【資安週報】2022年7月25日到7月29日

本周最受關注的新聞，是卡巴斯基揭露一個Rootkit惡意程式CosmicStrand，存在於H81晶片組的技嘉與華碩主機板上，不過他們並未發現該惡意程式是如何入侵，是如何滲入到主機板上的UEFI韌體，研究人員猜測，或許存在某個共通的漏洞，可允許攻擊者將他們的Rookit植入韌體，而他們目前觀察到的受害者，都只是一般民眾。

在漏洞修補方面，Drupal釋出9.3.19與9.4.3版，修補4項漏洞，其中CVE-2022-25277漏洞最嚴重，還有LibreOffice釋出7.2.7及7.3.2版，修補3項漏洞要注意。特別的是，還有一個焦點，瑞士皇家理工學院的研究人員針對原型污染（Prototype Pollution）漏洞進行研究，除指出這類漏洞問題的嚴重性，他們並發現Node.js中有11個Gadget潛藏遭RCE攻擊的風險。

在威脅趨勢方面，微軟揭露IIS伺服器擴充套件（IIS extensions）被針對的情形，並歸納出代管應用程式上的惡意IIS外掛可分5類；Cisco揭露新的供應鏈攻擊，是針對烏克蘭軟體開發業者而來。

此外，為了防堵近年日益劇增的攻擊手法，像是利用Office惡意巨集的攻擊方式，微軟近年陸續有所行動，現在對於網路下載Office文件的VBA巨集終於正式要預設封鎖，特別的是，對於RDP暴力破解密碼的攻擊方式，也將有新防堵措施，Windows 11 22H2將預設啟用帳號鎖住原則，提高破解門檻，之後其他Windows版本也將適用。

在國內方面，去年7月發生網軟資料外洩導致多家公益團體遭冒名向民眾行騙事件，相隔一年警方公布受害規模，有45個公益團體遭冒名，並在國內逮捕50名詐騙集團成員，還發現嫌犯申辦大量SIM卡註冊蝦皮賣場，再用蝦皮錢包買虛擬貨幣USDT洗錢。目前尚未公布詐騙集團是如何取得外洩個資，至於竊取個資的駭客組織則難以追查。

本週重大資安新聞

【攻擊與威脅】

中國駭客使用UEFI惡意軟體CosmicStrand，在受害電腦上執行Shell Code

駭客鎖定UEFI韌體下手的情況，研究人員很有可能在多年之後，才找出整個攻擊鏈的樣貌。

資安業者卡巴斯基揭露UEFI惡意軟體CosmicStrand（亦稱Spy Shadow Trojan）的攻擊行動，中國駭客約從2016年開始，鎖定採用H81晶片組的華碩、技嘉等廠牌的電腦下手，一旦CosmicStrand成功入侵電腦的UEFI韌體，就會在每次啟動時載入惡意酬載，並在每個開機流程進行掛勾，最終在記憶體內部署Shell Code來向C2連線，並下載惡意酬載，然後在Windows作業系統核心執行。

研究人員指出，受害電腦遍及中國、越南、伊朗、俄羅斯，但這些電腦似乎都是個人所有，而無法找出所屬的組織或是產業。

駭客意圖透過IIS伺服器延伸套件，在Exchange伺服器植入後門

在針對Exchange伺服器的攻擊手法裡，駭客過往很可能會部署Web Shell來當作後門程式，但隨著資安系統對於這種手法的偵測能力日益提升，駭客開始運用其他的管道入侵。

微軟的資安研究團隊最近提出警告，他們注意到駭客運用IIS的延伸套件（Extension）來建立後門的情況，可說是越來越氾濫，由於這種手法所建置的後門程式，通常會存放在正常應用程式所使用的資料夾裡，並使用相同的程式碼結構，而使得與Web Shell相比，研究人員要確認是否為後門程式變得更加困難。

研究人員以他們發現針對Exchange伺服器的攻擊為例，駭客利用了ProxyShell漏洞部署了Web Shell，但經過一段時間的偵察後，才建置了名為FinanceSvcModel.dll的後門程式並進行滲透。對此，該公司呼籲企業，要經常檢查高權限群組是否被加入不明帳號，應用程式的組態檔案web.config及ApplicationHost.config有沒有出現不明檔案等措施，來防範這種以IIS伺服器延伸套件植入後門的攻擊行動。

