【資安日報】2022年1月26日，電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案，向威聯通販賣漏洞

電動車提供許多智慧功能，一旦相關業者遭到網路攻擊，就有可能導致各式的服務被迫中斷。臺灣電動機車大廠Gogoro在上週末於使用者論壇發出公告，證實他們遭到網路攻擊，但強調對營運沒有造成重大影響。這起事故在公告數日後，受到各家媒體報導，原因是即將交車的客戶指控，疑似因此被迫延後取得機車，但Gogoro卻沒有主動通知，讓這名民眾只能空等。但交車延期是否與這起網路攻擊有關？顯然有待釐清。

近期勒索軟體駭客鎖定NAS下手的情況，已經不是新鮮事，但最近一起攻擊行動中，出現與過往不同的情況，駭客不只要NAS用戶付錢換回檔案，還囂張地打算將他們用於攻擊的零時差漏洞，賣給NAS廠商，頗有挖苦NAS廠商的意味。

對於Linux作業系統上的漏洞，最近陸續有資安研究人員公布他們的發現，而在今天的資安日報裡，出現了2個影響相當廣泛的漏洞，一個存在於系統元件，可能影響幾乎所有的Linux發行版；而另一個漏洞則是可被用於攻擊Kubernetes環境。

【攻擊與威脅】

電動機車業者Gogoro遭網路攻擊，疑影響交車、無法預約進廠維修時間

隨著電動車越來越普遍，針對相關業者發動攻擊，可能導致多種服務受到波及。電動車Gogoro在1月22日晚間9點表示，他們在1月21日週五偵測到部分資訊系統遭受駭客網路攻擊，該公司資訊部門在偵測偵測到網路異常後，已啟動資安事件應變，與外部資安公司協同處理，並通報政府單位。根據他們的說明，目前，受影響的部分資訊系統正陸續回復，對日常營運並無重大影響，電池交換網路、銷售與維修通路、客戶服務系統皆持續運作。

巧合的是，最近幾日陸續有民眾指控，已經即將交車的時程被迫延期，也有車主反應無法預約進廠維修的時間，使得這起事件引起外界關注，但這些情況是否與網路攻擊有關？顯然還有待釐清。

該公司在公告指出，同時間亦有其他臺灣廠商遭遇類似的狀況，但這些廠商是否為採用Gogoro電池交換系統Powered by Gogoro Network（PBGN）的聯盟成員？該公司沒有進一步說明。

勒索軟體DeadBolt攻擊威聯通NAS，意圖向製造商兜售漏洞細節

勒索軟體入侵NAS設備的情況，陸續傳出事故，但如今駭客得寸進尺，打算將攻擊事故做為向設備廠商兜售漏洞細節的管道。資安新聞網站Bleeping Computer指出，他們發現勒索軟體DeadBolt約自1月25日開始，攻擊威聯通（QNAP）的NAS設備，並向受害者索討0.03個比特幣，相當於1,100美元，至少有15臺NAS受害，駭客宣稱是透過未揭露的漏洞來下手。值得留意的是，在勒索訊息裡，還包含給威聯通的「重要訊息」，內容是他們打算向該公司以50個比特幣（約185萬美元）的價格，出售上述漏洞的細節，以及可解鎖所有受害設備資料的主鑰（Master Key）。

加拿大外交部遭網路攻擊，部分服務中斷

外交單位屢屢成為國家級駭客的攻擊目標，而這次事故發生的原因，疑似與俄羅斯和烏克蘭的政治局勢有關。加拿大於1月19日證實，該國外交機構加拿大全球事務部（Global Affairs Canada）遭到網路攻擊，部分網路服務將無法使用。加拿大政府強調，尚無跡象指出其他政府機關遭到波及。雖然該國政府沒有透露攻擊者的身分，但意有所指地要求公部門，加強對於俄羅斯網路威脅的防護。

DazzleSpy後門程式發動水坑式攻擊，鎖定香港macOS用戶下手

Google在2021年8月，發現到駭客鎖定香港的媒體網站，以及社會運動網站展開水坑式攻擊，並運用漏洞CVE-2021-30869於受害者的蘋果電腦、行動裝置上，植入木馬程式，這起攻擊事故的調查最近有了更多進展。資安業者ESET指出，這些駭客分別入侵當地的網路廣播電臺D100，並製作帶有惡意iframe的假社會運動聲援網站，來引誘香港的民主運動人士上當，其中，針對瀏覽廣播電臺網站的Mac電腦使用者，駭客使用名為DazzleSpy的後門程式，來控制受害電腦。研究人員指出，這起攻擊行動與2020年iOS惡意程式LightSpy手法相似，但無法斷定是由同一組駭客出手。

