【資安月報】2023年10月

在今年10月的資安新聞中，國際上出現新的震盪，先是巴勒斯坦激進組織哈瑪斯（Hamas）突然對以色列發動大規模的軍事攻擊，後續以色列開始強烈反擊，而在網路上也陸續傳出，有駭客組織聲援兩國表態參與發動網路攻擊的情形。

不僅如此，最近這一個多月來，我們看到科技大廠修補遭利用零時差漏洞的消息，呈現相當密集的情形，因此前陣子我們也專門介紹了這樣的態勢，當中亦顯現國家級駭客組織、商業間諜公司、勒索軟體組織挖掘零時差漏洞並用於攻擊行動的最新現況，以及涉及底層漏洞似乎變多的情形。

回顧國內近期重大網路攻擊事故與資安防護推動，有兩個議題最受我們關注，一是下半年國內接連有連鎖藥局遭駭客攻擊的情況，一是我國政府資訊服務採購有新變革，將資安防護措施納入採購規範，做到資安入規。

興櫃公司「諾貝兒」與上市公司「羅昇」公告遭網路攻擊

近日，我們盤點這一個月的臺灣重大資安消息，新發現國內有兩家上市櫃公司揭露遭駭客攻擊，是這個月資安日報中沒有提及。

首先，以丁丁藥局為營運主體的興櫃公司諾貝兒寶貝（諾貝兒），該公司在10月7日發布資安事件重大訊息，說明公司遭受駭客網路攻擊。

另一起事件，主要代理傳動、控制等自動化機電零組件並提供方案的上市公司羅昇企業（羅昇），在10月27日亦發布資安事件重大訊息，說明該公司發生部分資訊系統遭受駭客網路攻擊的狀況。

以諾貝兒的事件而言，引起我們關注的是，雖然調查局指出現況依然是很多產業都有被攻擊的情況，但在今年下半，7月底，先是有大樹醫藥公告遭遇網路攻擊事件，如今10月初，又有丁丁連鎖藥局的諾貝兒寶貝公告遭遇網路攻擊事件，似乎連鎖藥局與醫療通路可能有被針對的情形，相關業者須多加留意。

再者，大樹醫藥與諾貝兒寶貝這兩家業者，都有提及要提醒消費者反詐騙，此舉也意味著，可能有客戶資料外洩情事的發生。大家可以想見的是，現在各類通路服務業者其實都在經營會員，不只線下實體門面也有線上購物，雖然數位發展部今年正推動電商相關公協會成立資安強化推動工作小組，但未來如何擴大推動，將是需要持續關注的重點。（補充：最近11月9日，我們發現櫃買中心更是針對諾貝兒開罰，原因是，諾貝兒公布的資訊是9月14日查知丁丁藥局客戶資料疑有外洩情事，未依規定於期限內發布重大訊息。

另一方面，關於10月公告遭網路攻擊的上市櫃公司羅昇與諾貝兒，儘管事件應該沒有相關，但我們從中發現一個較為特殊的關聯，這兩家公司剛好都屬佳世達集團的陣營。以羅昇而言，佳世達旗下友通資訊對羅昇的累計持股在2021年達48.07%，以諾貝兒而言，今年佳世達在參與私募增資與公開收購後，5月宣布已取得諾貝兒28.54%股權。

政府採購有變革，機關與產業可望擺脫過去亂象

關注資安事故的同時，今年臺灣資安防護推動也獲得幾個重要進展，首先是，最新政府資訊服務採購指引出爐。

行政院公共工程委員會（行政院工程會）先是在今年9月25日發布政府資服採購作業指引，後續，行政院在10月5日發布消息，說明通過「政府資訊服務採購革新－資安入規及採購指引」報告，並請各部會及各地方政府，落實執行本次資訊服務採購革新相關事項，同時，工程會也新提供懶人包說明這次資安入規及採購指引的重點。

簡單來說，這項改變之所以重要，不僅是因為資安入規，還有因為過去20年政府資訊服務採購的規範，長年來為機關與資服業者帶來太多爭議與亂象，甚至陷入難以解決惡性循環的情況，例如，對資訊系統建置時的資安規畫與契約履行造成極大的挑戰，也導致業界可能為了得標而必須大幅讓利甚至降低品質。