俄羅斯駭客在臺灣等多個國家架設C2伺服器，並用於發動勒索軟體攻擊

駭客組織架設用於攻擊行動的基礎設施，很可能相當複雜且分散在全球各地。資安業者Censys公布俄羅斯駭客架設的15個C2伺服器，並指出這些伺服器不只部署於俄羅斯，還部署在臺灣，以及美國、中國等地。

駭客將部分伺服器用於執行網站的弱點掃描工具Acunetix，或是利用滲透測試工具Metasploit來取得初步的存取權限，然後利用其他的C2伺服器散布惡意程式及勒索軟體。

研究人員發現，這些C2伺服器被用於勒索軟體Karma、MedusaLocker的攻擊行動，前者出現於去年10月，後者則是在今年6月底引起美國發布警告。

烏克蘭軟體開發業者遭到GoMet變種後門程式入侵，駭客意圖對該國政府機關發動軟體供應鏈攻擊

俄羅斯駭客鎖定烏克蘭的攻擊行動，很有可能已經暗中進行一段時間才被發現。思科揭露使用GoMet變種後門程式的攻擊行動，駭客取得開源的GoMet程式碼並加以修改，約從2020年開始，用來攻擊烏克蘭大型軟體開發公司，由於此業者開發的軟體廣受該國多個政府機關採用，研究人員推測這應該是供應鏈攻擊，且很有可能是俄羅斯政府撐腰的駭客所為。

而對於此後門程式的來歷，研究人員表示，開發者使用Go語言打造而成，並包含攻擊者遠端控制的多數功能，且支援在x86與Arm架構的電腦上運作。

烏克蘭電臺播放總統將政權移交的不實訊息，起因是遭到網路攻擊

俄羅斯駭客不斷透過網路攻擊進行心理戰，先前有散布烏克蘭總統澤倫斯基（Vladimir Zelensky）宣布投降的假影片，現在則是宣稱此人的健康出現狀況。根據新聞網站CyberScoop的報導，烏克蘭媒體TAVR Media旗下的電臺散播不實消息，指出澤倫斯基因健康狀況非常糟糕，且已將該國政權交給他人。

TAVR Media於7月21日發出聲明澄清，該電臺是因為遭到網路攻擊才會出現上述情況，發布與澤倫斯基健康問題相關的消息皆與事實不符。澤倫斯基也透過影片表示，自己持續在總統辦公室坐鎮，而上述宣稱他健康出狀況已經進醫院的消息，僅是俄羅斯散布不實資訊的其中之一。

研究人員揭露白俄羅斯駭客UNC1511、俄羅斯駭客UNC2589使用惡意軟體攻擊烏克蘭

美國網路司令部於7月20日指出，他們與烏克蘭國家安全局（SBU）合作，在最近幾個月發現數種惡意軟體，他們公布入侵指標（IoC）供各界防範。針對上述的攻擊行動內容，資安業者Mandiant指出，這些惡意軟體背後的攻擊者，很有可能是由白俄羅斯資助的駭客組織UNC1151，以及與俄羅斯政府有關的UNC2589。研究人員指出，這些駭客會假冒烏克蘭當局宣稱接下來可能會出現的攻擊行動，或是以薪資、防毒軟體為誘餌，來散布前述美國網路司令部公布的惡意軟體。

微軟揭露DSIRF駭客鎖定Windows與Adobe Reader零時差漏洞，攻擊奧地利、英國、巴拿馬企業

微軟在7月12日發布每月例行修補（Patch Tuesday）公告時，指出其中有個CSRSS漏洞CVE-2022-22047已遭到利用，但當時並未進一步說明攻擊行動的細節。直到最近，該公司表示，利用這項漏洞的是奧地利「民間攻擊者（Private-Sector Offensive Actor）」，這個組織成立了資安顧問公司DSIRF為幌子，但此公司實際上的業務，是專門開發駭客工具、銷售，並提供攻擊服務。研究人員亦將此駭客組織稱為Knotweed。

