【資安週報】2024年5月6日到5月10日

這一星期的漏洞消息，以Google接獲匿名研究人員通報，緊急修補Chrome已遭利用零時差漏洞CVE-2024-4671最受關注，該漏洞可讓遠端攻擊者透過特製的HTML頁面來規避沙箱偵測。

其他重要漏洞修補動向，包括特權管理系統Delinea Secret Server的漏洞修補，F5針對BIG-IP Next集中控管系統的漏洞修補，以及Google發布5月Android例行更新。

此外，還有兩項涉及VPN與CPU的漏洞與攻擊手法揭露，包括：可迫使用戶流量離開VPN通道保護的漏洞攻擊手法TunnelVision，以及CPU推測執行漏洞攻擊新手法Pathfinder。

在資安事件焦點方面，國際間有多起攻擊事件揭露，當中不少是涉及政府與醫療單位，格外引發關注。我們整理如下：
●最近波蘭政府機關遭惡意軟體攻擊，荷蘭國家研究院近日指出，比對過往的資安事故，是受到俄羅斯駭客APT28攻擊。
●德國政府、捷克外交部5月初相繼發布公告，指出去年有駭客利用Outlook漏洞對他們兩國企業組織下手，其攻擊者是俄羅斯駭客APT28所為。
●美國非營利醫療保健系統之一Ascension遭網路攻擊，將部分系統關閉因應。
●多明尼加傳出資料外洩，82萬人COVID-19疫苗接種資訊被兜售於駭客論壇。

此外，這幾年來臺灣民眾經常遭受詐騙簡訊，國際間同樣也持續傳出遭遇這類問題。例如，近日荷蘭政府示警，有當地民眾接獲詐騙簡訊，假冒金融業者名義向銀行用戶聲稱帳號異常或債務繳款，再向回應的民眾騙稱這是詐騙，需下載防毒App，以在安卓手機植入惡意程式，進而洗劫用戶網路銀行帳戶。

在威脅態勢上，我們認為，針對API的濫用行為最需要重視，這星期有兩起事件與API濫用相關。

（一）Dell資安事件疑外洩近5千萬用戶資訊，後續傳出攻擊者是藉由Dell提供的合作夥伴入口網站，濫用Dell網站API，加上Dell 系統未設定流量限制，進而得以蒐集網站回傳的用戶資料。

（二）有資安業者指出越來越多駭客在攻擊行動中，不只濫用微軟合法服務如OneDrive來架設C2伺服器，也利用微軟圖學資料分析服務Graph的API來進行惡意通訊。

還有上述提及Delinea的漏洞修補，涉及的是PAM產品Secret Server的SOAP API漏洞。

至於防禦態勢上，5月有不少國際級資安會展，除了美國RSA大會在5月6日到9日舉行，在國內，也有臺灣資安大會將於5月14日到16日於南港展覽館二館登場。

還有一個DNS層面的資安技術趨勢，是微軟最近宣布推出零信任DNS（ZTDNS）技術私人預覽版，目標是讓Windows電腦只能連結受信任的網域。

【5月6日】德國與捷克證實去年遭遇俄羅斯駭客APT28利用特定Outlook漏洞攻擊事故

微軟於去年3月修補Outlook權限提升漏洞CVE-2023-23397，年底波蘭證實公家機關及企業組織遭遇漏洞攻擊，而攻擊者的身分，就是惡名昭彰的俄羅斯駭客APT28，但該組織的相關攻擊行動，如今也傳出有其他國家受害。

上週末捷克與德國證實，他們在去年微軟尚未修補漏洞之前，就有企業組織與政府機關遭遇相關攻擊，雖然他們沒有直接公布漏洞名稱，但根據國外媒體的報導，對方利用的漏洞就是CVE-2023-23397。

【5月7日】執法單位預告將揭露勒索軟體駭客組織LockBit首腦身分

11個國家的執法單位於2月20日宣布破獲勒索軟體駭客LockBit的基礎設施，但與其他駭客組織的攻堅行動有所不同，執法單位後續表明他們掌握其首腦LockBitSupps身分，意有所指對方很可能住在遭到制裁的俄羅斯，事隔2個多月，此事又有新的進展。

這些執法單位預告，將於指定的時間公布LockBitSupps身分，並在4天內關閉LockBit的網站，後續情況如何，有待進一步的觀察。

【5月8日】多明尼加COVID-19疫苗接種資訊外流，影響82萬人

醫療產業個資保護不力的情況，可說是不時有事故傳出，但過往這類事故造成的危害，大多是曝光個人的疾病及心理狀態，而帶來嚴重後果，鮮少會波及大量民眾。

但最近一起資料外洩事故，有可能曝露整個國家的醫療能量。有人聲稱掌握82萬多明尼加民眾接種COVID-19疫苗的情況，資安業者Resecurity指出，攻擊者很有可能藉此得知該國醫療環境狀態，而將相關資訊彙整，用於發動後續攻擊。

【5月9日】BIG-IP Next集中控管系統的高風險漏洞有可能被用於建立隱藏帳號

最近2年以來，可集中管理大量系統的平臺成為攻擊者偏好下手的目標，原因是這類平臺可控制的系統數量更多，一旦成功入侵，駭客可能因此獲得大量初期入侵與持續活動的據點。其中一個去年被駭客大肆針對的品牌F5，他們推出了下一代平臺BIG-IP Next，企圖提升安全性。

然而，這個新平臺的核心元件BIG-IP Next Central Manager，近期被發現評為高風險層級的漏洞，揭露此事的研究人員指出，IT人員若不儘速處理，駭客能設置透過管理主控臺所無法檢視的「隱形」帳號，用來進行攻擊行動。

【5月10日】CYBERSEC 2024臺灣資安大會下周舉行，逾300場專業資安演講與超大規模資安品牌展覽即將登場

在美國舊金山舉行的2024 RSA Conference於5月6日到9日才剛剛落幕，臺灣也有一場國際級的資安盛會即將登場，那就是－－CYBERSEC 2024臺灣資安大會。

值得注意的是，今年臺灣資安大會邁入第十個年頭，本屆的會展規模更為盛大，將有30個資安主題論壇、超過300場專業資安演講，以及超過400家國內外資安品牌的國際級資安展覽，並且是首度南港展覽館二館全館使用。