【資安週報】2023年12月11日到12月15日

在漏洞相關消息中，這個禮拜最受重視的是以色列自動化控制業者Unitronics的PLC漏洞，因為自11月底開始，美國賓州水利單位的工控系統傳遭駭客劫持的相關消息，持續成為各大資安新聞媒體的焦點，甚至美國佛羅里達州自來水公司、愛爾蘭自來水公司也傳遭攻擊，近期又有更多新消息。對於防守端而言，已祭出更多因應機制，包括Unitronics發布VisiLogic 9.9.00版釋出，將要求變更預設密碼、要求複雜密碼，以及增加保護Vision與Samba控制器的新功能，而且，12月初還有揭露Unitronics的Vision PLC and HMI存在不安全預設密碼漏洞CVE-2023-6448，美國CISA在12月11日更是將此漏洞加入已知漏洞利用清單，是本周資安日報尚未提及，在此補上。

此時也適逢微軟、Adobe等每月例行安全更新釋出，需要大家關注與儘快修補，我們整理如下：
●微軟本月修補30多個漏洞，有4個屬於重大漏洞，同時針對一個8月已公開的AMD漏洞（CVE-2023-20588）修補。
●Adobe本月修補207個漏洞，以網站內容管理平臺Adobe Experience Manager受關注，因為有185個漏洞與之相關。
●研究人員揭露macOS/iOS裝置與多家Linux作業系統存在藍牙鍵盤注入漏洞，目前僅ChromeOS修補。
●Apache基金會修補Java應用框架Struts的RCE漏洞，編號為CVE-2023-50164。

其他可留意的漏洞消息，包括：SAP、開源防火牆系統pfSense，以及WordPress外掛程式Backup Migration的漏洞修補釋出，還有高通、聯發科5G晶片存在5Ghoul漏洞的揭露（其中10個漏洞已公開，4個尚未公開），以及去年Sophos修補CVE-2022-3236漏洞，近日該公司針對EOL產品提供破例修補程式。

在威脅態勢上，近期地下論壇時常傳出兜售我國政府、企業資料的情形，這類消息明顯比過往頻繁，原因很有可能是我國即將舉行的2024總統大選。例如：有賣家在地下論壇BreachForums聲稱兜售中華電信帳務資料，中華電信後續表示查無遭駭，研判是利用欠費查詢功能取得不具個人識別性的帳務資料，還有日前法務部調查局在12月7日示警（附圖），指出有不明人士於暗網販售不明資料，並散布不實網路文章「國人遭監控！暗網驚見高價出售情治機關偵控數據！」，是意圖製造對立衝突的認知作戰。

在國際威脅焦點方面，有4項消息我們認為最值得關切，其中兩件與電信業相關：
（一）關於今年中國駭客組織Volt Typhoon持續鎖定小型路由器攻擊的狀況，有資安業者揭露最新調查，指出該集團正利用殭屍網路KV-botnet，在今年8月、11月擴大鎖定Netgear、思科、居易路由器與Axis的IP網路攝影機等設備入侵。
（二）注意濫用各種OAuth應用程式的自動化攻擊！微軟MSRC警告，有駭客盜用具有OAuth應用程式權限的使用者帳號，接著濫用這些權限來隱藏惡意活動。
（三）多家資安業者聯手指出，駭客組織Sandman不僅鎖定電信業者攻擊，同時與中國駭客互通有無，研究人員推測，這兩組人馬很可能共用惡意程式開發資源。
（四）烏克蘭當地最大電信業者Kyivstar遭大規模網路攻擊，導致其行動通訊與網路服務中斷。

其他可留意的消息，包括，AMD處理器新型態攻擊手法SLAM的揭露，俄羅斯駭客組織Star Blizzard新型態帳密竊盜手法的揭露，語音網釣攻擊BazarCall濫用Google表單的揭露。

在資安防禦態勢上，將生成式AI用於幫助資安工作已蔚為風潮，最近Google更是搶先宣布這方面的技術應用特色，Duet AI in Security Operations功能正式上線。

【12月11日】北韓駭客組織Lazarus利用兩年前的重大漏洞Log4Shell，攻擊VMware桌面虛擬化平臺入侵受害組織

電腦、行動裝置搭配各式藍牙配備，已是相當普遍，但這種裝置配對機制存在弱點的情況，近期有多名研究人員公布相關研究，希望敦促裝置開發者儘速改善這類問題。

最近有研究人員公布新的漏洞CVE-2023-45866，並指出攻擊者可藉此配對「假鍵盤」，從而操作目標裝置，影響macOS、iOS、Linux、安卓作業系統的電腦或行動裝置，值得留意的是，研究人員今年8月通報後，蘋果目前尚未對此漏洞進行修補。

【12月12日】美國航太組織遭到駭客組織AeroBlade鎖定，對其發動兩波攻擊，採用隱匿手法從事網路間諜行動

隨著南北韓的關係越來越緊張，北韓駭客組織的動作頻頻，其中又以駭客組織Lazarus的攻擊行動相當受到研究人員的關注。

例如，在其中一起名為Operation Blacksmith的攻擊行動裡，這些駭客使用了兩種相當罕見的手法，首先，他們在入侵受害組織的管道裡，利用了近期鮮少駭客利用的重大漏洞Log4Shell，再者，則是在打造作案工具的程式語言，他們採用的是D語言，目前幾乎沒有其他駭客以此開發惡意程式。

【12月13日】逾1,400臺開源防火牆系統pfSense存在高風險漏洞，有可能被攻擊者串連，遠端在防火牆上執行任意程式碼

12月12日有許多軟體開發商推出本月的例行更新，而其中相當值得留意的部分，是有關防火牆漏洞的細節揭露。其中，包含了開源防火牆系統pfSense的漏洞，以及Sophos破例提供已屆生命週期終止（EOL）修補程式的情況。

其中，比較值得留意的是pfSense的漏洞，原因是研究人員揭露的3個漏洞可被串連，而有機會讓攻擊者在防火牆上執行任意程式碼。

【12月14日】OAuth應用程式身分驗證流程遭到濫用，駭客將其用於發動挖礦攻擊、商業郵件詐騙、散布大量垃圾郵件

鎖定OAuth身分驗證機制的攻擊行動不時傳出，而這樣的情況也有越來越氾濫的現象，駭客很可能在多種型態的攻擊行動，運用這種身分驗證機制達到目的。

例如，近期微軟揭露針對自家雲端環境進行的OAuth攻擊行動裡，駭客不只建置大量的OAuth應用程式來從事對手中間人攻擊（AiTM），挾持電子郵件信箱來進行下一階段行動，特別的是，也有駭客藉由OAuth挾持Azure用戶帳號，並租用虛擬機器來進行挖礦。

【12月15日】小型路由器成中國駭客組織Volt Typhoon下手目標，駭客植入殭屍網路病毒，入侵受害組織進行間諜行動

半年前美國警示大家要注意中國駭客組織Volt Typhoon的攻擊行動，並指出下一波駭客攻擊的目標不再只是美國，還會擴及亞洲地區的關鍵基礎設施。但究竟駭客如何入侵這些環境？如今有研究人員揭露相關細節。

資安業者Lumen指出，這些駭客也同時運用殭屍網路KV-botnet來從事攻擊行動，其重要的環節便是先對家用路由器、SOHO辦公室防火牆等網路設備下手，再存取受害組織的內部環境。