研究人員發現，DSIRF將漏洞用來開發惡意軟體Subzero，針對歐洲和中美洲組織發動攻擊，受害組織包含了奧地利、英國、巴拿馬的律師事務所、銀行，以及策略顧問公司。研究人員呼籲用戶應儘速安裝相關修補程式。

除了上述漏洞之外，攻擊者也運用了Adobe Reader的漏洞，但研究人員無法確定其CVE編號。

駭客外洩近550萬推特用戶資料，疑與行動裝置App漏洞有關

又有駭客從社群網站竊得大量用戶資料，並宣稱是利用平臺的漏洞而得逞。根據資安新聞網站Restore Privacy的報導，有人在地下論壇Breached Forums上，兜售5,485,636名推特用戶的資料，並宣稱他們是透過系統弱點取得，受害者不乏名人與公司行號。

駭客向該新聞網站進一步透露，這些資料是在2021年12月收集，並已有買家正在接洽當中，他們打算求售3萬美元，駭客也聲稱他們利用的漏洞，在今年一月被通報到HackerOne，該漏洞存在於安卓版的用戶端程式，現在已完成修補。該新聞網站也證實部分資料的內容正確。推特則表示正在著手調查此事。

T-Mobile去年遭網路攻擊的資料外洩事件，決定將支付3.5億美元進行和解

去年8月傳出有駭客於地下論壇，兜售來自電信業者T-Mobile的1億用戶資料，隨後該公司證實約有7,660萬名美國使用者資料外洩，並引起用戶集體訴訟。

T-Mobile於7月22日提交給美國證交所的文件指出，他們決定支付3.5億美元，來與受害用戶和解，並承諾今年和明年總共會提撥1.5億美元來投資資料安全。該公司的決定將有待美國法院核准及執行。

阿里雲OSS儲存桶遭到鎖定，駭客將其用於散布惡意Shell指令碼

雲端服務用戶的組態配置不當，而遭到駭客攻擊的情況屢見不鮮，例如，有人6月底公布10億中國民眾個資，來源就與配置不當的雲端資料庫有關。

趨勢科技揭露針對阿里雲的物件儲存服務（Object Storage Service，OSS）的攻擊行動，駭客鎖定缺乏安全配置的OSS儲存桶，透過Shell指令碼，取得AccessKey ID、AccessKey secret等配對資料，進而挾持受害者的儲存桶，並用來散布惡意軟體，或是將其用來挖取門羅幣。由於OSS的用途是供阿里雲客戶備份網頁應用程式的資料，這樣的攻擊行動很可能不易察覺。

研究人員發現勒索軟體LockBit 3.0與BlackMatter之間的關連

惡名昭彰的勒索軟體LockBit，駭客發布3.0新版本（亦稱LockBit Black）時，許多人聚焦在同時推出的漏洞懸賞計畫（Bug Bounty），最近資安業者SentinelOne、趨勢科技的研究人員，先後公布對該勒索軟體進行解析的結果，並指出駭客運用了部分勒索軟體BlackMatter的程式碼，而使得LockBit 3.0具備許多BlackMatter的特性。

例如，攻擊者需要下達特定的參數，LockBit 3.0才會執行，再者，這款勒索軟體也會列舉能夠使用的API，來濫用於攻擊行動。上述的特性皆與駭客採用了部分BlackMatter的程式碼有關。

而對於新版LockBit的其他特性，兩家資安業者各有不同的發現。SentinelOne指出，駭客透過Cobalt Strike在受害電腦投放LockBit 3.0，並藉由系統服務來維持在電腦運作，而趨勢科技則發現，駭客在留下的勒索訊息裡，搬出了歐盟的GDPR來要脅受害組織付贖金，若是不從，他們未來將會不斷對受害組織發動攻擊。

資安業者Entrust遭到勒索軟體攻擊

提供身分驗證管理解決方案的Entrust在本月初通知客戶，他們的內部網路在6月18日遭到入侵，部分資料外洩，但除此之外並未透露更多細節，此起事故直到研究人員公布Entrust通知客戶的文件才曝光。

