【資安週報】2024年3月18日到3月22日

這一星期的漏洞消息，在留意Atlassian修補CI/CD工具Bamboo重大漏洞，以及Ivanti修補同步應用系統Standalone Sentry的重大漏洞之餘，還一個大家可能容易忽略的消息是，1月HTTP非同步傳輸框架Aiohttp修補漏洞CVE-2024-23334，近期出現利用該漏洞的攻擊行動，研究人員認為，可能是勒索軟體駭客組織ShadowSyndicate所為。

在重大資安新聞方面，我們認為，最需要優先關注國際貨幣基金組織與富士通的遭駭事件。

國際貨幣基金組織（IMF）在15日公布遭遇網路攻擊事件，全球也正在關注後續發展。基本上，IMF是在二戰後為了穩定國際金融而成立，最近他們公布在一個月前發現遭遇網路攻擊，有11個電子郵件帳號被入侵。這不免令人聯想到1月微軟、HPE遭俄羅斯駭客Midnight Blizzard攻擊的事件，因為共通點這些機構都使用微軟雲端電子郵件服務。

另一個IT界很關注的消息是富士通遭駭，該公司在15日發布資安公告，說明IT系統遭入侵，發現多臺電腦出現惡意軟體，目前該公司正調查被入侵的情況與確認資料是否外洩，暫不清楚是否有其他企業或其客戶資料受波及，有待後續調查結果公布。

至於臺灣資安近況方面，趨勢科技近期發布2023年資安威脅態勢報告的新聞稿，當中特別強調臺灣須留意駭客組織Earth Estries動態，並指出對方專門針對政府機關與科技業而來，大家要密切關注後續狀況。

其他重要資安新聞焦點，包括涉及Firebase曝險、竊資軟體與中國駭客組織動態的新聞，我們整理如下：
●企業需注意Firebase配置不當的曝險問題，研究人員進行這方面的大規模盤點，發現有900個網站曝險，暴露近2千萬筆明文帳密資料。
●駭客不只利用HTML Smuggling手法來迴避偵測，最近還出現新的作法，例如竊資軟體AZORult還用上反射式程式碼載入的手法來規避偵測並啟動。
●中國駭客組織Earth Krahang近兩年的攻擊活動被揭露，有45國、上百個組織被鎖定，已確認70個組織遭入侵，多是政府機關，另發現116個組織遭鎖定。

關於新攻擊手法研究與漏洞的揭露，我們認為有3項消息，值得企業與資安研究人員重視，涵蓋DoS攻擊、LLM漏洞，以及利用處理器微架構特性的旁路攻擊手法：
（一）發現新型阻斷服務攻擊手法Loop DoS，德國CISPA亥姆霍茲資安中心指出，利用UDP通訊協定上封包驗證不足的弱點CVE-2024-2169，可導致彼此訊息無限循環回應，不只老舊通訊協定有同樣狀況，目前普遍常用的DNS、NTP、TFTP也受影響。
（二）有研究人員揭露3個新的Google Gemini聊天機器人潛在的威脅，分別是可繞過安全防護機制的漏洞，利用Gemini Pro虛構生成功能的提示越獄漏洞，以及模擬重新設定的漏洞。
（三）多名大學研究人員共同揭露GoFetch微架構旁路攻擊，資安日報近期尚未報導這方面消息，但已引發不小的關注，此手法是透過記憶體資料預先讀取機制DMP，從常數時間程式實作中竊取加密金鑰，且蘋果M系列處理器易受此攻擊影響。

在防禦態勢上，這星期有2項新進展，成為資安圈與開發圈的焦點。例如，提升組織內軟體供應鏈可見性的軟體安全評估工具GUAC，如今成為OpenSSF孵化專案，以及程式碼儲存庫GitHub發布程式碼自動掃描修復功能（Code Scanning Autofix），可協助開發者快速解決程式碼中的漏洞，目前已經支援JavaScript、TypeScript、Java與Python。

此外，國際間還有兩個安全指引的頒布，可以作為企業組織的借鏡與參考。一是英國發布雲端資料收集與監控系統（SCADA）安全指引，因為已有許多企業組織將SCADA遷移到雲端，而這樣的資訊過去也算比較少見；另一是因應中國駭客組織Volt Typhoon的威脅，最近英美等多國網路安全機構，提出防禦指引。

【3月18日】國際貨幣基金組織電子郵件帳號傳出遭到挾持

又是大型組織的電子郵件帳號遭到入侵的情況！上週國際貨幣基金組織（IMF）發布公告，透露他們一個月前遭到網路攻擊，並指出駭客入侵了11個電子郵件帳號。

值得留意的是，IMF並未透露更多細節，但他們證實電子郵件系統採用Microsoft 365雲端服務，讓人不禁聯想此事的發生，是否與1月微軟、HPE揭露的電子郵件帳號遭駭事故有關。

【3月19日】駭客組織Earth Krahang鎖定政府機關而來，疑為中國資安業者安洵旗下團隊

半個月前資安業者趨勢科技揭露中國駭客組織Earth Lusca的攻擊行動，並指出該組織與中國資安業者安洵信息（i-Soon）有所關連，但並未說明兩者之間的關係，如今相關調查出現新的進展。

研究人員發現另一個與Earth Lusca攻擊手法相近，卻有顯著不同之處的駭客組織Earth Krahang，並根據安洵外流的內部資料，研判這兩組人馬就是由該公司經營。

【3月20日】研究人員針對行動應用程式開發平臺Firebase配置不當氾濫的現象提出警告

伺服器配置不當的情況，過往最常出現的是在公有雲系統，但應用程式開發系統出現配置不當的問題，也相當值得留意。

最近有研究人員針對Google旗下的行動與網頁應用程式開發平臺Firebase進行調查，一口氣找到超過1億筆機敏資料（Secrets），值得留意的是，當中包含不少明文密碼。

【3月21日】多組人馬鎖定TeamCity伺服器加密檔案、用於挖礦、部署後門程式

本月初JetBrains修補TeamCity兩個漏洞CVE-2024-27198、CVE-2024-27199，隨後就傳出有人將其用於攻擊行動，其中一組人馬就是曾經對臺灣發動攻擊的勒索軟體駭客組織「變臉」。

但事隔不到一週，但事隔不到一週，更多駭客也加入利用這些漏洞的行列，他們對TeamCity植入更多惡意程式，以便進行攻擊行動。

【3月22日】研究人員公布無限循環的阻斷服務攻擊手法Loop DoS

透過傳送大量訊號癱瘓設備運作的攻擊手法，可說是相當常見，但最近有研究人員揭露一種造成通訊無限循環而產生大流量的方法，一旦觸發，就算是攻擊者也無法將其停止。

值得留意的是，這種新方法估計有30萬臺伺服器曝險，雖然尚未有人將其用於實際攻擊行動，但研究人員呼籲，IT人員還是應儘速採取因應措施。