而我們在9月進行資安監控中心SOC的封面故事報導時，當時也感受到資安服務業者面對公部門採購有很多話想說，像是招標機關常年採最低價決標，但廠商面臨技術服務需與時俱進的向上競爭壓力，在收費營收方面卻呈現持續往下的嚴峻挑戰，隨著政府資訊採購確定有新變革，才讓他們認為市場有了轉機。

具體來看，在政府資訊服務採購革新上，資安入規是一大重點，在資訊服務採購契約範本新增資安基本要求後，將強化政府資訊服務採購的資安防護，並藉由打造通用性的資通安全基本要求參考一覽表，不僅讓機關和業者對於資安規範有明確的共識，也解決政府採購人員不懂資安專業的困境，可以容易地選擇所需資安等級的規範內容。而且，為了讓資服與資安業者有足夠時間調適配合與因應，預計明年（2024年）3月1日，將資安作為納入採購規範首先針對的是普級系統，明年（2024）8月1日才是針對中、高級系統。

同時，新版採購指引更是關鍵，根據工程會的說明，本次指引從全生命週期角度來提出對應作為，同時採最有利標時不訂底價，重視履約過程契約雙方反覆檢視需求及變動並給予合理經費，從源頭減少爭議，並擴大建立政府採購諮詢機制，將有助於事前減少爭議、事後有效解決。

無論如何，政府資訊服務採購現在有了好的轉變，雖然這次革新可能還不到滿分完善的地步，但在專家眼中，至少可以讓政府資訊服務採購有正向積極的轉變，比方說，從以往的59分不及格，進步到80分。而我們也期望，新的變革能夠加速提升臺灣機關資安防護能力，並帶動臺灣資服資安業者的產業競爭力。

另一個突破會是資通安全管理法的修法，因應相關法令內容即將調整，針對這次修法帶來的改變，以及民眾意見回饋，我們將在11月進行這方面的封面故事報導，與大家一起探討。

【資安週報】2023年10月2日到10月6日

從2023年的零時差漏洞利用情況來看，上半年呈現數量攀升的趨勢，近期我們注意到最近這樣的威脅態勢更是顯著。在中秋連假後這一週，出現多個漏洞遭成功利用的重要消息：

　（一）商業間諜軟體開發商發動的零時差漏洞攻擊不斷，影像編解碼程式庫libvpx的漏洞CVE-2023-5217已遭鎖定利用，除了Google修補，後續蘋果與微軟也相繼針對其產品修補這項漏洞。
　（二）修補手機端的零時差漏洞同樣消息不斷，包括Arm Mali GPU Kernel Driver的漏洞CVE-2023-4211，以及蘋果iOS與iPadOS的漏洞CVE-2023-42824，均有攻擊者發現漏洞加以利用的狀況。
　（三）思科修補網路設備作業系統IOS、IOS XE的零時差漏洞CVE-2023-20109，已遭攻擊者利用，該漏洞存在於群組加密傳輸VPN（GET VPN）功能。
　（四）Atlassian旗下的Confluence Data Center版與Server版，傳出身分驗證與Session管理毀損零時差漏洞CVE-2023-22515，同樣已發現遭利用的情形。
　（五）新修補的漏洞快速遭鎖定。先前我們提到JetBrains在9月下旬修補CI/CD軟體平臺TeamCity重大漏洞CVE-2023-42793，以及本期周報提到Progress在9月底修補FTP伺服器軟體WS_FTP Server重大漏洞CVE-2023-40044，這些弱點修補公布至今不到半個月，均遭攻擊者鎖定利用。
　（六）4月微軟揭露Windows CNG金鑰隔離服務權限提升漏洞CVE-2023-28229，並公告修補消息，最近亦發現遭利用的證據。

在其他漏洞威脅消息上，還有多個同樣需要留意的焦點，例如：資料整合及自動化工具Apache NiFi，今年6月修補的漏洞CVE-2023-34468，近日出現攻擊該漏洞的利用工具；郵件傳送代理程式EXIM存在重大漏洞CVE-2023-42115，去年6月雖然已通報開發團隊，至今卻尚未修補，近期已揭露成為零時差漏洞，目前尚未出現遭濫用的情形。

