【資安月報】2023年2月

在這一個月的資安月報中，國內有多起資安事故，以及之前事件的後續調查結果公開，成為本月最受關切的焦點事件。

以勒索軟體事件而言，飛宏科技在10日傳出成為LockBit勒索軟體受害者，當日我們檢視了RedPacket security、breachsense兩家資安業者自動爬取暗網資訊的頁面，確實有飛宏列為受害者組織的資訊，到了2月13日（周一）該公司在公開股市觀測站揭露網路資安事件公告，說明資訊部門於第一時間即發現異常，並阻斷對外網路連結，當時評估對公司營運無重大影響。

以百貨業資料外洩事件而言，我們在16日注意到微風向會員發送防詐簡訊並要用戶修改密碼，但未提及資安事件而察覺有異，且當日無法連上微風廣場的網站，在21日進而發現，有人在4日前於駭客論壇BreachForums聲稱竊取了微風百貨內部資料與90萬用戶個資。這次月底回顧本次事件，我們也新整理後續消息，例如，隔天（22日）聯合報、ETtoday新聞雲等媒體跟進報導，指出微風說明近日收到匿名網路勒索信件，當下立即啟動損害機制，內部資安團隊已提高資安防護。在24日經濟部商業司也對此事件發出公告，表示調查小組在23日前往微風集團子公司微風數位時代公司進行行政調查，並要求業者個資防護自評、稽核檢查，釐清事故原因並改善，以及通知會員。

以汽車租賃服務業者資安事件而言，有兩家業者先後傳出會員資料曝險的問題。受關注的是，經公路總局調查後，發現這些提供服務的業者，卻存在基本個資檔案安全維護與措施都不足的情形，且在要求限期改正後，複查仍未達到標準。

首先，是1月底iRent資料庫曝險事件被揭露，公路總局在2月9日發布公告，指出他們已確認該公司未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」採行基本的適當安全措施，且屆期未改正，罰款20萬，並要求2月28日前再提交複查資料。另一起事件，是2月初有人向立委陳情表示發現格上租車也有用戶資料曝險問題，因「GoSmart」App供用戶查詢自己租車單據的連結頁面，竟是公開且未加密保護，月底我們整理此事件時也注意到有新的後續消息，根據中央社指出公路總局在24日的說明，顯示格上汽車租賃公司同樣未盡基本適當安全措施，且屆期未改正，罰款10萬元，並要求3月10日前再提交複查。

另外，還有兩起之前發生的資安事件，在本月揭露了後續的調查結果。包括：華航針對1月中的資料外洩事件，該公司在2月12日於公開股市觀測站發布重大訊息，說明調查後發現電商平臺系統連線異常，有超過5千筆會員資料遭到存取。而在這次月底資安新聞回顧中，我們新發現還有一件去年10月政府資安事故的調查結果出爐，法務部調查局在24日公布偵辦戶役政資料遭竊案的調查結果，證實外洩資料是107年4月以前的戶役政資料，但與戶役政系統原始資料有所出入，續查其他使用戶役政資料或介接機關則因為超過相關系統設備的稽核紀錄留存限制，無法繼續追蹤，但調查局從販售個資不法人士所使用的虛擬通貨錢包地址下手，掌握到該錢包地址為中國籍人士所有。

附帶一提的是，本月還有兩起鎖定臺灣攻擊事件的揭露，同樣格外受到注目。包括：賽門鐵克發現新的惡意軟體Frebniis（Backdoor.Frebniis）被一個未知的攻擊者用於針對臺灣實體的攻擊，該惡意軟體會濫用微軟的IIS中一項功能，在目標系統上去部署後門；另一事件是國內資安服務商中芯數據揭露，今年春節期間臺灣多個單位受到攻擊，疑似APT41中國駭客組織對所為，其手法包含利用合法工具 PsExec連線，透過與135、445埠進行橫向感染。

【資安週報】2023年2月6日到2月10日

這一周有三大漏洞值得優先關注，都發現已有攻擊並利用的情形，首先是檔案傳輸管理系統GoAnywhere被揭露存在RCE的零時差漏洞CVE-2023-0669，IT業者Fortra近日釋出修補，其次是Intel驅動程式CVE-2015-2291漏洞，這起利用老舊漏洞的威脅在1月已曝光，如今也被CISA列入限期修補行列，最後是存在於TerraMaster NAS的CVE-2022-24990漏洞，本周尚未提到可先留意盡速修補。其他漏洞修補方面，包括OpenSSH的CVE-2023-25136與OpenSSL的CVE-2023-0286。

