【資安週報】2024年7月1日到7月5日

在這一星期的漏洞利用消息中，最優先要關注的漏洞利用情形，是Cisco針對NX-OS零時差漏洞CVE-2024-20399提出警告，多款Nexus系列交換器與MDS 9000系列產品線受影響，雖然思科已釋出新版修補程式，但也提醒該漏洞在今年4月已有被駭客用於攻擊行動的跡象。通報這項漏洞的資安業者Sygnia同時揭露此攻擊活動的調查結果，並指出是中國駭客組織Velvet Ant所為。

還有兩個重要漏洞修補，需要特別關注，一是開源加密程式庫OpenSSH的RCE漏洞，一是蘋果應用程式相依性管理套件CocoaPods存在重大缺陷，揭露的不同研究人員均提醒應須盡速修補。

（一）7月1日OpenSSH修補RCE重大漏洞CVE-2024-6387（regreSSHion），Qualys指出這是OpenSSH首次出現可授予完全Root權限的未經授權RCE漏洞，研究人員發現至少70萬個曝露於公開網路的OpenSSH實體含有這項漏洞。

（二）Swift和Objective-C專案的開源相依性管理套件CocoaPods被揭露存在3大漏洞，包括：CVE-2024-38366、CVE-2024-38367與CVE-2024-38368，都與驗證伺服器Trunk有關。特別的是，這些漏洞去年已修補，今年7月CVE編號才公開。

至於其他漏洞修補動向，包括：GitLab、Splunk、Juniper Networks發布漏洞修補，還有新型態Intel處理器漏洞Indirector的揭露。

在資安威脅態勢方面，軟體供應鏈攻擊的狀況再次出現，這一星期我們甚至看到國際間有兩起這方面的消息，一是印度軟體開發業者Conceptworld遭遇軟體供應鏈攻擊，攻擊者在其產品安裝檔（便箋應用程式Notezilla、剪貼簿管理程式RecentX、檔案複製工具Copywhiz）植入竊資軟體，一是韓國ERP系統更新伺服器遭軟體供應鏈攻擊，當地資安業者AhnLab調查出後門程式Xctdoor，並指出攻擊者是透過Regsvr32.exe的處理程序載入執行，推測為北韓駭客Andariel所為。

另一項政府與關鍵CI需重視的議題是網路間諜攻擊，若遇到資安事故，不要以為這只是基於經濟動機而來的勒索軟體攻擊。最近資安業者SentinelOne、Recorded Future聯手調查的結果，指出現在針對全球政府機關及關鍵基礎設施下手的網路間諜攻擊行動，APT攻擊者為了模糊焦點，因此通常會在最後階段使用勒索軟體加密攻擊，來分散防守方的注意力，以誤導事故調查方向並清除跡證，他們並以中國駭客組織ChamelGang的攻擊行動為例來說明。特別的是，他們也感謝臺灣資安業者TeamT5研究人員Still Hsu提供對於ChamelGang組織的見解，讓他們能將其與CatB勒索軟體、BeaconLoader聯繫起來。

在其他資安事件與威脅揭露方面，臺灣再度傳出半導體業者遭網路攻擊的情況，國際間也有Twilio、TeamViewer等的資安事故引發關注，我們整理如下：

●上櫃的半導體公司驊訊7月3日發布資安事件重大訊息，說明偵測到部份資訊系統遭受駭客網路攻擊。
●Authy用戶注意！雲端通訊平臺Twilio發布資安事故公告，說明他們發現有駭客可經由未經身分認證的節點，辨識出Authy用戶的帳戶資料，同時他們也要求所有用戶儘速更新Authy App。
●遠端桌面程式供應商TeamViewer發布資安公告，說明6月底偵測一名員工帳號遭未經授權人士存取，調查顯示與APT 29（或稱Midnight Blizzard）的俄羅斯駭客有關，7月4日他們再次更新消息，確認影響僅限於該公司內部企業IT環境。
●資安業者揭露有駭客為了散布竊資軟體Vidar Stealer，其方法很特別，竟是藉由蓄意打造IT技術支援網站，假借提供PowerShell指令碼「解決」Windows更新錯誤，欺騙使用者下載惡意程式載入工具並被植入竊資軟體。

