【資安日報】2023年1月19日，Git修補3個重大RCE漏洞；印度人力銀行網站因資料庫配置不當而曝露近千萬筆個資

GitLab最近釋出新版本，目的是修補三個漏洞，值得關注的是，其中CVE -2022-41903、CVE-2022-23521都是重大層級漏洞，GitLab呼籲用戶盡速更新，對於無法立即更新的用戶，他們也提供了一些可降低風險的建議步驟供用戶暫時應變。

勒索軟體的危害持續受企業關注，最近有資安業者表示，對於近來攻擊活動頻繁的BianLian勒索軟體，他們打造出解密工具，讓既有受害者能夠得以恢復檔案。

資料庫配置不當的問題又一樁，這次研究人員揭露的是印度人力銀行Rocket有大批客戶資料因存放在可公開存取的資料庫而曝險，再次突顯雲端管理疏失的問題。

【攻擊與威脅】

Fortinet說明VPN漏洞被濫用攻擊政府單位

去年底有駭客組織針對Fortinet產品CVE-2022-42475漏洞的攻擊，Fortinet近日揭露更多攻擊細節，除了指出攻擊者這波精準攻擊行動是針對政府機關及相關單位而來，指出這次發現的是過去為FortiOS客製化的Linux二進位檔Bakso後門程式的Windows變種。這隻惡意程式操弄FortiOS的紀錄流程，最後刪除紀錄檔以躲避偵測及長期滲透。其他下載程式則破壞了Fortinet的入侵偵測（IPS）功能，使其無法監測流量中的違法活動。

印度人力銀行Rocket資料庫配置不當，曝露近千萬求職者與員工的資料

科技新聞網站Cybernews的研究人員2022年12月12日發現一個可公開存取的資料庫，裡面總共有260 GB個資，而且是印度人力銀行Rocket所擁有的數據。研究人員發現約43.5萬份薪資單、300份稅務表單、3,800份保險付款文件，以及2.1萬個薪資試算表，這些資料屬於採用Rocket服務的多家公司。此外，他們還看到約900萬名求職者的個資，包括未經過雜湊函數轉換處理（hashed）的電子郵件、電話號碼、姓名、居住地址，以及履歷，甚至是拍成圖檔的個人文件，像是駕照、選民身分證件、銀行存摺等。對此，Rocket向Cybernews透露，出現上述現象的原因，主要是他們新部署的大數據圖解系統Kibana配置不當造成。

Exchange Server 2013支援期還剩不到90天

隨著2023年的到來，近期微軟開始提醒用戶，Exchange Server 2013 SP1的延伸支援將於今年4月11日終止，屆時其產品生命週期正式結束，也不會再有安全更新，呼籲還沒轉換的用戶需盡速採取行動。

Avast宣布已打造出「變臉」勒索軟體解密工具

針對2022年8月新現身的BianLian（變臉）勒索軟體，最近有資安業者帶來好消息，Avast在1月16日宣布釋出其解密工具，幫助遭受此勒索軟體攻擊的受害者電腦，可以在不付贖金的情況下，恢復遭惡意加密的文件。根據Avast說明，這隻勒索軟體不會從頭開始加密文件，也不會加密到最後，而是固定偏移量的部分加密。

研究發現大型語言模型促進輿論操縱，假消息將更多更具說服力

喬治城大學、OpenAI、Stanford Internet Observatory（SIO）合作，展開對大型語言模型（LLM）對輿論風向操縱的研究，最新論文中指出，大型語言模型被濫用於輿論風向操縱，將導致數量更多，形式更多樣的輿論風向操縱應用，且目前還無有效的解決辦法。

【漏洞與修補】

Git修補重大RCE漏洞

資安業者X41 D-Sec揭露Git的3個漏洞CVE -2022-41903、CVE-2022-23521，以及CVE-2022-41953，前兩個都是重大層級的漏洞，與記憶體的越界寫入有關，而使得攻擊者有機會執行任意程式碼。至於CVE-2022-41953存在於Windows版的GUI程式，導致該軟體在剛完成遷出程序的worktree指令中進行拼字檢查，而可能執行到不應信任的程式碼。

若要確保使用Git時不會受到這些漏洞的影響，GitHub表示，最有效的方法是將Git升級到2.39.1版。如果無法馬上更新，GitHub提出三個步驟，建議用戶改變一些作法，以便降低風險，同時，站方也會主動進行一些工作協助使用者對抗漏洞濫用攻擊，像是掃描GitHub.com全部的儲存庫、執行GitHub.com漏洞緩解作業，定期更新GitHub Desktop、 GitHub Codespaces、GitHub Actions，以及GitHub Enterprise Server，針對這些系統或服務使用的Git進行升級。