而根據資安新聞網站Bleeping Computer掌握的資訊，該公司是遭到勒索軟體攻擊，威脅情報業者Advanced Intelligence（AdvIntel）也證實此起事故是勒索軟體，並指出駭客是從黑市買到該公司員工帳密來入侵得逞。不過，發動攻擊的駭客身分仍不得而知。

以PrestaShop系統架設的電商網站遭鎖定，駭客疑似透過SQL注入手法側錄交易資料

駭客鎖定採用Magento、WooCommerce等知名系統架設的電商網站發動攻擊，可說是相當頻繁，但其他電商平臺的用戶也不能掉以輕心。例如，電商平臺開發商PrestaShop於7月22日提出警告，他們發現駭客正在利用漏洞於電商網站注入惡意程式碼，而可能得以執行任意指令，進而竊取客戶付款的交易資料。

該公司表示，駭客疑似利用PrestaShop的漏洞CVE-2022-36408。這項漏洞存在於PrestaShop 1.6.0.10以上的版本，並搭配特定版本的Wishlist外掛程式就有可能被觸發，而使得駭客能進行SQL注入攻擊。該公司呼籲用戶升級最新版本PrestaShop來防堵相關攻擊。

駭客以程式語言Rust打造竊密軟體，並免費提供他人使用

駭客以程式語言Rust打造攻擊工具的情況，已有數個駭客組織用來製作勒索軟體，但現在有也開發竊密軟體（Info Stealer）的人士採用此種程式語言。資安業者Cyble發現，有人在7月3日，於駭客論壇上發布以程式語言Rust開發的竊密軟體，並免費提供其原始碼，研究人員將此竊密軟體命名為Luca Stealer。

此竊密程式主要是針對以Chrome為基礎開發的瀏覽器下手，並能針對其密碼管理與加密貨幣錢包的附加元件，竊取相關帳密資料。在瀏覽器之外，Luca Stealer還能挾持Skype、ICQ、Telegram、Discord等即時通訊軟體，以及Steam、UPlay遊戲平臺的帳號。研究人員指出，在3個星期之中，他們已經看到駭客用於25起攻擊行動。

惡意軟體QBot利用舊版小算盤側載，確保能在受害電腦上正確執行

攻擊者濫用系統內建的應用程式發動寄生攻擊（LoL），來側載惡意程式庫的（DLL Sideloading）現象算是相當常見，但現在有人選擇自行挾帶舊版作系統的應用程式，來確保惡意軟體能正常運作。

研究人員ProxyLife與資安業者Cyble聯手，揭露駭客散布惡意軟體QBot（亦稱QakBot）的攻擊行動，駭客首先透過電子郵件來散布HTML檔案，一旦受害者將之開啟，就會下載受到密碼保護的ZIP壓縮檔案，內容是ISO映像檔。

而此ISO檔的內容，包含了4個檔案，其中比較特別的是內有Windows 7版本的小算盤可執行檔（CALC.EXE），駭客將其用來載入惡意DLL檔案，最後將QBot的酬載注入檔案總管，並執行進一步的攻擊行動。這樣的手法，即使微軟在Windows 10、Windows 11移除了相關系統元件，駭客仍能載入QBot發動攻擊。

因應微軟封鎖來自網路的Office巨集，駭客使用ISO映像檔、RAR壓縮檔打包惡意文件

為了防堵駭客利用Office惡意巨集發動攻擊，微軟自6月開始，針對來自網路上的Office檔案，直接封鎖巨集的功能，但道高一尺魔高一丈，駭客已設法突破這樣的保護措施。

資安業者Proofpoint發現，微軟從去年10月開始宣布要採取相關措施後，有越來越多駭客在發動網路釣魚攻擊的時候，將惡意文件檔案進行包裝，他們會使用ISO、IMG光碟映像檔，或是RAR壓縮檔來挾帶這類文件檔案，使得這些惡意文件檔案不會被加上來自於網路的標記（Mark-of-the-Web，MOTW），而能突破微軟的防護機制，駭客仍然可以引誘受害者啟用巨集來達成目的。

