【資安週報】2024年4月15日到4月19日

在這一週的漏洞消息中，有Oracle發布今年第2季例行更新要注意，還有一個受到更多IT界關注的漏洞修補，是老牌終端機及傳檔工具Putty的開發團隊發布vuln-p521-bias漏洞通告，指出攻擊者可透過CVE-2024-31497漏洞，獲取NIST P521曲線演算法的ECDSA私鑰，因此，用戶除了更新軟體，也要立即撤銷並替換新的私鑰。所幸的是，這次漏洞僅有使用521位元的ECDSA私鑰的用戶受影響。

在漏洞利用方面，有一則已知漏洞新傳出遭利用的消息，3月時中繼資料管理工具OpenMetadata維護團隊修補了5個漏洞，近期有研究人員發現，有攻擊者利用這些漏洞攻擊企業K8s環境，並部署挖礦軟體。

另一值得留意的是，上期周報提及Palo Alto Networks修補已遭利用的零時差漏洞CVE-2024-3400，後續有研究人員指出，全球有8.2萬臺曝險，臺灣也有1,344臺這類設備，它們都是處於暴露於網際網路且尚未修補此漏洞的狀態。

在資安威脅焦點方面，近期有3類型的攻擊活動，我們認為值得多加留意，包括鎖定VPN與SSH的攻擊，鎖定路由器的攻擊，以及網釣威脅與活動。
●多個廠牌的VPN系統或SSH服務正被攻擊者鎖定，發起大規模暴力破解攻擊，思科表示不只是自家產品，還有Check Point、Fortinet、SonicWall、Miktrotik、居易、Ubiquiti的設備遭鎖定，並發現針對遠端桌面的網頁存取服務攻擊的情況。
●過去幾週有不少殭屍網路鎖定路由器攻擊的狀況，最近又有新的活動被揭露，有資安研究人員發現Moobot、Miori、Condi、 AGoent、Gafgyt與Mirai變種這6種殭屍網路病毒，都在利用TP-Link去年修補的路由器漏洞發動入侵。
●近期一家美國電信服務商員工帳密遭網釣、內部系統遭存取的事件引發思科示警，因為該電信商負責Duo用戶的MFA簡訊通知及VoIP訊息，因此思科提醒用戶，留意遭竊資訊可能被攻擊者用於社交工程攻擊。
●去年一起鎖定美國大型汽車製造商的攻擊行動被資安業者揭露，當中指出攻擊者一開始發送的網釣郵件，是假冒免費IP位址掃描工具軟體Advanced IP Scanner為誘餌，顯然，IT人員持續成為駭客發動網釣的目標，必需抱持更大警覺。

關於前幾個星期發生的兩起重大事件，最近有後續消息傳出。首先，對於日前XZ/liblzma後門事件，攻擊者竟潛伏為合法維護者的狀況，近日OpenJS基金會示警，表示收到一系列電子郵件，其內容是要求為熱門JavaScript專案指定新的維護者，因此他們與OpenSSF共同提醒開源維護者，需慎防這樣的社交工程攻擊手法；另一是上週蘋果罕見對全球92國iPhone用戶提出警告，如今有研究人員透露進一步細節，指出攻擊者使用的間諜軟體是LightSpy。

在其他資安威脅態勢上，全球近來發生不少重大網路攻擊事件，都與政府或關鍵基礎設施有關，我們整理如下：
●臺灣外交部的機密資料傳出在暗網被兜售，外交部指出這些資料的來源可疑，涉及境外變造、偽造等不法行為，以及操弄認知作戰的意圖，將持續調查。
●在南海局勢升溫之際，有資安業者揭露近期中國駭客針對菲律賓的假訊息與駭客攻擊活動增加3倍。
●聯合國開發計畫署近期表示，哥本哈根聯合國城的IT基礎設施上月底遭網路攻擊，部分人力與採購資料遭竊。
●俄羅斯駭客組織Sandworm近期動作頻頻，不只鎖定烏克蘭關鍵基礎設施，也鎖定美國、波蘭的供水設施，以及法國的水力發電系統發動攻擊。
●針對俄羅斯持續發動網路攻擊，烏克蘭方面近期傳出反擊，該國駭客組織Blackjack宣稱，已入侵俄國工業感應器及監控基礎設施製造商Moscollector。