在威脅事件焦點方面，有三大焦點最受關注：

　●有資安業者揭露中國駭客寄送釣魚郵件，假借提供聲稱是台積電的簡介PDF檔，意圖濫用Cobalt Strike對半導體產業從是間諜行動。
　●大樓自動化管理業者Johnson Controls遭勒索軟體攻擊，該公司已在9月底向美國SEC提交8-K表單說明遭遇網路攻擊。
　●關於日前傳出有駭客組織入侵Sony，在多日調查後，Sony向美國政府通報資料外洩事故，並指出事件起因是6月初遭MOVEit Transfer零時差漏洞攻擊。

其他重要惡意威脅態勢上，有兩起與政府相關，有兩起與行動裝置攻擊相關，分別是：東南亞政府機關近年遭中國駭客組織Mustang Panda、Alloy Taurus、Gelsemium鎖定的揭露，南美洲國家蓋亞那政府機關遭惡意程式DinodasRAT攻擊的揭露，以及逾50家越南銀行用戶遭安卓金融木馬GoldDigger的消息，以及中國駭客APT41開始對Android行動裝置下手，所利用的惡意軟體包括DragonEgg、WyrmSpy，並可竊取受害者地理位置資訊。

【資安週報】2023年10月11日到10月13日

延續前一周有6個零時差漏洞攻擊與修補的情形，在雙十國慶連假期間，再有3個漏洞受注目，包括：

●Cloudflare、Google、AWS揭露名為HTTP/2 Rapid Reset的零時差漏洞攻擊手法，他們紛紛指出8月就已經觀察到此漏洞利用情形。攻擊者是藉由CVE-2023-44487漏洞產生極為巨大的DDoS流量，由於漏洞存在HTTP/2通訊協定，採用該協定的產品與服務範圍相當廣泛，相關修補資訊、受影響的狀態公告，備受關注。
●本月微軟例行安全更新釋出，總共有103個漏洞，當中除了修補上述CVE-2023-44487漏洞，還有兩個已遭利用的零時差漏洞，包括涉及WordPad的漏洞CVE-2023-36563，以及Skype for Business有關的漏洞CVE-2023-41763。

此外，Adobe在今年1月修補旗下Acrobat及Reader的漏洞CVE-2023-21608，後續發現網路上有概念性驗證PoC程式的公開，近日確定有攻擊者鎖定利用的情形；上週提到已遭攻擊者利用的Confluence的零時差漏洞（CVE-2023-22515），如今有最新消息指出是中國駭客組織Storm-0062所為。

在最新資安威脅消息上，有廠商警告最近出現鎖定臺灣的攻擊。賽門鐵克揭露全新的APT攻擊組織Grayling，說明該組織的攻擊手法細節，並指出該組織在今年2月到5月鎖定對象，不只是太平洋群島的政府機關、越南及美國的組織，還有臺灣的生醫產業、製造業、IT產業。

在國際局勢方面，由於巴勒斯坦激進組織哈瑪斯（Hamas）突然對以色列發動大規模的軍事攻擊，接著以色列也開始反擊，網路上陸續傳出駭客組織聲援巴勒斯坦的消息，像是俄羅斯駭客鎖定以色列衛星及工控系統攻擊等，甚至有資安業者揭露有上百駭客組織表態參與發動網路攻擊，並指出其中聲援巴勒斯坦的有77個，支持以色列的有20個。

其他重要消息上，這段期間，還有中國駭客ToddyCat鎖定亞洲電信業者散布後門程式CurKeep的情形，以及殭屍網路Mirai變種病毒IZ1H9近期攻擊行動的揭露。國內有一起資安威脅事故相關消息，那就是去年有人在暗網購買我國戶籍資料的事件，警調單位有最新資訊公布，對於擅自購買大量個資的嫌犯，檢察官考量其沒有前科，並坦承犯案已知悔悟，因此給予緩起訴，期限1年，以及繳庫50萬元的條件。