在國內，有兩起資安新聞受到關注，首先是近年轉型電動車充電樁業務的上市公司飛宏，在周四傳出疑似遭勒索病毒的消息，隔日媒體已經報導此事，駭客聲稱已掌握大量企業敏感資訊，當時我們也檢視了2家資安業者自動爬取暗網資訊的頁面，確實有飛宏成為LockBit受害者的資訊，截至11日（周六）上午，該公司尚未在公開股市觀測站發布資安事件重大訊息（補充更新：飛宏在2月13日上午近9時發布網路資安事件公告），此外本周還有英國郵務機關Royal Mail也遭LockBit攻擊的消息；另一事件是繼汽機車共享服務iRent後，格上租車的會員訂單資料被民眾發現可被人任意查詢，逾10萬筆PDF檔訂單文件存放於雲端空間，並無限制存取的權限管控設定。格上租車表示，尚未發現遭異常查詢或下載情形。

在資安威脅態勢上，本土資安業者揭露在農曆新年期間，中國駭客組織APT41又再對臺灣組織發動攻擊，受害單位多數與政府有合作關係；近期安卓惡意軟體TgToxic攻擊增加，正針對臺灣等東南亞用戶；以及標榜避端點防毒及EDR偵測的惡意程式打包工具TrickGate被資安業者揭露。至於資安防護焦點中，有NIST公布針對物聯網與小型電子設備的Lightweight Crypto密碼學競賽結果，將採用Ascon演算法為標準。  

【資安週報】2023年2月13日到2月18日

這一周有5個漏洞遭鎖定利用的狀況需要優先因應，首先是微軟本周發布的產品安全公告中，有三個已遭鎖定利用的零時差漏洞，包括涉及Office的CVE-2023-21715、Windows的CVE-2023-23376、CVE-2023-21823漏洞，以及蘋果修補涉及WebKit的CVE-2023-23529漏洞，還有開源網路監控系統Cacti去年12月修補的CVE-2022-46169漏洞。其他留意的漏洞消息，還包括Adobe、思科、Citrix、Splunk與SAP等業者的產品修補公告，隨著這些業者持續積極修補漏洞，企業在留意這些消息之餘，也應該更積極規畫更新修補排程來主動減少弱點遭利用的可能性。

在資安威脅重點方面，有國外資安業者揭露惡意軟體Frebniis攻擊行動，是鎖定臺灣組織而來，該惡意程式會針對IIS伺服器功能建立後門；以及又有資安業者揭露勒索軟體ESXiArgs攻擊的更多細節，還有殭屍網路Mirai出現新變種V3G4的消息。此外，還在持續發展的對話語言模型ChatGPT如今成為全球大眾焦點，引發許多研究人員示警被濫用的問題，還有智慧財產權等層面的關注。

在資安事件焦點方面，包括Atlassian的第三方供應商遭駭而傳出資料外洩消息，A10 Networks傳出遭勒索軟體Play攻擊而資料外洩，在國內，也有華航在12日周日發布資安事件重大訊息，說明該公司電商平臺系統有5千多會員資料可能外洩。

【資安週報】2023年2月20日到2月24日

近期有三個漏洞遭駭客鎖定利用狀況受關注，首先是IBM於1月通知客戶修補Aspera Faspex的CVE-2022-47986漏洞，到了2月初與2月底，IBM與美國CISA均公布已有漏洞利用情形，而且IBM在17日將該漏洞CVSS評分從8.1提升至9.8分，另外兩個漏洞是Mitel網路電話系統MiVoice Connect的CVE-2022-41223、CVE-2022-40765漏洞。其他漏洞威脅消息，還有微軟一月修補的Windows備份服務漏洞CVE-2023-21752，傳出可能將被鎖定攻擊的情況。

在資安威脅態勢的焦點上，包括有資安業者指出多款WAF可能存在CRLF漏洞，有資安研究人員揭露有攻擊者濫用GitHub Actions繞過自動化2FA達到NPM帳號接管；還有研究人員與資安業者陸續指出駭客正利用當紅的ChatGPT，冒名散布假冒的App與Windows版程式。此外，加密貨幣平臺Coinbase揭露員工帳密遭駭後攻擊者還企圖假冒該公司IT來電要騙取MFA，所幸及早察覺有異。同時也有不少資安業者陸續發布去年資安態勢的報告。

而這一周的發生資安事件，有印度火車訂票系統RailYatri遭駭，大型資料中心GDS Holdings、ST Telemedia Global Data Centres的資料外洩事故，在國內，我們也發現百貨業者微風要會員更換密碼與內部資料出現於駭客論壇的消息，後續國內媒體跟進報導則顯示該業者收到勒索信並啟動損害機制。

2023年1月資安月報

2022年12月資安月報

2022年11月資安月報

2022年10月資安月報

2022年9月資安月報

2022年8月資安月報