研究人員指出，另一個受到許多駭客採用的手法，則是使用LNK捷徑檔案來執行惡意軟體，自去年10月至今，相關的攻擊行動數量成長近17倍（1675%）。

機器學習模型有可能會被騙過而影響資安系統的偵測能力！研究人員透過人工智慧對抗性攻擊，導致資安防護系統產生大量誤報

近年來為了加速找出資安威脅並做出回應，資安防護系統採用機器學習與深度學習的情況越來越普遍，但有研究人員提出警告，駭客有可能操弄機器學習的機制，進而繞過資安防護系統。

美國要塞軍校（The Citadel）的研究人員指出，他們發現攻擊者有可能藉由特製的假資料，來針對採用深度學習模型的網路入侵偵測系統下手，發動對抗性攻擊（Adversarial Attack），以愚弄神經網路進而改變此網路防護系統的行為。

這些研究人員主要聚焦於DNS放大攻擊手法，並訓練一個專門識別此種攻擊的深度神經網路（準確度達98%）模型來進行實驗，結果在使用TextAttack和Elastic-Net Attack兩種對抗性攻擊手法後，上述透過深度神經網路打造的網路威脅檢測系統的準確性顯著下降，並產生大量誤報和漏報。研究人員計畫日後針對實際運作的網路入侵偵測系統進行相關檢測。

北韓駭客使用木馬程式Konni攻擊歐洲國家，但俄羅斯駭客可能也參與其中

北韓駭客APT37近期動作頻頻，先前在今年初針對俄羅斯外交部發動網釣攻擊，現在目標已擴及歐洲多個國家。資安業者Securonix揭露名為Stiff#Bizon的攻擊行動，APT37使用Word檔案與捷徑檔案，鎖定捷克、波蘭等歐洲國家的高價值組織（High Value Target），以俄羅斯戰地記者的報導為幌子，散布RAT木馬程式Konni。

研究人員指出，雖然從惡意軟體與攻擊手法來看，攻擊者的身分是APT37，但根據這起攻擊行動所使用的IP位址、主機代管業者等資訊，俄羅斯駭客APT28（亦稱FancyBear）也很有可能參與其中。

臺灣虎航公告遭網路攻擊，客戶資料恐遭外洩

廉價航空業者臺灣虎航於7月22日傍晚，於臺灣證券交易所發布公告，證實該公司遭到網路攻擊，他們已聯合外部資安公司協同處理，並通報相關執法單位。該公司評估營運無重大影響，但在網站上公布反詐騙聲明，要旅客留意可能會衍生的網路詐騙攻擊。

在去年7月專門針對公益團體捐款人行騙的詐騙集團，刑事局近日宣布破獲，並公布受害規模

國內在去年7月爆發大規模捐款人士遭到詐騙的事故，多個公益團體，如：唐氏症基金會、大甲媽社會福利基金會、育成社會福利基金會等，他們的資訊系統都是交由網軟處理，駭客成功入侵該公司並竊得捐款人資料，交由詐騙集團濫用，現在警方破獲此案並逮捕詐騙集團成員。根據中央社的報導，內政部警政署刑事警察局於7月27日，宣布假冒國內45個公益團體的詐騙集團，這些嫌犯藉由前述取得的公益團體捐款人資料，打電話謊稱扣款設定錯誤，必須操作ATM解除分期付款設定，然而受害者依照指示操作後，就會將存款匯至詐騙集團的人頭帳戶。

專案小組自去年9月至今年5月，共查獲48名車手與幹部成員，總計有188人受害，損失逾3,409萬元，其中單次被騙最高金額為506萬餘元。專案小組在長期蒐證後，於5月24日搜索主嫌羅姓男子的公司，查獲電話卡9,445張、電腦主機9臺、貓池主機24臺、手機15隻等證物。羅男與張姓員工將依詐欺和洗錢等罪嫌送新北地檢署偵辦，並裁定以20萬元與5萬元交保。

