【資安週報】2024年6月11日到6月14日

這一星期的資安新聞中，以防禦面向而言，臺灣企業資安發展狀況的年度調查是主要焦點，也就是我們第1186期封面故事，所公布的iThome資安大調查第二輪深度分析，涵蓋資安信心、資安投資重點、資安阻礙、資安人才，以及資安預算這5大層面的調查結果。例如，這次調查特別結合美國NIST CSF 2.0的6大核心構面，了解國內企業資安信心的分布，結果顯示企業對於「復原」能力最具信心，對於「偵測」、「識別」的信心程度較低；在資安阻礙面的分析當中，呈現了企業認為做好資安的最大挑戰因素；關於資安人才面的分析，顯示臺灣企業現階段最看重的三大資安能力，分別是：資安事件應變能力、威脅分析或鑑識能力，以及資安風險分析與評估。

國際間也有重要資安活動，6月11日AWS在美國費城舉辦的雲端安全會議re:Inforce 2024，我們應邀參加，值得一提的是，該公司資安長發表演講強調資安文化的重要性，說明該公司定期與各部門總經理、產品經理與開發人員面對面溝通，每週五會面談論資安問題，也談及資安落實、擴及全組織的作法，以及推動員工自主決策的文化，並指出應該採用獎勵方式，促使大家及早意識到問題嚴重性，而非以負面態度去看待。

在資安事件焦點方面，有兩則重大消息，首先是與政府組織有關的發現：荷蘭政府針對今年2月發現該國國防部遭中國駭客入侵，如今有新調查結果公布，指出受害規模遠遠超出先前的發現；另一個是與臺灣企業有關，那就是，國內上櫃公司環球晶發布資安重訊，並有產線受影響的情況。

●荷蘭國家網路安全中心（NCSC）6月10日公布中國駭客入侵國防部的深入調查，指出全球至少數十個政府機關、國防工業受害，逾2萬臺FortiGate防火牆被滲透，且駭客使用的惡意程式Coathanger相當難以識別與刪除，並認為攻擊者仍能存取大量受害系統。同時，NCSC提供邊緣設備處理情況說明書讓企業組織參考。
●國內半導體廠商環球晶圓在6月13日發布資安重訊，說明部分資訊系統遭受攻擊，並指出尚在釐清對於公司營運的影響。隔日該公司再度發布重訊，說明目前已局部陸續復工。而另有國內媒體指出，這次事件是該公司美國密蘇里廠受襲擊，產線正暫停仔細檢修。
●我們還發現關於CACTUS勒索軟體在6月11日攻擊臺灣企業的情資，該組織將上櫃通信網路業康聯訊（Connection Technology Systems，CTS）列為受害者，隔日我們即持續聯絡該公司，但他們一周後仍未回應此事。

在其他重要威脅態勢上，包括：有駭客在暗網社群推廣網路釣魚工具包V3B，該工具包主要鎖定超過54個歐盟金融機構的用戶；另一個資安威脅活動，則是出現假冒GitHub資安及人力資源團隊的攻擊行動。

在漏洞消息方面，這一星期的漏洞修補新聞主角是多家IT大廠，包括微軟、Adobe、SAP等，因為又到了每月例行安全更新修補的時間，需要盡速因應，特別的是，開源機器學習框架PyTorch修補重大漏洞的消息，登上iThome網站當週最多瀏覽資安新聞之一，也獲得相當多的關切。

還有5個漏洞利用狀況需留意，首先，臺灣資安業者戴夫寇爾在本月7日揭露他們向PHP通報的重大漏洞CVE-2024-4577，並呼籲外界盡速修補，兩日後，有資安業者發現開始有勒索軟體駭客組織TellYouThePass利用這項漏洞從事攻擊；其次，微軟3月修補的Windows錯誤回報服務漏洞CVE-2024-26169，如今有資安業者發現勒索軟體駭客組織Black Basta在修補釋出3個月前，就已用於攻擊行動，顯然當時就有零時差漏洞利用攻擊情形。

至於另外3個，包括Progress Telerik漏洞（CVE-2024-4358）、Android手機Pixel漏洞（CVE-2024-32896），以及Arm Mali GPU漏洞（CVE-2024-4610），它們也都被美CISA列入已知漏洞利用清單。

【6月11日】紐約時報證實內部資料流入地下論壇，程式碼儲存庫帳密資料外流釀禍

因開發人員使用的程式碼儲存庫GitHub帳密資料外流釀禍的情況，不時有事故傳出，在今天有兩則資安新聞與之有關，其中最近一起是知名媒體紐約時報的資安事故，另一則是駭客假借GitHub團隊進行勒索的情況。

值得留意的是，這些事故都發生在今年初，直到最近因為資安人員公布而受到關注。

【6月12日】微軟發布6月份例行更新，總共針對49個漏洞進行公告

昨（6月11日）微軟發布本月份例行更新，一共修補49個漏洞，相較於上個月公布多達60個漏洞，已減少一些，而且，稍微值得慶幸的是，這次公布的漏洞尚未發現遭到駭客利用的跡象。

但這次揭露還是有零時差漏洞，因為該漏洞的細節已在數個月前被公布，而這項漏洞與DNSSEC驗證機制有關，影響範圍可能會相當廣泛。

【6月13日】荷蘭針對中國駭客攻擊Fortinet防火牆設備的網路間諜行動進行深度調查，駭客挾持全球逾2萬臺設備

荷蘭今年2月在國防部察覺中國駭客從事的網路間諜攻擊行動，對方利用重大漏洞CVE-2022-42475對FortiGate防火牆下手，並植入木馬程式Coathanger，如今他們公布新的調查結果，指出這是一起大規模的全球攻擊行動，駭客從Fortinet修補漏洞的兩個月前，就進行相關攻擊。

值得留意的是，駭客所使用的木馬程式，不僅難以察覺行蹤，更無法透過部署修補程式清除，因此荷蘭軍情機構認為，這起攻擊行動的受害規模，實際上可能還會再擴大。

【6月14日】勒索軟體駭客組織Black Basta在微軟提供漏洞修補3個月前，利用掌握到的資安弱點打造攻擊工具

資安業者賽門鐵克近期針對勒索軟體駭客Black Basta、RansomHub的攻擊行動進行調查，並公布相關發現，其中，較為值得留意的是，Black Basta掌握了微軟尚未修補的Windows系統弱點，而能在3個月的空窗期製作漏洞利用工具並用於攻擊行動。

值得留意的是，微軟在修補漏洞的當下，並未察覺漏洞遭到利用的跡象，而是直到最近，才有研究人員察覺，該漏洞已於去年被用於網路攻擊。