【資安月報】2022年12月

在12月資安新聞中，有3大面向的議題可以進一步探討與關注，包括微軟Exchange漏洞利用的最新消息，惡意網站偽冒品牌業者，並利用搜尋引擎廣告來散布的威脅態勢，以及本月資安防護新聞有數個熱門焦點。

首先，在這個月有一項漏洞利用攻擊受關注，起因是雲端服務業者Rackspace代管的Exchange伺服器在12月初，因遭勒索軟體攻擊而中斷運作，一個月後，該公司公布委託資安業者CrowdStrike調查的結果。Rackspace指出，這場攻擊由Play勒索軟體的駭客組織發動，是使用一個未知的漏洞入侵他們代管的Exchange伺服器，並指出該漏洞與微軟11月修補的CVE-2022-41080漏洞有關，因此並非直接透過CVE-2022-41080漏洞來入侵。

特別的是，在12月20日，CrowdStrike曾經揭露相關漏洞利用相關消息，當中提供了更多資訊。該公司研究人員表示發現新的漏洞利用方法，是串連利用了CVE-2022-41080與CVE-2022-41082的漏洞，將可繞過ProxyNotShell（由CVE-2022-41082及CVE-2022-41040組成）的緩解措施，但若已安裝修補微軟11月的Exchange更新修補，此攻擊手法將變得無效。而這項發現，是他們在調查Play勒索軟體事件時所得出的結論，因此，該業者當時也趕緊建議用戶盡速安裝更新修補。

至於CVE-2022-41080漏洞，美國網路安全暨基礎設施安全局（CISA）後續也將這個漏洞列入已知被利用漏洞（KEV）列表，也印證駭客針對該漏洞鎖定利用的情形出現。

另一項關注的攻擊態勢，是美國FBI發出警告──有網路犯罪者持續利用搜尋引擎廣告、假冒品牌業者的方式，來散布惡意網站。因此他們提醒企業與民眾注意，並對企業提出三項建議，可利用網域名稱保護服務，向用戶宣導認識詐騙網站與識別正確URL的重要性，以及告知用戶如何找到合法下載管道，同時呼籲民眾個人也要懂得自保，廣告連結同樣要檢查網址是否有異。

事實上，這樣的狀況在2022年11月的資安月報也提到，因為臺灣持續有相關案例。而在美國FBI發出警告之後幾天，還有一些資安業者揭露這類型攻擊的研究與調查。

例如，趨勢科技揭露殭屍網路病毒IcedID的攻擊行動，就是會透過Google的點擊付費廣告管道，假冒知名品牌業者名義，引誘使用者到惡意網站下載安裝程式；另一家資安業者Guardio也揭露不同攻擊行動，指出駭客組織Vermux的手法更隱密，在濫用Google廣告、冒名提供應用程式的過程中，在連至真正惡意網站前，使用一個位於俄羅斯的masquerAds網域來進行重新導向，也就是先以無害的masquerAds網站，來通過Google的審核機制。

另外，12月還有多項安全防護面的重要發展，成為熱門資安新聞焦點。

例如，以開發人員與資安人員而言，有兩項消息受到廣泛關注，一是Google新推OSV-Scanner，可幫助專案相依項目與已知漏洞列表做到自動化比對，另一是GitHub推出Secret scanning的功能，可幫助開發人員檢查不慎將帳密、金鑰或憑證嵌入在程式碼，造成秘密外洩的問題。

以半導體產業而言，SEMI國際半導體產業協會宣布推出「半導體資安風險評級服務」，期盼帶動資安行動力不足的半導體業，都能更有效地提升資安量能，而且，非SEMI會員也可訂閱這項服務。

以物聯網相關上游產業而言，聚焦IoT平臺與元件的SESIP標準，首次有國際組織在臺推動，而資策會也與該標準推動者Global Platform簽署MOU，希望在臺灣建立認可實驗室後，本土物聯網產品廠商可以就地檢測，更期盼我國的IoT晶片安全與測試標準也能鏈結國際。

