【資安週報】2024年9月16日到9月20日

中秋假期間的資安威脅不容小覷，近期有多個攻擊行動被揭露，其中兩起消息值得留意，一是資安業者揭露中國駭客Earth Baxia今年7月曾針對臺灣某個政府機關發動攻擊，值得注意的是，該攻擊利用GeoServer已知漏洞發動攻擊，並植入後門程式EagleDoor；一是發現中國駭客鎖定代管企業網站的IIS伺服器入侵的情形，主要利用特定的網頁應用程式服務來部署Web Shell，而其針對的目標是歐亞地區的企業網站。

●臺灣政府機關遭中國駭客Earth Baxia攻擊，資安業者指出是其手法是藉由GeoServer已知漏洞發動攻擊。
●中國駭客DragonRank攻擊亞洲、歐洲IIS伺服器，還會利用惡意程式PlugX、BadIIS來操縱搜尋引擎的排名。
●惡意程式Amadey竊取帳密資料有新招，利用瀏覽器的Kiosk模式來提升憑證竊取的攻擊成功率。
●防毒業者Dr.Web驚傳遭入侵，暫時切斷所有伺服器的連線。
●臺美國防工業會議相關人士遭到鎖定，資安業者Cyble揭露發現相關誘餌檔案，是偽裝PDF檔案的Windows捷徑檔。

在漏洞消息方面，本周有多個漏洞利用狀況，我們注意到前不久修補的IE漏洞CVE-2024-43461，出現新的變化——當時微軟指出該漏洞並未被大規模利用，一星期後確認該漏洞在修補之前就被利用。
●微軟本月修補的Windows MSHTML平臺漏洞CVE-2024-43461，後續發現在修補前已遭Void Banshee駭客組織利用。
●Progress在8月底修補WhatsUp Gold的漏洞CVE-2024-6670，資安業者警告已出現實際攻擊行動。
●Ivanti修補Cloud Services Appliance已遭利用的2個零時差漏洞：CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修補的漏洞CVE-2024-27348，最近發現遭積極利用。
●多個舊漏洞被美CISA列入已知漏洞利用清單，包括微軟的漏洞（CVE-2020-0618）、Oracle的漏洞（CVE-2022-21445、CVE-2020-14644），以及Adobe的漏洞（CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502）。

還有多個漏洞修補消息需盡速因應，包括：GitLab修補CVSS滿分漏洞，以及OpenShift、VMware vCenter伺服器、新興AI系統AutoGPT、Docker、D-Link Wi-Fi路由器等的漏洞修補。

特別的是，本星期還有一類型資安新聞也成重要焦點，因為駭客攻擊家用連網設備的消息不斷，涵蓋家用路由器與Android電視機上盒。

例如，殭屍網路Quad7最新一波攻擊行動的揭露，繼先前TP-Link路由器發現被鎖定，如今攻擊範圍擴大，兆勤（Zyxel）、華碩、Ruckus等廠牌的路由器產品都成鎖定目標；還有美司法部宣布破獲中國駭客組織Flax Typhoon委由中國業者Integrity Technology Group建立的Raptor Train殭屍網路。

上百萬Android電視機上盒的韌體遭植入後門程式的狀況，亦受不少人關注，是本周資安新聞排行的焦點。研究人員指出這是在今年8月發現，受害裝置多為知名度較低的品牌，但尚不清楚感染途徑。

由於近年來駭客組織入侵家用路由器來建立自身的物聯網殭屍網路，其態勢是日益嚴峻，像是去年美國即拿下中國駭客Volt Typhoon使用的KV-botnet殭屍網路，因此如何持續緩解這方面的威脅，相當關鍵。

【9月16日】數發部公布親俄駭客發動大規模DDoS攻擊的影響範圍

上週四（12日）中租控股、兆豐金控、彰化銀行發布重大訊息，證實公司部分網站遭遇DDoS攻擊而面臨服務中斷的情況，臺灣證券交易所同日也傳出受害；親俄駭客組織NoName057、RipperSec聲稱是他們所為，但究竟有多少企業組織受害？數位發展部週末召開記者會提出說明。

他們指出這波攻擊行動在10日出現，總共至少有45起攻擊，大部分受害的企業組織皆能快速應變，短時間就能恢復網站運作。

【9月18日】新興AI系統AutoGPT漏洞恐波及44萬軟體程式碼專案

AI應用當紅，這類應用系統的漏洞也隨之引起關注。最近有研究人員針對新興AI系統AutoGPT揭露漏洞CVE-2024-6091，這項漏洞源自於過濾可用的Shell命令機制，一旦被利用，攻擊者就有機會執行任意命令。

值得留意的是，AutoGPT受到許多開發者關注，迄今已有超過44萬個分叉AutoGPT的軟體程式碼專案，這些專案很有可能也曝露於相關的資安風險。

【9月19日】FBI接管中國駭客架設的大型殭屍網路Raptor Train

針對中小企業、SOHO辦公室、家用網路設備而來的殭屍網路，近期有越來越多的情況，繼我們昨天報導殭屍網路Quad7最新一波的攻擊行動之後，這幾天美國政府採取取締這類行為的行動，接管由中國駭客組織Flax Typhoon經營的殭屍網路Raptor Train。

值得留意的是，這個殭屍網路由超過20個廠牌的網路設備組成，類型涵蓋相當廣泛，包括：數據機、路由器、IP攝影機、網路儲存設備等，遭到操控的連網設備數量也相當可觀。

【9月20日】中國駭客Earth Baxia利用GeoServer已知漏洞，攻擊臺灣政府機關

針對地理位置資訊伺服器GeoServer的重大層級漏洞CVE-2024-36401，自6月得到修補後，隔月便出現相關攻擊行動，並引起美國政府注意，將其列為已被利用的漏洞。

半個月前資安業者Fortinet揭露相關漏洞利用攻擊的情況，推測駭客很有可能來自中國，本週另一家業者趨勢科技也公布調查結果印證這項推測，值得留意的是，他們看到的攻擊行動，發生在臺灣公部門。

本星期漏洞利用狀況一覽表

零時差漏洞利用：3個

CVE-2024-43461 ／微軟Windows MSHTML平臺的欺騙漏洞
CVE-2024-8190 ／Ivanti Cloud Services Appliance的作業系統命令注入漏洞
CVE-2024-8963 ／Ivanti Cloud Services Appliance的路徑穿越漏洞

本星期已知漏洞遭利用：8個

CVE-2024-6670 ／ Progress WhatsUp Gold的SQL注入漏洞（8月29日公開，9月12日警告8/30已遭利用）
CVE-2020-0618／微軟SQL Server報告服務的RCE漏洞（9月18日警告已遭利用）
CVE-2022-21445／Oracle ADF Faces的未受信任之資料反序列化漏洞（9月18日警告已遭利用）
CVE-2020-14644／Oracle WebLogic Server的RCE漏洞（9月18日警告已遭利用）
CVE-2013-0643／Adobe Flash Player的不正確的預設權限漏洞（9月17日警告已遭利用）
CVE-2013-0648／Adobe Flash Player的程式碼執行漏洞（9月17日警告已遭利用）
CVE-2014-0497／Adobe Flash Player的整數不足位漏洞（9月17日警告已遭利用）
CVE-2014-0502／Adobe Flash Player的雙重釋放漏洞（9月17日警告已遭利用）