【資安日報】2022年11月7日，製藥廠AstraZeneca傳伺服器帳密不慎暴露，中國漏洞揭露政策導致國家級駭客先行濫用日益明顯

有資安業者發現知名製藥廠AstraZeneca的伺服器帳密，居然在程式碼儲存庫GitHub被公開，而使得部分用戶的資料可能曝光。該製藥廠已證實此事，但不願說明這些資料為何會被用於開發測試環境。

中國在去年立法要求研究人員必須向政府通報漏洞，此舉讓外界認為當局很可能會將這些漏洞提供給國家級駭客運用。如今微軟的資安研究團隊提出相關的證據，並指出多項重大漏洞都是中國資助的駭客第一個用於攻擊行動。

商用大數據搜尋與分析軟體廠商Splunk上週修補9個漏洞，其中4個被評為高風險等級。若不修補，這些漏洞可被用於執行遠端命令（RCE）、XML外部實體注入（XXE）、反射式跨網站指令碼（Reflected XSS）攻擊。

【攻擊與威脅】

製藥廠AstraZeneca曝露病人個資，原因是疑似有開發人員不慎在GitHub上洩露帳密

資安業者SpiderSilk向新聞網站TechCrunch透露，有個開發者不慎在程式碼儲存庫GitHub上，曝露製藥廠AstraZeneca內部伺服器的帳密，一旦取得這些帳號資料，就能夠存取該公司的Salesforce客戶關係管理平臺，在這套CRM系統當中，存放了一些病人的資料，以及藥物處方費用儲蓄系統AZ&ME應用程式的部分資料。TechCrunch向該製藥廠通報後，對方已關閉該儲存庫。

AstraZeneca表示，此起事故是使用者錯誤造成，導致有人能夠透過開發者平臺能夠暫時存取到部分資料記錄，他們已在收到通報後，立即停用這些資料的存取，目前正著手調查根本原因，以及探究法規遵循層面的責任，然而，該公司並不願透露為何會將病人資料存放在開發測試環境裡，以及這些資料是否遭到異常存取。

關於中國漏洞揭露政策導致國家級駭客先行利用零時差漏洞，微軟研究人員提出5個案例

中國政府於去年9月1日實施《網路產品安全漏洞管理規定》，要求發現網路系統安全漏洞的研究人員與組織，必須在2日內先向該國工業和信息化部通報，且不得將相關資訊透露給境外人士。這樣的政策，使得中國政府撐腰的駭客很可能會利用這些零時差漏洞發動攻擊，如今外界的疑慮也被證實。

微軟於11月4日發布2022年數位防禦報告，當中提及在中國政府在實行上述的漏洞揭露法律後，有許多重大漏洞都是中國的國家級駭客首先利用，這些漏洞包含了檔案共享系統SolarWinds Serv-U的漏洞CVE-2021-35211、AD自助管理平臺Zoho ManageEngine ADSelfService Plus的CVE-2021-40539、服務臺Zoho ManageEngine ServiceDesk Plus的漏洞CVE-2021-44077、郵件伺服器系統Exchange的反序列化漏洞CVE-2021-42321，以及Atlassian Confluence漏洞CVE-2022-26134等。

波音日本子公司Jeppesen遭到網路攻擊事故，相關服務被迫中斷

根據資安新聞網站The Record的報導，波音旗下的日本子公司Jeppesen於11月3日於網站上公告，表示該公司提供的部分產品及服務面臨技術問題，客戶若需要協助，可透過網站聯繫，電話支援暫不提供。該公司亦指出，這起事故亦影響通知飛行員（Notice To Airmen，NOTAM）的服務。

波音公司向The Record透露這是網路安全事故，正在復原相關服務的運作。旅遊專家Matthew Klint取得知情人士的說法，此起事件很可能是勒索軟體攻擊。

丹麥火車因網路攻擊而被迫停駛

根據資安新聞網站Security Affair的報導，10月29日，專為丹麥鐵路經營者提供資產管理的業者Supeo遭到網路攻擊，導致當天早上該國各地的火車停止行駛，直到約下午1時才恢復。駭客針對此業者架設的Digital Backpack 2系統發動攻擊，這是提供火車司機以行動裝置存取重要訊息的系統。有專家推測這可能是勒索軟體攻擊。