另外，我國金管會新發布金融資安行動方案2.0，將新增12項措施（共40項），並綜整為9個推動重點，成為國內金融業未來所關注的重點；而隨著美國國防部網路安全成熟度模型認證（CMMC）2.0版草案的推出，臺灣產業對此議題的重視程度備受探討，尤其是電機電子與國防業者在爭取商機上，應當更要密切關注與行動。

此外，本月還有亞洲國際密碼學會議在臺舉行的消息，PQC轉換議題再度浮上檯面，而在國際間，美國政府不僅開始付諸行動，白宮12月簽署量子運算網路安全準備法案（H.R. 7535），更進一步促成後量子密碼學過渡計畫的實踐。

【資安週報】2022年12月5日到12月9日

在這一周資安新聞中，有多項漏洞消息受關注，包括三菱電機PLC多項漏洞等待業者修補中的消息，還有American Megatrends的一系列BMC韌體漏洞被揭露，多家主機板業者受影響。

其他關注的漏洞修補消息，包括FreeBSD修補ping元件的記憶體緩衝區溢位漏洞CVE-2022-23093，Linux作業系統修補存在於snap-confine模組的高風險漏洞CVE-2022-3328，以及Intel修補資料中心管理主控臺（DCM）的漏洞。

在威脅新態勢方面，有兩大焦點值得關注。國際間出現鎖定電信業者、業務流程外包公司，竊取SIM挾持攻擊所需權限的攻擊行動；有駭客手法是在釣魚郵件中，挾帶微軟筆記軟體OneNote的檔案（.ONE）來散布惡意軟體Formbook。在國際威脅焦點方面，近期揭露的重大事件有下列幾起，像是：美國軍火供應商遭到俄羅斯駭客TAG-53攻擊的情況，以及近期中國駭客Mustang Panda（又名APT41）假借歐盟名義發送釣魚郵件，在全球植入惡意軟體PlugX的情況。

本周還有幾則新聞顯現出值得關注的趨勢，包括Google公布Android 13有更多新程式碼是用Rust開發，且Rust程式碼中目前發現的記憶體漏洞為零；12月5日「SEMI半導體資安風險評級服務」服務方案推出，非會員亦可訂閱，讓供應鏈資安強化有更容易進行的方式；Global Platform近期在臺推動一項物聯網安全SESIP標準，由於能高度與其他資安標準對應而受到看重。

至於國內資安事件的消息，衛福部在7日回應了桃園醫院資安事件的媒體報導，針對2019年的3起事件說明當時處理情形。

【資安週報】2022年12月12日到12月16日

在這一周資安新聞中，有多項漏洞修補消息受關注，包括微軟本周釋出12月Patch Tuesday，當中修補一項的零時差漏洞CVE-2022-44698，以及Citrix在13日公告修補ADC與網路閘道器產品的零時差漏洞CVE-2022-27518，都已有攻擊行動鎖定，必續盡快修補。

同時，Fortinet於11月修補SSL VPN漏洞CVE-2022-42475，後續該公司也發布資安通告說明已有攻擊行動鎖定利用的情形。還有要注意的是，iPhone的WebKit零時差漏洞CVE-2022-42856被鎖定，其中iOS 15.1手機用戶須特別注意。另外，本周新聞尚未提到的Veeam Backup & Replication的CVE-2022-26500與CVE-2022-26501漏洞修補，我們認為同樣須要留意。

關於新漏洞揭露上，亦有兩大焦點，其影響層面不小。研究人員發現多款WAF產品因無法識別JSON格式、恐被發動SQL注入攻擊，多家廠牌都受影響，已有5家廠商釋出修補，其他產品用戶也應設法了解；還有數款防毒軟體與EDR系統也被研究人員發現零時差漏洞，受關注的是，這些漏洞可能被用於打造資料破壞軟體（Wiper），多家廠商也紛紛釋出修補。

關於攻擊新趨勢方面，資安業者發現惡意軟體QBot有新的散布手法，攻擊者會在惡意郵件中的HTML附件中挾帶包含惡意JavaScript的SVG圖片；另外針對開源套件庫的方面，資安業者發現有網路攻擊者在NuGet、NPM、PyPI套件庫，透過自動化方式，打造並上傳了超過14萬個惡意套件。此外，還有一個值得留意的威脅態勢，是近來有勒索軟體攻擊濫用微軟簽章的驅動程式的情形，微軟獲報後發現數名開發人員計畫帳號被濫用。

