【資安日報】2022年12月30日，數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令

Citrix針對旗下的Citrix ADC與Citrix Gateway，於上個月和本月各修補了1個CVSS風險層級近乎滿分的重大漏洞，但最近有資安業者提出警告，超過7千臺採用這系列產品的系統尚未完全修補，至少存在其中一個漏洞，而有可能成為駭客鎖定的目標。

智慧音箱提供聲控的功能為使用者帶來便利，一旦這類設備出現漏洞，就有可能成為駭客用來監控使用者的管道。有研究人員發現了能挾持Google Home智慧音箱的漏洞，Google認為此項漏洞也可能波及Google Nest與Fitbit等連網裝置，而二度頒發獎勵。

微軟日前針對來自網際網路上的Office檔案，大幅限縮執行VBA巨集的功能，而使得駭客改以濫用Excel範本檔案XLL來發動攻擊，有威脅情報研究團隊揭露其手法的演進，並指出駭客濫用應用程式開發框架來打造這種惡意範本檔案。

【攻擊與威脅】

數千臺Citrix伺服器存在重大漏洞

Citrix於11月、12月上旬先後修補了CVE-2022-27510及CVE-2022-27518兩個重大漏洞，CVSS風險層級分別達到9.8分與10分，影響Citrix ADC與Citrix Gateway，後者更已傳出被用於攻擊行動，但仍有不少設備尚未修補上述漏洞。資安業者Fox IT指出，在網際網路上公開的設備約有2.8萬臺，當中約有3,000臺同時存在上述兩項漏洞，約1,000臺受到CVE-2022-27510影響，約3,500臺可能曝露在CVE-2022-27518的風險之中。

研究人員指出，公開於網際網路的Citrix ADC與Citrix Gateway設備，數量最多的依序是美國、德國、英國，分別有42%、57%、45％修補上述2個漏洞。

因應微軟圍堵VBA巨集，駭客濫用.NET開發框架製作惡意Excel範本檔案，並用於網釣攻擊

思科的威脅情報小組Talos揭露近期駭客濫用Excel範本檔案（XLL）的攻擊行動，指出隨著微軟對於來自網際網路（MoTW）的Office檔案限縮VBA巨集的功能，駭客開始偏好使用惡意XLL來發動攻擊，且於去年年底達到高峰。這些駭客採用Excel-DNA和Add-In Express等應用程式開發框架，以.NET程式語言開發惡意Excel範本檔案。

其中，名為Warzone（亦稱Avemaria）的木馬程式在今年8月就是透過這類XLL檔案散布，駭客假冒匈牙利警方對當地使用者發動釣魚郵件攻擊。

印度鐵路公司外洩大量資料，3千萬筆乘客個資流入暗網

根據新聞網站Economic Times的報導，12月27日，印度鐵路餐飲暨旅遊公司（IRCTC）傳出大規模資料外洩事件，駭客於暗網兜售相關資料，聲稱掌握了3千萬筆曾經搭乘的旅客個資與發票，個資內容包括使用者名稱、電子郵件信箱、手機號碼、性別、城市代碼、偏好使用的語言等。而發票的部分，其中有些的到期日為今年的12月31日。

駭客表示政府人員與重要人物的個資已被盜用，他們的資料已有10個人購買。這並非IRCTC首度遭駭，該公司曾於2019年遭到攻擊，而在隔年有900萬人個資出現在網際網路上。

【漏洞與修補】

Google智慧音箱弱點恐讓駭客能偷窺語音指令

研究人員Matt揭露於去年通報的Google Home智慧音箱漏洞，這項漏洞一旦遭到利用，攻擊者有可能在該智慧音箱新建帳號，然後在網路環境裡部署後門程式，以便遠端進行控制，並且存取麥克風來監聽使用者說話的內容。研究人員對此也公布了3個概念性驗證程式，分別利用該漏洞監控麥克風、發出任意HTTP請求，以及在智慧音箱讀寫任意檔案。Google獲報後於2021年4月修補，研究人員得到10.7萬美元獎勵。

【資安防禦措施】

美國將全面禁止公務裝置安裝抖音

根據華盛頓郵報、路透社報導，美國參議院12月14日無異議通過名為《No Tiktok on Government Devices Act》的法案，將禁止美國政府或國營企業的任何裝置下載或使用抖音。一旦獲得該國總統拜登簽署，將成為正式法律。美國行政管理與預算局（Office of Management and Budget）將於法律發布後的60天內，和其他相關單位諮詢後制定標準和指引，要求行政部門移除這個中國應用程式。這並非參議院首度封殺抖音──他們曾在2020年通過類似法律，但當時的總統川普並未簽署而沒有實施。