【資安週報】2024年8月19日到8月23日

這一星期的資安威脅態勢，有多起新聞是聚焦在偽冒、配置錯誤這兩大議題，成為不可忽視的風險熱點，突顯企業、個人在網路安全上的潛在薄弱環節。

以偽冒事件而言，有3則消息，其中一起偽冒情境相當獨特，是讓用戶誤以為電腦更新進行中，但實際是利用遠端存取竊取資料。

●駭客偽造WinRAR網站，建立與正牌官網（win-rar.com）一字之差的偽冒網站（win-rar.co），雖然此做法並不新奇，但涉及熱門軟體而受關注。
●惡意廣告運用動態關鍵字插入技術，鎖定特定公司或產品線並假冒其名義，例如假冒Google的行動中，還會利用Google Looker Studio製作圖片來假冒搜尋頁面，並透過圖片內嵌惡意連結引導至假冒的技術支援頁面。
●駭客組織先利用社交工程手法，並透過遠端連線請求傳送假的Windows Update的執行檔，特別的是，該程式的作用僅是偽冒出Windows更新的畫面，背後則是利用遠端存取竊取受害者的網路共享資料夾，再留下勒索訊息。

以配置錯誤而言，本星期有3則新聞值得關注，下列第一則已有攻擊行動需特別注意，研究人員指出，有11萬個網域成為攻擊者可鎖定的對象，第二則有數千個公開的SuiteCommerce受影響，並且研究人員已經揭露這樣的問題，用戶需在攻擊者關注此攻擊面下，儘速對相關組態進行檢查。

●出現一波向企業勒索的攻擊行動，是攻擊者鎖定在AWS公開曝險的bucket，並利用企業的雲端應用環境設定不當，進而得以竊取包含像是驗證憑證的環境變項檔（.env）檔竊取重要資料，並向受害組織勒索。
●針對Oracle旗下的雲端ERP平臺NetSuite，研究人員指出存在用戶配置錯誤情況相當廣泛，原因在於名為SuiteCommerce電商網站元件中一項CRT的存取控制錯誤組態造成，提醒相關用戶應加強這方面的管理，以避免資料外洩。
●航班追蹤平臺FlightAware發布資安事件公告，指出在7月底發現因配置錯誤問題，發生外洩該平臺用戶個資的事故。

在資安事件方面，有5則重要新聞，當中以臺灣大學院校遭遇後門程式Msupedge攻擊的揭露最受關注，而且，值得警惕的是，入侵原因是未修補今年6月PHP程式語言修補重大漏洞；臺灣最大電子佈告欄（BBS）PTT傳出資料外洩的消息也引發關注，對此消息，批踢踢實業坊（Ptt.cc）已在隔日發布聲明，傳聞中所稱取得的資料，應係自公開看板上所抓取的文章，並未發現有任何機密資訊受到危害。

●國內有大學院校遭遇後門程式Msupedge的攻擊行動
●中國對臺認知作戰升級，在今年5月盜取飛官社群網站帳號抵毀國軍。
●PTT驚傳遭到入侵，駭客聲稱取得3.5萬筆資料。
●美國半導體製造商Microchip傳出遭遇網路攻擊，造成工廠產能降低的影響。
●豐田美國分公司遭公布24GB公司資料，駭客表示是從其備份伺服器竊取。

至於這一星期的漏洞利用消息，有1個零時差漏洞利用情形，Versa Networks旗下可簡化SASE服務的Versa Director平臺的漏洞CVE-2024-39717，美國CISA警告已獲知有主動利用的證據。

還有5個漏洞利用要留意，包括：今年1月修補的 Jenkins CLI漏洞（CVE-2024-23897），以及前幾年多個已知漏洞，微軟Exchange Server漏洞（CVE-2021-31196），Linux Kernel漏洞（CVE-2022-0185 ），大華IP攝影機漏洞（CVE-2021-33044、CVE-2021-33045）。

【8月19日】Google Pixel驚傳內建具有高度權限的第三方元件

過往我們探討手機軟體供應鏈安全的事故，主要是出現在中國品牌的手機上，有人在製造過程中埋入惡意程式，導致用戶受害。但如今，類似的問題竟然出現在Google的「親兒子」Pixel系列手機。

有資安業者透過EDR系統在客戶列管的手機當中，發現不尋常的弱點，經過調查，這些手機都被預載不安全的應用程式Showcase，攻擊者有機會藉此取得高權限，從而遠端執行程式碼、安裝惡意程式。

【8月20日】駭客散播可呈現仿造OS更新畫面的執行檔，背後卻是在電腦偷資料

對於Windows使用者而言，每個月都會遇到的作業系統更新，已是相當熟悉，尤其是過程中往往必須重開機而無法使用，有駭客看上這點，製造電腦正在進行系統更新的假象，從容地從事攻擊行動，待完成後才留下勒索訊息，要脅若不依照指示付錢，將會面臨GDPR罰款。

這項攻擊行動的特別之處在於，駭客利用1支無攻擊特徵的程式製造這種假象，導致大多數的防毒軟體都不會將其視為有害。

【8月21日】PHP重大漏洞出現攻擊行動，駭客已藉此在臺灣的一間大學院校植入後門

兩個月前臺灣資安業者戴夫寇爾揭露的PHP漏洞CVE-2024-4577，當時提到使用正體中文、簡體中文、日文語系的視窗作業系統用戶會受到影響，如今傳出實際資安事故，本週有資安公司指出臺灣有大學因為這個漏洞未修補而遭到攻擊，被駭客植入後門程式。

值得注意的是，他們發現有多組人馬嘗試找尋下手目標的情況，這代表相關攻擊行動將會接連出現。

【8月22日】企業自訂AI副手功能的工具Copilot Studio存在SSRF漏洞

隨著人工智慧應用系統越來越普及，相關漏洞影響可能極為深遠，相當值得關注。本週資安業者Tenable公布Copilot Studio伺服器請求偽造（SSRF）漏洞CVE-2024-38206細節，並指出這項漏洞能影響該系統的基礎設施，攻擊者一旦利用，就有可能同時影響多個用戶。

這項漏洞在他們通報後，微軟已進行修補，並將其列為重大風險漏洞列管。

【8月23日】協作平臺Slack搭載的AI功能有漏洞，恐曝露私人頻道機密資料

與人工智慧互動、協作已是許多民眾日常不可或缺的部分，許多企業的應用系統也開始納入相關功能，然而一旦這類機制若是存在弱點，同樣可能成為駭客大肆利用的對象。

最近研究人員公布協作平臺Slack的AI機器人漏洞，就是這樣的例子，攻擊者可在無須取得相關權限的情況下，得到私人頻道的內容，從而達到竊取機密的目的。

本星期漏洞利用狀況一覽表

零時差漏洞利用：1個

CVE-2024-39717 ／ Versa Director漏洞（6月已釋出修補，8月22日才公開）

本星期已知漏洞遭利用：5個

CVE-2024-23897 ／ Jenkins CLI漏洞（1月24日公開，8月20日警告已遭利用）
CVE-2021-31196 ／ 微軟Exchange Server漏洞（2021年7月14日公開，2024年8月22日警告已遭利用）
CVE-2022-0185 ／ Linux Kernel漏洞（2022年2月11日公開，2024年8月23日警告已遭利用）
CVE-2021-33045 ／ Dahua IP Cameral漏洞（2021年9月15日公開，2024年8月21日警告已遭利用）
CVE-2022-33044 ／ Dahua IP Camera漏洞（2021年9月15日公開，2024年8月21日警告已遭利用）