而在國內方面，關於2022年臺灣APT攻擊現況，資安業者TeamT5揭露這方面資訊，他們觀察到全年有109起APT攻擊行動，以阿米巴Amoeba與畫皮Hupai這兩個駭客組織為大宗，政府與軍方是主要遭受攻擊目標。

至於安全防護面向上，本周Google新推的OSV-Scanner，是開發人員與資安人員重視的焦點，該機制可讓專案相依項目與已知漏洞列表，提供自動化比對的幫助。

【資安週報】2022年12月19日到12月23日

在這一周資安新聞中，就是微軟最近將9月修補的漏洞CVE-2022-37958，調整為RCE漏洞，由於該漏洞涉及SPENGO NEGOEX防護，SMB與RDP等都受影響，因此受到廣泛關注。其他重大的漏洞消息，包括Samba在15日修補多項高風險漏洞，以及思科在12月中旬更新多則資安通告，當中指出多年前修補的漏洞在今年3月被用於攻擊行動。

勒索軟體Play針對ProxyNotShell漏洞繞過的攻擊手法，持續成為焦點，資安業者發現有新手法OWASSRF攻擊Exchange伺服器。在攻擊新趨勢方面，以殭屍網路病毒而言，本周有MCCrash與Zerobot的攻擊動向受關注；在新興技術研究方面，有研究人員提出規避EDR監控的新硬體斷點技術，以及展示熱門自然語言對話語言模型ChatGPT與Codex可能被攻擊者應用的情境。

在這一週資安消息當中，有幾則都是受到比較多討論的，像是：烏克蘭軍事情報系統Delta遭到竊密軟體攻擊、FBI威脅情資交換平臺InfraGard遭駭；還有雲端身分安全業者Okta說明原始碼遭竊，以及密碼安全服務業者LastPass客戶資料庫備份遭複製的事件。

另外，國際間又有BEC詐騙案的警告，但這次並非變更匯款帳號騙取金錢，而是騙取貨品。這類案情雖不多見，但早年其實發生過，例如，五年前國內刑事警察局國際刑警科對於BEC詐騙就看到這樣的狀況，並指出手法萬變不離其宗，最終目的都是騙取金錢或貨品。

至於安全防護的焦點上，GitHub將推出一項Secret scanning功能最受關注，可協助因應因開發人員不慎將帳密、金鑰或憑證嵌入程式碼的問題。

【資安週報】2022年12月26日到12月30日

在12月最後一周的漏洞消息中，主要焦點包括：Linux核心CVE-2022-47939漏洞（CVSS評分10）被揭露，Apache ShardingSphere-Proxy的CVE-2022-45347漏洞修補，Kubernetes政策管理引擎Kyverno的CVE-2022-47633漏洞修補，以及月前Citrix ADC與Gateway漏洞修補後的企業更新狀況。

特別要注意的是，TIBCO Software在2018與2019年針對JasperReports伺服器修補的兩個已知漏洞（CVE-2018-5430與CVE-2018-18809），最近有攻擊者正針積極鎖定利用，本周新聞中尚未提到，值得先行留意。

至於威脅趨勢上，有兩起值得留意，首先是美國電信業者Comcast Xfinity用戶帳號遭入侵的事件，駭客疑繞過雙因素驗證挾持帳號；其次是駭客在Google廣告散布竊密軟體是利用masquerAds規避審核。另外，針對WordPress外掛程式的攻擊行動又有新的事件。

還有一些國際資安新聞受到不小的關注，例如：美國參議院通過公務裝置全面禁用抖音的法案，南韓警方揭露當地外交智庫學者有近千人遭網釣攻擊，以及俄羅斯駭客企圖入侵北約國家煉油廠；在國內，金融資安行動方案2.0出爐消息最受注目。

2022年11月資安月報

2022年10月資安月報

2022年9月資安月報

2022年8月資安月報

2022年7月資安月報