平衡車業者Segway網路商店遭Magecart攻擊

網路商店遭到Magecart交易資料側錄攻擊（Card Skimming）的現象，不時有業者受害。資安業者Malwarebytes指出，他們發現Magecart Group 12約自2021年1月6日開始，攻擊銷售平衡車、電動滑步車的中國業者Segway，駭客疑似利用Magento漏洞入侵，並將側錄交易資料的程式碼，藏匿於其購物網站的圖示（favicon.ico）。資安新聞網站Bleeping Computer指出，迄今相關程式碼尚未移除。

安道爾候國網路遭DDoS攻擊，原因疑似與Minecraft魷魚遊戲錦標賽有關

又是針對電玩產業而來的攻擊行動。由電玩影片串流平臺Twitch舉辦的Minecraft 錦標賽「Squidcraft Games」，從1月20日開始舉行，鎖定使用西班牙語Minecraft玩家而來，但過程中傳出，來自安道爾候國（Andorra）的十多名直播主，因當地的ISP業者遭到DDoS攻擊，而被迫中斷比賽。消息人士向Recorded Future透露，DDoS攻擊的流量一度高達100 Gbps。

電玩遊戲黑暗靈魂驚傳RCE漏洞

電玩遊戲一旦連接到網際網路，很有可能成為攻擊者入侵電腦的管道。根據電玩新聞網站Dexerto的報導，一名SkeleMann玩家提出警告，他發現電腦版的黑暗靈魂3（Dark Souls 3），存在嚴重的RCE漏洞，有可能對電腦造成損害，並呼籲其他玩家暫時不要執行網路對戰模式，以免遭到攻擊。後來，有其他玩家通報，即將上市的遊戲艾爾登法環（Elden Ring），可能也存在相同的漏洞。遊戲業者萬代南夢宮娛樂（Bandai Namco）於1月23日發出公告，為調查網路服務所出現的問題，提供電腦玩家的PVP伺服器將暫時停止運作。

【漏洞與修補】

Linux系統元件漏洞PwnKit可被用於取得root權限，恐波及所有發行版

Linux系統元件所存在的漏洞，很可能影響各種版本的作業系統。資安業者Qualys揭露名為PwnKit的漏洞（CVE-2021-4034），這項漏洞存在於控制系統層級的元件Polkit（舊稱PolicyKit）裡，一旦攻擊者利用該漏洞，就能以不具特權身分的使用者，在Linux主機上取得root權限，影響自2009年5月以來所有版本的Polkit。研究人員在預設組態部署的Ubuntu、Debian、Fedora、CentOS上，透過PwnKit於本機取得root權限，研判該漏洞存在於多數版本的Linux作業系統，紅帽已發布修補程式。資安新聞網站Bleeping Computer於上述漏洞細節公布後不久，就在網路上看到概念性驗證（PoC）攻擊工具。

Linux核心存在漏洞，恐被用於逃脫K8s容器並攻擊主機

Linux核心的嚴重漏洞，有可能危及容器平臺Kubernetes（K8s）。搶旗賽（CTF）團隊Crusaders of Rust發現，記憶體緩衝區溢位漏洞CVE-2022-0185，存在於Linux核心5.1-rc1以上版本的檔案系統框架（File System Context）元件，一旦駭客利用這個漏洞，將有機會發動越界寫入、阻斷服務（DoS）、任意程式碼執行攻擊，而使得駭客能夠逃脫容器，進而存取K8s伺服器的資源。該漏洞已於Linux 5.16.2版修補，IT人員也可以針對沒有具備特殊權限的使用者，停用命名空間（Namespace）的相關功能，來緩解這項漏洞。

【資安防禦措施】

英國政府以Nmap程式碼打造檢測工具，供IT人員掃描OT環境漏洞

工業控制系統（ICS）安全日益受到重視，政府亦提供相關的工具給企業，以便儘速因應重大漏洞。英國國家網路安全中心（NCSC）於1月25日，發布針對網路安全工具Nmap編寫的指令碼，以協助企業掃描Exim訊息傳輸代理（MTA）設備裡，合稱為21Nails的RCE漏洞。NCSC表示，即使企業沒有部署Exim MTA，IT人員還是可以試著運用這個指令碼來掃描網路環境。

【近期資安日報】

2022年1月25日，CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

2022年1月24日，鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

2022年1月22日，WordPress佈景供應商網站驚傳遭駭；攻擊者冒用物流業者名義散布木馬程式

2022年1月21日，Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定；中國駭客組織Winnti二度針對UEFI韌體下手

2022年1月20日，臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

2022年1月18日，數個WordPress外掛驚傳CSRF漏洞，SAP開發平臺重大漏洞恐被用於供應鏈攻擊

2022年1月17日，俄國攻擊烏克蘭數十個政府網站，又大舉逮捕勒索軟體REvil成員，引起全球關注

2022年1月14日，美國商討Log4Shell開源軟體安全；電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日，俄羅斯APT駭客接連攻擊關鍵基礎設施，引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日，微軟發布1月例行修補，修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日，網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷，原因是NPM套件作者自毀程式碼