大型火車營運業者DSB則表示，Supeo向他們透露，駭客入侵了測試環境而引發這起事故。

【漏洞與修補】

Splunk修補9個漏洞，其中4個為高風險等級

Splunk於11月2日發布資安通告，表示他們針對Splunk Enterprise修補了9個漏洞，當中包含4個CVSS風險評分達8.8分的高風險漏洞，這些漏洞可被用於執行遠端命令（RCE）、XML外部實體注入（XXE）、反射式跨網站指令碼（Reflected XSS）等攻擊手法。

其中，CVE-2022-43571、CVE-2022-43567為RCE漏洞，攻擊者一旦通過身分驗證，可能藉由儀表板產生PDF的元件，或是該系統發送警示訊息至行動裝置App的功能，以偽造請求來進行攻擊；CVE-2022-43570為XXE漏洞，一旦遭到利用，可導致Splunk Web嵌入不正確的文件檔案而出錯；CVE-2022-43568是反射式跨網站指令碼漏洞，存在於啟用Splunk Web功能的Splunk Enterprise，攻擊者可發送含有特定搜尋參數的JSON檔案來利用。因應這些資安問題，Splunk推出9.0.2、8.2.9、8.1.12版Splunk Enterprise，供用戶進行修補。

思科修補旗下身分驗證系統、電子郵件防護解決方案漏洞

思科於11月2日針對旗下多項產品發布資安通告，其中最為嚴重的漏洞為CVE-2022-20961，屬跨網站偽造請求（CSRF）弱點，出現在網路安全存取管理解決方案Identity Services Engine（ISE），未經身分驗證的攻擊者可用於遠端執行任意行動，起因是ISE的網頁管理介面的CSRF保護不足，CVSS風險評分為8.8分。

該公司同日亦公告其他資安產品的漏洞修補，範圍包括：郵件安全閘道Email Security Appliance、上網安全閘道Secure Web Appliance，以及Secure Email and Web Manager，修補的弱點為CVE-2022-20868、CVE-2022-20868。

【資安產業動態】

擴大培育校園資安人才管道，112年度大學推甄首度新增資安組

大學甄選入學委員會於11月4日發布112學年度的大學「繁星推薦」與「申請入學」招生簡章，但與過往招生最為不同之處在於，教育部在申請入學的部分首度增加了「資安組」，共有16個校系、招生68人，報名者在第一階段將會使用「大學程式設計先修檢測（APCS）」做為評比的依據。

【資安防禦措施】

第二屆反勒索軟體倡議高峰會落幕，37國決議透過管制加密貨幣金流來打擊犯罪

為因應勒索軟體威脅，美國白宮今年於10月31日至11月1日，第2次舉辦反勒索軟體倡議高峰會（CRI），共有37國、13家企業參與，各國代表最後達成一項共識，為了遏止勒索軟體犯罪，會將加密貨幣的生態系統列為重點項目，各國政府也支持共享用於洗錢的加密貨幣錢包情資，並聯手阻止駭客透過加密貨幣的生態系統取得贖金。此外，CRI亦打算制訂共通的框架和指南來預防及因應勒索軟體。

【其他資安新聞】

美國針對ETIC Telecom、Nokia、Delta工控系統漏洞發出警告

澳洲科技集團Pnors遭到遭到網路攻擊，維多利亞州居民個資外洩

IT服務業者Kearney & Company傳出遭到勒索軟體LockBit攻擊

網路釣魚工具訂閱服務Robin Banks捲土重來

近期資安日報

【2022年11月4日】美國財政部傳出遭親俄駭客組織Killnet攻擊、勒索軟體Black Basta疑與駭客組織FIN7有關

【2022年11月3日】國防安全科技集團Thales疑似遭勒索軟體LockBit 3.0攻擊、數百個美國新聞網站遭到供應鏈攻擊