【資安日報】2021年12月28日，資安成國際半導體展要角，勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

今年的國際半導體展SEMICON Taiwan 2021，於12月28日至30日舉行，其中資安是相當重要的主題，不只有專屬的展區，同時更重要的是，推動多年的計畫也有了成果，不只供應鏈組成的資安聯盟將要啟動，而由臺灣主導的資安標準SNARF 6506，相關單位也會公布最新的進展。

由於本週正逢歐美各國的聖誕節假期，勒索軟體的攻擊行動並未就此停歇。例如，曾多次鎖定威聯通NAS的勒索軟體eCh0raix（亦稱QNAPCrypt），自上週日（12月19日）開始發動大規模攻擊，直到26日才趨緩。這樣的情況，也讓許多IT人員在闔家團聚的休假期間仍必須設法處理。

【攻擊與威脅】

勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

根據資安新聞網站Bleeping Computer的報導，勒索軟體eCh0raix（亦稱QNAPCrypt）在聖誕節前夕發動的攻擊行動。有許多IT人員自12月20日開始指出，他們維護的威聯通NAS設備接連遭到eCh0raix攻擊，勒索軟體威脅情報網站ID ransomware也觀察到相關態勢，該攻擊行動約從19日開始顯著增加，直到26日才趨緩。有些用戶認為，駭客很可能是透過Photo Station軟體的弱點入侵。

駭客藉由Log4Shell漏洞入侵搭載AMD EPYC處理器的伺服器，進行挖礦攻擊

資安業者The Core Administration指出，他們發現有駭客疑似利用Log4Shell漏洞，鎖定HP 9000 EPYC的伺服器下手（編按：此處的機型有可能是Apollo 9000系列），挖取Raptoreum加密貨幣，自12月9日至17日，駭客約獲得340萬個Raptoreum幣，相當於11萬美元，其中已有150萬個Raptoreum幣透過CoinEx交易所售出。

網路相簿業者Shutterfly遭勒索軟體Conti攻擊

線上相片製作及相簿供應商Shutterfly於12月26日發出公告，指出他們約於2星期前，遭勒索軟體攻擊，旗下的Lifetouch、BorrowLenses、Groovebook等分公司的部分業務，以及一些公司的系統被迫中斷運作，但客戶的信用卡資料與社會安全碼不受影響。根據資安新聞網站Bleeping Computer的報導，攻擊者身分是Conti，Shutterfly約有逾4千臺裝置及120臺VMware ESXi伺服器遭到加密，被勒索數百萬美元。

阿爾巴尼亞驚傳五分之一國民個資外洩

根據美國聯合通訊社（美聯社，AP）的報導，約於2星期前，含有阿爾巴尼亞政府與民間企業員工個資的Excel文件，經由WhatsApp散布到網路上，內容疑似為政府及民間企業自今年1月申報的員工薪資資料，受影響人數約64萬人，占該國總人口22%。對此，阿爾巴尼亞總理Edi Rama召開記者會證實及道歉，並指出此事是內部人員所為，而非遭到網路攻擊所致。

【漏洞與修補】

電動汽車充電站存在數個漏洞，攻擊者可用來竄改充電記錄等資料

施耐德電機於12月14日發布資安通告，他們修補旗下的電動車充電系統7個漏洞，當中包含1個重大漏洞與5個高風險漏洞，影響EVlink City、EVlink Parking、EVlink Wallbox等產品線，這些漏洞可被用於跨網站請求偽造（CSRF）、跨網站程式碼（XSS）攻擊，或是透過Web界面進行暴力破解。其中最嚴重的漏洞可被用於伺服器端請求偽造（SSRF）攻擊，CVSS風險層級為9.3分。施耐德電機呼籲用戶要儘速安裝修補軟體。

影音剪輯軟體Davinci Resolve存在可被用於RCE攻擊的漏洞

思科發現影音剪輯軟體DaVinci Resolve的2個重大漏洞，分別是CVE-2021-40417和CVE-2021-40418，CVSS風險層級為9.8分，兩者皆與解碼影片的過程有關。Blackmagic Software推出17.4.3版修補上述漏洞。

玩具電話驚傳藍牙漏洞，攻擊者可竊聽通話內容

資安業者Pen Test Partners提出警告，他們近日發現幼兒玩具電話Fisher Price Chatter，存在嚴重的藍牙漏洞，這款玩具在連線範圍內，會自動連接到發出請求的藍牙裝置，而沒有任何配對的的安全機制，而使得攻擊者得以在該玩具電話的藍牙訊號範圍內，連接自己的設備來竊聽鄰居。再者，對於已連接的智慧型手機，該玩具的聽筒還有可能會自動接聽來電。研究人員認為，玩具業者美泰兒（Mattel）應著手處理相關問題。