此外，先前發生的重大資安事件，現在有更多後續消息傳出，包括：前一星期傳出的Polyfill供應鏈攻擊事故，已有多個資安業者示警受害規模擴大；去年底俄羅斯駭客Midnight Blizzard入侵微軟郵件系統事件也延燒至今，近期傳出微軟正通知一些美國政府機構，說明可能部分資料遭竊，包括美國國際媒體署、美政府資助的和平部隊，以及維吉尼亞州，都受到該次事件的影響。

【7月1日】遠端桌面連線解決方案業者TeamViewer傳出遭俄羅斯駭客APT29入侵，該公司強調旗下產品未受影響

上週北美汽車經銷商軟體服務業者CDK Global因網路攻擊而導致相關服務停擺的情況，多家汽車經銷商隨之業務受到影響，客戶被迫向其他經銷商購車而造成營業損失，如今出現新的進展。

根據多家媒體報導，攻擊者的身分疑為勒索軟體駭客組織BlackSuit，而且，這些駭客還假冒CDK Global客服打給汽車經銷商，使得情況更加嚴重。

【7月2日】研究人員揭露polyfill供應鏈攻擊事故最新發現，駭客同時運用多個網域犯案，保守估計超過30萬個網站受害

中國駭客鎖定今年臺灣總統大選的網路攻擊，已有數家資安業者公布他們觀察到的攻擊行動，但最近研究人員揭露的最新發現，攻擊者從事相關活動的期間，從去年11月到今年4月，也就是自總統選舉的2個月前，到新任總統即將上任前夕，時間接近半年。

值得留意的是，這些駭客不僅針對外交經濟和社會運動團體而來，也鎖定高科技產業，企圖偷取相關機密。

【7月3日】巴基斯坦駭客假借提供安卓應用程式發動攻擊，意圖散布惡意軟體CapraRAT，目的是為了監控特定使用者

身為資安業者卻遭到駭客入侵的情況，最近傳出新的資安事故。例如，有許多研究人員使用的雲端惡意軟體沙箱Any.Run，其服務供應商傳出遭到網路攻擊，公司所有的員工都收到來自內部人士寄送的釣魚郵件。

這起事故可追溯到一個月前有員工上當，雖然他嘗試利用沙箱環境檢查惡意連結，但並未做好相關設定，且依照對方指示提供自己的帳號密碼，導致帳號遭到對方挾持。

【7月4日】歐洲最大雲端服務供應商揭露DDoS攻擊規模與日俱增的現象，並指出大多惡意流量來自MikroTik路由器

鎖定網站而來的供應鏈攻擊頻傳，在昨天我們報導有人對上架到WordPress.org市集的外掛程式植入惡意程式碼後，有另一款熱門的網站程式庫Polyfill.io，也傳出更換經營團隊後，被植入惡意內容。

值得留意的是，這個程式庫在輾轉交給中國一家內容傳遞網路（CDN）業者經營後，該業者就開始隨意竄改回傳用戶端的檔案，使得研究人員呼籲網站管理者應儘速移除，並尋求替代方案。

【7月5日】微軟年初遭俄羅斯駭客APT29入侵事故有新的進展，美國地方政府、軍事單位傳出受到波及

知名的網站功能相容性程式庫polyfill.io本週傳出供應鏈攻擊，研究人員提出警告，他們發現程式碼在中國CDN業者今年初接手後，就開始植入惡意程式，由於採用這款程式庫的網站眾多，且不乏許多知名企業組織與政府單位，所以，這起供應鏈攻擊引發軟體開發與資安領域的密集關注，如今出現新的進展。

有研究人員發現，在Namecheap註銷polyfill.io之後，經營者透過新的polyfill[.]com提供服務，並聲稱相關服務透過Cloudflare快取未含供應鏈風險。