【資安週報】2024年1月8日到1月12日

2024年才剛開始沒多久，已有相當多的漏洞消息需要留意，包括零時差漏洞攻擊、已知漏洞遭鎖定利用，以及漏洞修補等不同面向：

（一）這星期又有駭客發動零時差漏洞攻擊。此次被鎖定的目標，是Ivanti的VPN產品Ivanti Connect Secure，以及網路安全存取產品Ivanti Policy Secure，當中2個零時差漏洞已被成功利用，分別是CVE-2024-21887與CVE-2023-46805，有資安業者研判是中國國家支持的駭客組織所為。
（二）我們看到美國CISA公布的新消息指出，有多個去年已知漏洞近期開始發現遭鎖定利用。包括：Adobe ColdFusion的兩個漏洞（CVE-2023-38203、CVE-2023-29300），Apache Superset的漏洞（CVE-2023-27524），蘋果多款產品的漏洞（CVE-2023-41990），Joomla的漏洞（CVE-2023-23752），微軟SharePoint Server的漏洞（CVE-2023-29357），除此之外，還有D-Link DSL-2750B的2016年老舊漏洞（CVE-2016-20017），先前的資安日報尚未提及，在此補上。。
（三）適逢微軟等多家廠商的每月例行安全性更新釋出，需要大家關注相關消息，並且儘快著手修補。例如：微軟本月修補49個安全漏洞，當中有兩個是重大等級。還有其他漏洞修補消息，包括：臺灣NAS廠商威聯通針對QTS等多項產品的修補，思科針對Unity Connection重大漏洞修補，Bosch智慧扳手（氣動扳手）也存在一系列漏洞。
另外，去年5月Apache基金會雖然修補RocketMQ重大漏洞CVE-2023-33246，但近期有開發團隊的成員指出，這項弱點尚未得到完整修復，後續修補動向需密切關注。

在資安威脅態勢上，勒索軟體攻擊仍是關注重點，SMTP走私手法與關鍵基礎與電信受害情形也引起我們的關注，我們整理相關消息如下。
●勒索軟體Akira的危害在12月增加，引起芬蘭國家網路安全中心（NCSC-FI）示警，不僅針對已知路由器漏洞攻擊，並針對儲存資料的NAS系統下手。
●微軟SQL Server用戶注意！勒索軟體Mimic正發起鎖定此系統的攻擊行動，對方的目標是曝露於網際網路的SQL Server，其手法包含濫用PowerShell指令碼，並將深度混淆處理的Cobalt Strike酬載注入Windows內建的處理程序SndVol.exe。
●新型態SMTP走私（SMTP Smuggling）攻擊手法，有人提出具體分析，問題在於SMTP伺服器的進出流程中，處理資料結尾序列不一致，導致攻擊者可能偷渡SMTP命令。
●在關鍵基礎設施與電信領域方面，相關業者也要留意，包括荷蘭IT業者與電信公司遭滲透的揭露，以及木馬程式AsyncRAT鎖定美國關鍵基礎設施的揭露。其他可留意的惡意程式動向，包括FBot鎖定雲端及SaaS平臺，以及後門程式SpectralBlur鎖定Mac電腦設備。

另一個要注意的資安威脅，在於企業社群平臺的帳號安全問題。繼日前資安業者Mandiant的Ｘ帳號被盜用後，遭張貼加密貨幣詐騙活動，如今有更多事件登上新聞版面，甚至美國證券交易委員會的X帳號都遭盜用，被假冒其名義公布宣稱比特幣ETF商品核准上市的消息。隔日，美國SEC才正式宣布，批准11檔比特幣現貨ETF交易。其他被盜的X企業帳號還包括：區塊鏈資安業者CertiK、網路設備業者Netgear、現代汽車中東及非洲的帳號。由於過往多是名人帳號遭駭，但近期事件集中發生在X平臺，並且都是企業組織官方帳號被盜，是否有不尋常的新手法出現，需要持續追蹤。

【1月8日】分散式訊息串流資料平臺Apache RocketMQ存在修補不全的重大漏洞

近期Apache基金會維護的軟體出現漏洞修補不全的情況，ERP系統OfBiz預先身分驗證RCE漏洞CVE-2023-49070就是一例，為此而衍生另一個身分驗證繞過漏洞CVE-2023-51467，由於有不少知名軟體將其整合到系統當中，若是漏洞遭到利用，影響可能相關廣泛。

而最近該基金會維護的分散式訊息串流資料平臺RocketMQ，也出現類似的情形。開發團隊發現在2023年5月修補的重大漏洞，被查出有修補不足的狀況，他們再度提供新版軟體予以修補。

【1月9日】區塊鏈資安業者的X帳號驚傳遭駭並假借帳戶安全的名義散布惡意軟體

上週出現資安業者Mandiant的X（推特）帳號遭駭的事故，駭客得逞後將其帳號改名，並聲稱提供加密貨幣錢包應用程式，但若是照做、安裝對方提供的軟體，他們的錢包就會被洗劫一空。

事隔數日，另一家資安業者的X帳號也出現遭到挾持的情況，但值得留意的是，這次攻擊者特別針對專精區塊鏈領域的業者下手，並宣稱可利用他們的工具「保護」資產。

【1月10日】有人冒用美國證券交易委員會的X帳號佯稱比特幣FTC商品核准上市

社群網站X（推特）在伊隆·馬斯克（Elon Musk）入主之後引發諸多爭議，包含了新的付費帳號及官方帳號的徽章制度、大量裁員的情況，但恐怕許多用戶最不樂見的是該網站資安受到影響。

遺憾的是，近日X屢屢爆出帳戶遭盜用的問題，繼上週資安業者Mandiant、CertiK，以及現代汽車、網路設備業者Netgear等知名企業的帳號傳出受害，本週再添一樁，而且這把火還燒到美國聯邦交易委員會（SEC），震撼全球！

【1月11日】Ivanti針對2個Pulse Connect零時差漏洞提出警告並表示已出現攻擊行動

Ivanti旗下Pulse Connect Secure（現更名為Ivanti Connect Secure）最近再傳出有零時差漏洞，這2個漏洞一旦被串連，攻擊者就有機會在未經身分驗證的情況下執行任意程式碼。

值得留意的是，這些漏洞已被用於攻擊行動，但該公司目前尚未提供修補程式，呼籲用戶在相關更新軟體推出之前，採取他們提供的緩解措施因應。

【1月12日】芬蘭企業組織的NAS設備遭到勒索軟體Akira鎖定並抹除備份資料

勒索軟體駭客為了避免使用者透過備份機制讓電腦回復正常，在作案過程裡通常會刪除相關檔案來增加復原的難度，其中最常針對的項目，就是Windows內建的磁碟區陰影複製服務（Volume Shadow Copy Service）備份資料。但如今，駭客也針對外部的備份系統下手。

例如，近期在芬蘭攻擊行動升溫的勒索軟體Akira，就是這樣的例子，駭客在攻擊的過程，會特別找尋企業組織使用的NAS設備，抹除設備上存放的所有資料。