至於防禦態勢上，近日美國NSA、DHS與CISA釋出最常見10大資安配置錯誤的報告，重點是提供了網路防禦者因應的建議，並呼籲軟體製造商立即著手採用安全設計原則，以減輕整體資安防護的負擔。

【資安週報】2023年10月16日到10月20日

在這一週漏洞利用消息中，有兩個新漏洞及兩個已知漏洞遭鎖定的消息，成為企業必需關注的重點，包括：

（一）思科公開網路設備作業系統IOS XE作業系統的零時差漏洞CVE-2023-20198，嚴重等級達到CVSS滿分，並警告大家已出現攻擊者成功利用該漏洞的情形，他們建議，目前用戶系統若是暴露在公開網路，應將IOS XE的HTTP Server功能關閉，並注意後續修補更新的釋出。揭露此消息之後的隔天，隨即有資安業者回報災情，因為他們發現多達數千臺Cisco IOS XE裝置已被植入了惡意檔案。
（二）Milesight工控路由器（industrial cellular routers）漏洞CVE-2023-43261已公開揭露，儘管該設備商表示已修補，但值得注意的是，有資安業者透露此漏洞可能已被惡意利用，並指出這類產品用於鐵路貨運運輸、自動提款機（ATM）網路與緊急車輛使用。依此態勢來看，交通與金融服務均可能面臨威脅。
（三）今年7月WinRAR修補的零時差漏洞（CVE-2023-38831），自4月即遭到攻擊者成功利用，本周有多家資安業者分別指出，發現俄羅斯與中國國家駭客組織所發動的網釣攻擊，正積極利用這個已知漏洞。
（四）今年9月JetBrains修補CI/CD軟體平臺TeamCity重大漏洞（CVE-2023-42793），如今傳出有北韓駭客組織Lazarus及旗下團體Andariel鎖定該已知漏洞利用的消息。

其他漏洞消息方面，包括：Juniper Networks修補網路設備作業系統逾30個漏洞、Oracle季度安全更新修補185個漏洞。

在網路威脅焦點上，我們選出幾個重大事件，包括2個新攻擊手法，以及4個鎖定不同產業而來的網路攻擊行動的揭露：

●新型態Magecart信用卡側錄（Card Skimming）攻擊行動的揭露，駭客使用了網站預設404錯誤訊息頁面來隱藏他們的惡意程式碼。我們甚至看到揭露的資安研究人員指出，這是他們前所未見的創造性隱匿手法。
●還有攻擊者部署竊資軟體時的新手法揭露，駭客濫用了幣安智能鏈（BSC）數位貨幣合約，也就是先利用植入WordPress的惡意程式碼，將流量導向幣安，再從區塊鏈取得惡意指令碼注入網站，這也導致攻擊程式碼難以清除的挑戰。
●關於電信產業的威脅，烏克蘭電腦緊急應變小組（CERT-UA）指出，最近半年來，該國至少11家電信業者遭到俄羅斯駭客組織Sandworm攻擊，他們也公布目前發現的駭客攻擊手法。
●東南亞國協會員國的外交單位遭鎖定，資安研究人員發現中國駭客使用的後門程式Bloodalchemy。
●東歐石油產業、天然氣公司、國防工業遭後門程式框架Meta鎖定，資安業者發現攻擊者從工控環境入侵總公司內部網路，並利用釣魚郵件、IE瀏覽器漏洞CVE-2021-26411觸發感染鏈，入侵財務系統的伺服器。
●程式開發與資料科學領域常用的Jupyter Notebook遭鎖定，駭客除了將伺服器的運算資源拿來挖礦，也企圖竊取組織使用的AWS、Google Cloud雲端服務帳密資料，進一步擴大危害的範圍。

另外，還有3起資料外洩消息，包括：卡西歐坦承他們的教育網頁應用程式ClassPad.net的開發環境伺服器，遭到未經授權存取而洩漏資料，波及149國客戶；基因檢驗業者23andMe傳出資料外洩，410萬筆英國民眾資料流入駭客論壇；臺灣網路設備廠商友訊科技（D-Link）傳資料外洩，該公司證實的確有程式碼外洩的情況，起因是員工遭網釣攻擊，而且，他們表示，外流資料並非駭客宣稱的D-View原始碼，而是舊的會員註冊網站的程式碼。這項說法顯然有別於先前傳聞，孰是孰非仍有待觀察。

