【資安週報】2023年10月23日到10月29日

回顧近期重大漏洞攻擊事故，最受各界矚目的，莫過於思科10月中旬公布的零時差漏洞CVE-2023-20198，駭客將其用於植入後門程式的攻擊行動，但經過一星期的延燒，後續竟出現不合理的劇烈減少的罕見現象，研究人員認為起因是駭客更換新的後門程式，導致原本的後門程式數量減少。

其他資安事故的部分，身分存取管理服務業者Okta客戶技術支援系統遭駭，最令人憂心，因為有非常多的廠商與企業採用，造成廣泛牽連的局面，目前身分存取管理業BeyondTrust、雲端服務業者Cloudare、密碼管理業者 1Password，都表明因這起事故而遭到攻擊。後續效應有待觀察。

電子郵件系統持續遭到駭客組織鎖定已是常態，但針對的平臺也有不同，例如，過往大部分是針對微軟Exchange、開源的Zimbra而來。這週有一套名為Roundcube的網頁郵件系統，俄羅斯駭客組織Winter Vivern、APT28鎖定，對方正在利用未知或已知漏洞從事攻擊行動。

這週也有攻擊隔離網路（Air-Gapped）環境的情況，資安業者揭露鎖定USB安全加密隨身碟的攻擊行動TetrisPhantom，駭客先對位於非隔離網路環境的電腦下手，在連接這種隨身碟時，趁機將惡意程式植入裝置當中，等到用戶將隨身碟帶到受隔離系統使用，會趁機植入並進行竊密。

關於資料外洩的手法，最近有新的話題。駭客不僅透過臉書收集攻擊目標的使用者資料，也會在臉書及Instagram專供執法單位存取的入口網站Police Portal帳密，這種入口網站是在政府機關因應辦案需求，向他們請求用戶的IP位址、電話號碼、裝置資訊等資料所用，後續資料洩露的情況尚不明朗。

在資安防護的措施上，本週有新的動態，例如，美國CISA針對醫療產業推出一站式工具包，提升網路安全。再者，則是Google宣布擴大AI漏洞懸賞的範圍，當中也列入生成式AI。

在國內的資安防護措施上，則是包含跨國網路攻防演練CODE 2023，以及政府專屬短碼簡訊平臺111。這次CODE 2023的攻防標的，選定與民生相關的水資源領域關鍵基礎設施（CI），進行攻防演綀，結果我國參與團隊表現傑出，得到冠軍。

而政府短碼簡訊平臺的部分，則是繼數位發展部推出短網址服務之後，另一項新的防堵假冒政府機關詐騙措施。政府機關透過專屬平臺發送111短碼簡訊，達到只此一家、別無分號的效果，首波內部測試已有中央與地方的政府單位參與，現在將開放更多機關使用。

熱門新聞