還有3起勒索軟體攻擊事件也成新聞焦點。包括：總部位於荷蘭的晶片製造商Nexperia遭遇勒索軟體攻擊，旅館集團Omni傳出遭勒索軟體駭客組織Daixin攻擊，以及本期日報尚未提及的另一事件，那就是臺灣電子零組件大廠群光電子傳出遭Hunters international勒索軟體攻擊，在週末期間揭露，雖然影響似乎不大，因為群光回應媒體表示，事件未達重訊發布標準。

但因消息曝光在週末，且涉及臺灣上市公司，加上駭客聲稱取得1.2TB、414萬個檔案，因此受到國人關切。在事件曝光後，群光電子也依據重大訊息發布規定，當媒體報導公司發生資安事件可能影響投資人之投資決策，需發布重大訊息，因此群光電子也在週日中午針對媒體報導發生網路資安事件一事發布重訊，內容指出他們確時遭受網路攻擊，已啟動防禦與復原作業，並重申這次事件未達資安重訊發布標準，以及未有個資、機密文件檔案資料外洩。至於駭客組織聲稱竊取的檔案為何，有待更多後續消息揭露才能進一步得知。

此外，在前一星期的資安日報中，我們已經報導屬於聯華神通集團（MiTAC-Synnex Group）的兩家上市公司聯華實業、聯成化科，同時發布資安事件重訊說明發生網路資安事件，而且後續我們還注意到，傳出已有駭客組織宣稱竊取聯成480 GB的資料，不過我們尚未看到該公司有進一步說明。這起事件的影響性可能比群光的事件還大，不過其他國內媒體有報導此事的並不多，大多是將焦點集中在群光。

【4月15日】XZ Utils供應鏈攻擊傳出有新災情

上個月底研究人員發現資料壓縮程式庫XZ Utils專案遭遇供應鏈攻擊，影響採用的SSHD元件，但採用此程式庫套件及其中的LZMA資料壓縮程式庫liblzma專案甚多，難道只有SSHD中招嗎？

事隔兩週，目前尚未有相關組織或是研究人員提出進一步說明，然而，在此不明朗的情況下，類似的供應鏈攻擊事故再度傳出。

【4月16日】部分蘋果用戶遭中國駭客組織鎖定，利用間諜軟體LightSpy進行監控

蘋果上週指出部分用戶遭遇傭兵間諜軟體（Mercenary Spyware）攻擊，並表示他們已通知這些用戶，但並未說明相關細節。如今有研究人員透露，攻擊者使用的間諜軟體是LightSpy。

這個間諜軟體曾在2020年被用於攻擊行動，之後便沉寂一段時間，直到最近研究人員發現相關攻擊，且與蘋果透露的受影響範圍重疊，才確認就是此軟體的攻擊行動。

【4月17日】多個廠牌的VPN系統、網路設備遭到鎖定，攻擊者對其發動暴力破解攻擊

上個月思科針對旗下防火牆用戶提出警告，指出這些設備的VPN服務遭到密碼潑灑攻擊，如今該公司提出新的發現，還有其他廠牌的設備也遭遇類似攻擊。

值得留意的是，不光是VPN系統成為攻擊目標，還有數個廠牌的網路設備也是對方下手的對象，他們透過SSH連線嘗試進行暴力破解攻擊。

【4月18日】DevOps協作平臺Confluence已知漏洞被用於散布勒索軟體Cerber

在今天的資安日報當中，已知漏洞的攻擊行動占據大部分版面，其中又以DevOps協作平臺Atlassian Confluence的攻擊行動最值得留意，對方將其用來散布勒索軟體Cerber。

值得留意的是，這個漏洞修補至今已近半年，但駭客仍能將其用於發動攻擊，這代表仍有不少Confluence伺服器尚未套用修補程式，而曝露相關風險。

【4月19日】全球超過8萬臺Palo Alto Networks防火牆曝露GlobalProtect危急漏洞

也與該公司整合的SSL VPN服務GlobalProtect有關。資安業者Palo Alto Networks公布防火牆漏洞CVE-2024-3400引起各界關注，原因不光這項漏洞的CVSS風險評分達到10分，還有漏洞發生的原因也與GlobalProtect的SSL VPN服務有關。

值得留意的是，之前才發生大規模鎖定多個廠牌SSL VPN系統的暴力破解攻擊，再加上今年初Ivanti Connect Secure一連串零時差漏洞的事故，使得上述漏洞各外受到許多研究人員的重視。