【資安週報】2023年7月31日到8月4日

這一週的漏洞利用消息，最重要的就是行動裝置管理平臺Ivanti Endpoint Manager Mobile（原名MobileIron Core）的漏洞又有新消息，繼前一周挪威12個政府遭入侵，發現是利用CVE-2023-35078零時差漏洞攻擊，後續查出同一起攻擊還利用了CVE-2023-35081的零時差漏洞。該公司與美國CISA均呼籲用戶應儘速套用修補更新程式。另外，Citrix在6月修補檔案共享系統ShareFile的CVE-2023-24489漏洞，近期發現針對未修補該漏洞系統的攻擊行動。

另一值得企業警惕的消息是，Canon PSIRT發布產品安全公告，指出初始化過程不會清除印表機Wi-Fi連線設定的漏洞問題，建議用戶在淘汰或送修產品前，應清除這方面的資訊。而3個月前ESET也指出企業淘汰的不同品牌路由器設備，存在未徹底銷毀企業網路組態資訊、企業帳密與應用程式資料的情形。

在最新國際威脅焦點方面，有三大消息值得關注，首先是IDOR這類漏洞導致「Web應用程式存取控制濫用」的風險，值得優先關注；其次是微軟今年5月揭露中國駭客組織Volt Typhoon鎖定關島及其他地區的電信系統，近期傳出美國政府有相關後續因應行動的消息；第三是中國駭客APT31鎖定東歐的揭露。

●澳洲ACSC、美國CISA、NSA聯手發布安全公告，呼籲注意不安全直接物件參照（IDOR）這類漏洞，導致「Web應用程序存取控制濫用」的風險，當中說明了相關技術細節與影響，並且提供具體的開發防護建議。

●近期紐約時報指出美國政府官員透露，美國政府正在針對各種軍事防禦系統進行清查，主要就是針對微軟5月揭露的事件而來，同時美國白宮也針對此惡意程式召開一系列會議，討論更多因應方式。

●卡巴斯基揭露中國駭客組織APT31從去年4月開始，針對東歐ICS及關鍵CI的受隔離網路環境發動攻擊，初期藉由植入惡意軟體以遠端存取與偵察，接著散布透過USB裝置入侵隔離網路的工具，最後將收集到的資料回傳至C2伺服器。

其他值得注意的消息，包括蠕蟲程式P2PInfect有新的揭露，不僅會竄改伺服器的OpenSSH設定，還會透過Redis的複寫（replication）功能來達到自我散布；竊資軟體NodeStealer 2.0的攻擊揭露中，新版具有盜取企業的臉書帳號等更多能力，並使用FodHelper UAC繞過的技術。

關於資安防護焦點方面，在國內以AI與後量子的消息受注目。資安院與工研院在7月31日簽訂MOU，預計今年底正式成立「AI產品與系統評測中心」；池安量子資安在8月1日成立量子安全遷移中心，看好相關商機並期望結合學術機構等能量。

【7月31日】Ivanti再度修補行動裝置管理平臺的零時差漏洞，並指出其危險之處在於與另一個漏洞串連使用

上週挪威政府的資訊系統遭到攻擊，並點名駭客鎖定第三方軟體Ivanti Endpoint Manager Mobile的零時差漏洞CVE-2023-35078而來，呼籲所有用戶應儘速套用更新程式修補。但事隔數日，Ivanti再度修補另一個高風險漏洞CVE-2023-35081，並強調在前述的漏洞攻擊行動裡，駭客也同時運用了這個漏洞。是否還有其他可被攻擊濫用的漏洞？有待進一步觀察。

利用Windows搜尋功能網路釣魚攻擊行動，也相當值得留意，有研究人員發現駭客利用Windows搜尋存取遠端伺服器上的惡意檔案，目的是讓使用者誤以為開啟存放於自己電腦的PDF文件，降低戒心而導致電腦被植入木馬程式。

Google威脅情報小組（TAG）針對2022年零時差漏洞公布其觀察的結果，最引人注目的部分，就是點名自家行動裝置作業系統的N-day漏洞現象，因為駭客不需自行尋找零時差漏洞，就能進行這類濫用弱點的攻擊行動。

【8月1日】Google彙整2022年零時差漏洞攻擊態勢，並指出駭客透過已知漏洞找出新漏洞的現象變得更加氾濫

漏洞修補不全、安卓生態圈修補時程漫長，已是長久已來的現象，但這樣的情況去年變得更加嚴重。Google近日在針對2022年零時差漏洞的分析當中，特別提及上述情形，其中，對於漏洞修補不全的而衍生的零時差漏洞，過往僅約占2成，但到了去年一舉增加到4成的比例。研究人員認為，這有兩種情況，一是駭客找到了更多的漏洞變形，另一種就是礙於發布更新程式的時間壓力，產生修補不完整的現象。

針對安卓裝置的惡意軟體攻擊，近期變得更加氾濫，在今天的資安新聞裡，惡意軟體CherryBlos的攻擊行動特別值得留意，因為，該竊資軟體能對受害裝置裡存放的圖片進行搜括，找出使用者拍下的加密貨幣錢包帳密資料、通關密語，再回傳給駭客。

專門鎖定Redis伺服器的惡意軟體P2PInfect攻擊行動，有研究人員公布新的調查結果，並指出該惡意軟體橫向感染的方式，竟是透過Redis的複寫（replication）功能來進行。

【8月2日】美國針對軍事補給相關系統進行清查，中國駭客埋入可能干擾軍事行動的惡意軟體

中國駭客滲透美國政府的情況，在先前有美國政府向微軟通報逾20個組織電子郵件遭竊的情況，最近傳出當局對軍事設施進行調查的消息，原因是他們發現中國駭客2022年部署的惡意軟體，可能會在臺海未來發生戰爭時，防礙美國出兵援助臺灣。美國政府官員認為，這樣的惡意軟體不只影響軍事行動，還有可能波及民間企業及民眾，造成社會恐慌。

專門竊取臉書企業帳號的竊資軟體NodeStealer，其動態也相當值得留意。研究人員發現，有人以Python語言重新改寫，使得這個惡意軟體不僅功能變得更加強大，也更難進行反組譯。

連網設備恢復原廠初始設定，竟然會遺留部分機敏資料而曝險！Canon上週發布資安通告，指出旗下逾200款噴墨印表機在恢復原廠設定之後，Wi-Fi無線網路組態仍留存，而這些資訊有可能被用來入侵家庭或企業的內部網路環境。

【8月4日】駭客利用Salesforce零時差漏洞發動網釣攻擊，目的是竊取企業的臉書帳號

近期駭客挾持企業的臉書帳號的攻擊行動，有不少是透過臉書廣告、打著提供生成式AI機器人應用程式的名義，散布竊資軟體來進行，但最近出現了更為複雜的手法。有人透過雲端CRM平臺Salesforce的漏洞下手，並將釣魚網站架設於臉書臉書內嵌應用程式平臺的網域（Meta已停止提供相關服務）上，從而迴避資安系統的偵測，並騙取受害組織的臉書帳號。

雲端平臺的系統管理工具有可能遭到濫用，而成為駭客的「木馬程式」！研究人員揭露利用AWS EC2系統管理工具System Manager的攻擊手法，攻擊者有可能透過這項工具「管理」其他組織的AWS EC2實體。

已被用於攻擊Citrix NetScaler系統存在的零時差漏洞CVE-2023-3519，有研究人員揭露初步調查結果，他們找到640臺伺服器已被部署了後門，並強調這可能僅是受害範圍的冰山一角。