【資安週報】2023年9月18日到9月22日

許多IT廠商在前一週發布9月份例行更新，但在本週的資安新聞裡，有多起漏洞攻擊行動引起研究人員關注，並呼籲企業組織、使用者應儘速修補，這些漏洞包含：

（一）8月份Juniper修補的CVE-2023-36845，當時該廠商評估風險等級為中等，但資安業者VulnCheck發現該漏洞嚴重程度被低估，已有駭客嘗試將其用於攻擊行動；

（二）開源物件儲存服務MinIO於3月修補的漏洞CVE-2023-28432、CVE-2023-28434，駭客針對DevOps工程師下手，在目標系統植入後門程式Evil MinIO，竄改更新伺服器的網址，然後派送惡意更新；

（三）蘋果針對旗下電腦、行動裝置、穿戴裝置，修補零時差漏洞CVE-2023-41991、CVE-2023-41992、CVE-2023-41993，這些由加拿大公民實驗室與Google威脅情報小組（TAG）通報的漏洞，已被用於攻擊iPhone裝置；

（四）趨勢科技針對旗下端點防護產品Apex One、Worry-Free Business Security（WFBS）漏洞CVE-2023-41179發布公告，已有攻擊行動出現，引起日本電腦網路危機處理暨協調中心（JPCERT/CC）注意；

（五）駭客假借提供6月WinRAR修補漏洞的PoC，但其實是利用地圖服務伺服器程式GeoServer的SQL注入漏洞CVE-2023-25157，散布木馬程式VenomRAT。

其他的重要漏洞修補警告，還包括：GitLab修補執行任意自動化工作流程漏洞CVE-2023-4998，以及Fortinet修補防火牆作業系統、上網安全閘道、WAF的高風險漏洞CVE-2023-29183、CVE-2023-34984，網路監控軟體Nagios XI修補高風險漏洞、N-able遠端管理工具的CVE-2023-27470、程式庫ncurses的記憶體毀損漏洞等。

面對日與俱增的資安威脅，本週除了研究人員極力呼籲使用者儘速修補已公開的漏洞，資安界也有多項動態值得留意。

首先是資安業者Mandiant舉辦的mWISE Conference 2023資安防禦會議，FBI局長Christopher Wray提到攻防極度不對等的資安態勢，他表示，中國駭客人數是FBI資安專家的50倍以上，防守方勢必要善用AI人工智慧技術，還有政府、執法機關與民間產業之間更為緊密的合作，才有機會扭轉局勢，他甚至認為企業應該在資安防護計畫裡納入FBI，充分發揮執法的力量。

再者，OpenAI為了改善機器學習模型的安全，擴大原本的紅隊演練規模，成立名為OpenAI Red Teaming Network的紅隊演練網路，從數十個專業領域招募專家，看重的是專家能提供該領域的專業觀點，而有可能突破人工智慧產業的盲點。

本週資安界有兩起重大的廠商併購案，分別是19日資安業者CrowdStrike買下應用程式安全態勢管理（ASPM）新創Bionic，及21日思科買下大數據資安業者Splunk，其中又以思科和Splunk的併購案受到最多關注。值得留意的是，這起合併案2022年2月就傳出風聲，當時思科打算以200億美元買下Splunk，而現在實際成交的金額達到280億美元，較先前的傳聞多出4成。

【9月18日】開源物件儲存服務MinIO漏洞遭到鎖定，駭客企圖發動供應鏈攻擊，入侵企業組織內部環境

駭客利用開發環境入侵目標組織，發動供應鏈攻擊的情況再度出現，最近資安業者Security Joes揭露的攻擊事件裡，駭客就是鎖定開源物件儲存服務MinIO的已知漏洞而來，對方先是針對工程師下手，說服他們安裝含有弱點的MinIO，從而發動攻擊，這樣的做法相當罕見，使得研究人員呼籲管理者要提高警覺。

由於MinIO往往搭配AWS S3、Google Cloud Storage、Azure Blob Storage等雲端儲存桶運用，使得上述的攻擊手段影響範圍可能相當廣泛。

【9月19日】Juniper甫修補的中等風險漏洞恐遭低估，研究人員發現能用於發動RCE攻擊，近1.2萬臺設備曝險

又是漏洞風險被低估可能會引發災情的情況！資安業者Juniper在今年8月揭露的CVE-2023-36845，當時評估其漏洞僅有中度風險，必須與其他漏洞才可能引發重大危害，但最近有研究人員指出，他們只需利用這項漏洞，就能在沒有通過身分驗證的狀態，遠端執行任意命令（RCE），使得這項漏洞危險程度遠超過原先認定的層級。

然而，由於Juniper輕估了漏洞的風險，使得很多IT人員不會立即修補漏洞。但研究人員警告，他們已經看到駭客開始嘗試利用這項漏洞。

【9月20日】面臨攻守極度失衡的局勢，FBI局長呼籲民間企業與政府積極合作，並將FBI納入資安防護計畫

為了因應態勢日益險峻的網路威脅，近年來不斷有專家呼籲政府與企業之間應採取聯合防禦及情資共享的戰略，在9月18日由資安業者Mandiant舉辦的資安會議mWISE Conference 2023當中，美國聯邦調查局（FBI）局長Christopher Wray特別以此進行演說，透過資訊分享、情資分析的良性循環，最終在大家的合作下就可以保護國家的網路。特別的是，他呼籲企業在資安防護計畫裡「納入FBI」，讓他們能發揮公權利來攔阻網路犯罪。

【9月21日】中國駭客假借寄送發票的名義發動網釣攻擊，目的是散布新型態的木馬程式ValleyRAT

我們近期報導不少中國駭客的攻擊行動，鎖定目標多半是針對敵對國家而來，在今天的資安新聞中，有針對當地企業組織而來的網路釣魚攻擊被研究人員揭露，其手法都是透過免費的電子郵件服務寄送釣魚信，然後使用發票、求職信為誘餌發動攻擊，進而於受害電腦植入ValleyRAT、Purple Fox、Sainbox RAT。

值得留意的是，這起攻擊行動背後很可能有多個組織參與，且範圍開始擴及日本。

【9月22日】斥資280億美元重金，思科買下大數據資安業者Splunk

本週資安界有兩起併購案，分別是19日資安業者CrowdStrike買下應用程式安全態勢管理（ASPM）新創Bionic，以及21日思科買下大數據資安業者Splunk，其中又以思科和Splunk的併購案受到最多關注。

值得留意的是，這起合併案早在2022年2月就傳出風聲，當時思科打算以200億美元買下Splunk，而現在實際成交金額達到280億美元，較先前傳聞多出4成。