刑事局指出，詐騙集團為了避免贓款流向被警方發現，羅男先以公司名義申請大量電話卡，再運用貓池接收蝦皮簡訊驗證碼，註冊數萬個蝦皮帳號供中國的假交易集團運用，設立蝦皮賣場，讓被害人匯款到蝦皮錢包，最後以錢包裡的贓款購買虛擬貨幣泰達幣（USDT）來進行洗錢。

專門管理企業臉書帳號的人士遭到竊密軟體Ducktail鎖定

駭客從職場社群網站LinkedIn上，找尋特定職務的人士竊取臉書帳號的情況，有可能成為駭客對受害組織發動攻擊的管道。資安業者WithSecure揭露名為Ducktail的攻擊行動，駭客透過LinkedIn，針對市場行銷與人力資源部門的人士發動攻擊，藉由網路釣魚的手法，在受害者的電腦植入竊密軟體Ducktail，目標是挾持這類人士的臉書帳號。

由於這些人士的帳號可能具有公司粉絲團的管理權限，駭客一旦得手就有機會冒用這些公司的名義散布訊息，或是向其他員工散布惡意軟體，甚至能為商務郵件詐騙（BEC）攻擊布局。

自中國10億民眾資料事件曝光，大量使用中文的用戶湧入地下論壇，管理者呼籲要透過英文進行交流

在6月底有人於英文地下論壇BreachForums兜售10億中國民眾個資，並標榜資料來自該國政府機關，引起軒然大波，許多研究人員探討事故發生的原因，但此起事故在網路犯罪圈引發的後續效應也相當值得關注。

資安業者Cybersixgill發現，自上述10億人資料的外洩事故爆發後，有大量使用簡體中文的新用戶在BreachForums進行交流，使得網站管理者發出公告，呼籲用戶要使用英文發送訊息，若不擅長使用英文溝通，可考慮透過翻譯軟體將中文轉成英文。

再者，研究人員發現，該論壇提供中國實體外洩資料的情況大幅增加，光是在7月上半就有25起。相較之下，於3至6月期間，每月平均僅有14起，7月上半就已是這些月份快2個月的數量。

研究人員認為這些現象發生的原因，是在前述的資料外洩事件後，中國駭客認為此英文論壇是他們能夠出售資料新管道。由於使用中文與英文的地下社群鮮少有所交集，這次大量中國駭客湧入英文駭客社群的現象，後續帶來的影響相當值得觀察。

駭客鎖定DHL收件人發動網釣攻擊，並濫用Telegram機器人接收資料

駭客假冒物流業者DHL來發動網路釣魚攻擊的情況，可說是相當頻繁，但現在有人在竊取資料的過程裡，運用了更為隱密的手法，而使得研究人員可能難以察覺。資安業者Sucuri揭露鎖定非洲突尼西亞的網路釣魚攻擊，駭客捏造了DHL的包裹運送進度查詢網站，並宣稱受害者的物品運送過程出現異狀，必須重新提供寄送資料並線上刷卡支付1.49美元費用，該快遞業者才會繼續處理。一旦受害者依照指示操作，駭客就有可能取得信用卡資料與個資。

但此起攻擊事件與其他的釣魚網站攻擊相比，存在數個較為少見的做法，首先，駭客會對使用者的來源IP位址進行檢查，若是發現使用了VPN服務或是Proxy，此網站便會將使用者重新引導到Google；再者，則是對於竊得受害者的資料之後，將其傳輸到駭客手上的方法也有所不同，駭客濫用了雲端應用程式開發平臺Heroku與Telegram機器人，來進行資料傳輸，並非藉由電子郵件挾帶。這樣的做法能夠直接繞過郵件防護系統的偵測。

駭客竊取SQL Server、MySQL伺服器的網路頻寬，將其出售牟利

駭客從受害電腦竊取的東西，不只是機密檔案、電腦運算能力，就連網路頻寬也能偷來賺錢，其手法是暗中植入代理伺服器軟體（Proxyware），將受害電腦的流量供他人使用如今也針對企業的資料庫系統下手。資安業者AhnLab發現近日有人鎖定SQL Server、MySQL等資料庫主機，透過廣告軟體（如Neoreklami）來植入Peer2Profit或IPRoyal代理伺服器軟體。