至於防護態勢上，開源軟體供應鏈安全領域今年受到各界重視，範圍相當廣泛，雖然多家廠商均宣示要強化管控，但在開發人員之間流通的各種延伸套件，資安問題仍層出不窮，現在終於出現提升能見度的新做法。由於過去缺乏惡意套件公共資料庫，不易匯總相關發現與報告，因此開源安全基金會OpenSSFGitHub上推出惡意套件儲存庫，幫助外界更有效掌握已知惡意套件；在金融詐騙安全防護領域，臺灣今年積極引進與推動AI進行協助，例如，內政部警政署刑事警察局4月成立AI鷹眼識詐聯盟，其AI偵測專利技術的「鷹眼模型」由北富銀與內政部刑事警察局合作開發，本周有32家銀行宣布加入該聯盟，擴大鷹眼模型防護範圍，預計明年6月前完成導入。

【資安週報】2023年10月23日到10月29日

回顧近期重大漏洞攻擊事故，最受各界矚目的，莫過於思科10月中旬公布的零時差漏洞CVE-2023-20198，駭客將其用於植入後門程式的攻擊行動，但經過一星期的延燒，後續竟出現不合理的劇烈減少的罕見現象，研究人員認為起因是駭客更換新的後門程式，導致原本的後門程式數量減少。

其他資安事故的部分，身分存取管理服務業者Okta客戶技術支援系統遭駭，最令人憂心，因為有非常多的廠商與企業採用，造成廣泛牽連的局面，目前身分存取管理業BeyondTrust、雲端服務業者Cloudare、密碼管理業者 1Password，都表明因這起事故而遭到攻擊。後續效應有待觀察。

電子郵件系統持續遭到駭客組織鎖定已是常態，但針對的平臺也有不同，例如，過往大部分是針對微軟Exchange、開源的Zimbra而來。這週有一套名為Roundcube的網頁郵件系統，俄羅斯駭客組織Winter Vivern、APT28鎖定，對方正在利用未知或已知漏洞從事攻擊行動。

這週也有攻擊隔離網路（Air-Gapped）環境的情況，資安業者揭露鎖定USB安全加密隨身碟的攻擊行動TetrisPhantom，駭客先對位於非隔離網路環境的電腦下手，在連接這種隨身碟時，趁機將惡意程式植入裝置當中，等到用戶將隨身碟帶到受隔離系統使用，會趁機植入並進行竊密。

關於資料外洩的手法，最近有新的話題。駭客不僅透過臉書收集攻擊目標的使用者資料，也會在臉書及Instagram專供執法單位存取的入口網站Police Portal帳密，這種入口網站是在政府機關因應辦案需求，向他們請求用戶的IP位址、電話號碼、裝置資訊等資料所用，後續資料洩露的情況尚不明朗。

在資安防護的措施上，本週有新的動態，例如，美國CISA針對醫療產業推出一站式工具包，提升網路安全。再者，則是Google宣布擴大AI漏洞懸賞的範圍，當中也列入生成式AI。

在國內的資安防護措施上，則是包含跨國網路攻防演練CODE 2023，以及政府專屬短碼簡訊平臺111。這次CODE 2023的攻防標的，選定與民生相關的水資源領域關鍵基礎設施（CI），進行攻防演綀，結果我國參與團隊表現傑出，得到冠軍。

而政府短碼簡訊平臺的部分，則是繼數位發展部推出短網址服務之後，另 一項新的防堵假冒政府機關詐騙措施。政府機關透過專屬平臺發送111短碼簡訊，達到只此一家、別無分號的效果，首波內部測試已有中央與地方的政府單位參與，現在將開放更多機關使用。

2023年9月資安月報

2023年8月資安月報

2023年7月資安月報

2023年6月資安月報

2023年5月資安月報

2023年4月資安月報