火牆規則，對網站發動跨網站指令碼（XSS）攻擊。值得留意的是，研究人員認為其他廠牌的WAF也多半存在類似漏洞。

機器學習語言模型ChatGPT正紅，駭客也看上這樣的情況，用來對電腦與手機用戶，散布多種惡意軟體，甚至想要竊取信用卡資料。

上個月微軟修補了Windows備份服務漏洞CVE-2023-21752，如今傳出駭客正在分析概念性驗證程式碼，打算將漏洞用於攻擊行動的情況。

【2月24日】1.5萬個NPM套件含有網釣URL連結、逾4成企業2022下半發現Log4Shell相關攻擊

自動化大量上傳惡意套件的攻擊行動再度出現！最近有人在數個小時上架超過1.5萬個NPM套件，其共通點是包含網釣網站的連結，而且，駭客為了取信受害者，還在這些網站上顯示假的用戶評論。

在2021年底揭露的漏洞Log4Shell，當時就有資安專家認為該漏洞難以修補，而有可能成為駭客偏好的目標，如今有研究報告印證了這樣的推測──去年下半超過4成企業遭到相關漏洞攻擊。

隨著居家工作普及，針對員工下手來取得入侵企業的管道也不時有事故發生。對此，美國國家安全局也提出警告，並發布相關的防護指南。