其中比較值得留意的是，駭客在濫用IPRoyal的服務牟利時，他們會較為偏好使用CLI版本的用戶端程式，透過命令列的方式來部署，使得受害組織難以察覺遭到攻擊的跡象。

【漏洞與揭露】

網站內容管理系統Drupal的RCE漏洞得到修補

駭客攻擊網站內容管理系統（CMS）的事故不斷發生，雖大多是針對WordPress而來，但Wix、Joomla、Drupal等系統的漏洞也值得留意。Drupal的開發團隊於7月20日發布資安通告，公告4項漏洞的細節與緩解措施，影響9.3與9.4版，當中最為嚴重的是CVE-2022-25277，一旦攻擊者加以利用，就有可能透過Apache網頁伺服器上傳惡意文件的方式，執行任意PHP程式碼。不過，要觸發這項漏洞存在限制，其中一項就是網站伺服器必須是使用Apache網頁伺服器，Drupal呼籲網站管理員要儘速檢查伺服器是否遭到入侵，並發布9.3.19與9.4.3版修補上述漏洞。

此外，資訊洩露漏洞CVE-2022-25275也影響Drupal 7，網站管理員應升級7.91版來緩解漏洞。

Node.js存在原型污染漏洞，恐被攻擊者用於RCE攻擊

隨著網頁應用程式框架受到廣泛應用，在JavaScript程式碼裡可能會存在的原型污染（Prototype Pollution）漏洞，也引起研究人員關注。瑞士皇家理工學院（KTH Royal Institute of Technology）的兩名研究人員指出，在今年3月公布Node.js後端程式Parse Server的重大漏洞後，他們又從NPM CLI裡找到2個能被用於原型污染攻擊的漏洞，並指出Node.js的API當中，有11個小工具（Gadget）潛藏被用於RCE攻擊的風險。

LibreOffice釋出更新7.2版，修補3項漏洞

LibreOffice在本月25日釋出7.2.7與7.3.5版，修補德國聯邦資訊安全辦公室下OpenSource Security公司通報的三項漏洞，其中CVE-2022-26305漏洞的嚴重性，攻擊者若利用將可透過巨集去執行任意程式碼。

圖像化資料分析系統Grafana修補可能會導致管理員帳號遭到接管的漏洞

資安研究團隊HTTPVoid於6月底，在圖像化資料分析系統Grafana發現OAuth功能的漏洞CVE-2022-31107，一旦攻擊者加以利用，就有機會存取其他使用者的帳號，CVSS風險評分為7.1分，Grafana 5.3版以上都會受到影響。Grafana於7月14日發布8.3.10、8.4.10、8.5.9、9.0.3版予以修補。開發團隊指出，若是使用者暫時無法更新Grafana，也可透過停用所有的OAuth身分驗證機制，來緩解上述漏洞。

研究人員指出，漏洞在取得CVE編號的15分鐘後，就可能會有駭客開始嘗試利用

IT人員在執行系統的修補工作上，通常至少需要一天以上的時間，很多人可能會覺得在零時差漏洞之外，大多數的漏洞仍能有幾天的時間緩衝，駭客不會這麼快就出手，但其實不然。資安業者Palo Alto Networks最近指出，駭客會不斷監控軟體開發者的資安公告，是否有新的漏洞資訊，並在漏洞取得CVE編號的15分鐘後，就開始在網際網路上掃描，找出存在漏洞的系統。

臺廠Moxa修補工控裝置伺服器設備的零時差漏洞

資安業者En Garde Security提出警告，臺灣工控網路通訊業者四零四科技（Moxa）旗下的NPort 5100系列設備伺服器，存在兩個零時差漏洞CVE-2022-2043、CVE-2022-2044，CVSS風險評分為7.5與8.2分，一旦遭到利用，攻擊者很可能藉由越界寫入的手法，或是改變記憶體數值，導致此裝置出現無法回應的狀態。

四零四科技在3月獲報後，於6月上旬予以修補，並表示這些漏洞只存在於2.10版韌體。美國網路安全暨基礎設施安全局（CISA）也於7月26日發布資安通告，呼籲用戶應儘速部署新版韌體。