【資安日報】2022年12月14日，Citrix ADC的零時差漏洞已被用於攻擊行動、WordPress網站遭到殭屍網路GoTrim鎖定

昨日是本月的第二個星期二，許多廠商發布了12月份的例行修補程式，值得留意的是，所針對的資安弱點，有不少是已經出現攻擊行動的零時差漏洞。

例如，Citrix為旗下的Citrix ADC、Citrix Gateway發出資安通告，有人正利用CVE-2022-27518發動攻擊。美國國家安全局指出攻擊者的身分是中國駭客組織APT5。

另一個也相當值得留意的是與Safari瀏覽器有關，排版引擎WebKit被人發現有漏洞CVE-2022-42856。蘋果原先在11月底為iOS 16提供修補，但該公司現在也擴大對Mac電腦、Apple TV修補，原因是已出現攻擊行動。

殭屍網路針對WordPress網站而來的攻擊行動也值得關注，但這起事故透過暴力破解來挾持網站，而非利用WordPress網站或外掛程式的漏洞。

【攻擊與威脅】

WordPress網站遭到殭屍網路GoTrim鎖定，暴力破解管理者帳密

資安業者Fortinet揭露自今年9月出現的GoTrim殭屍網路，此殭屍網路針對WordPress網站嘗試透過暴力破解攻擊，存取管理員帳號，一旦成功入侵，惡意軟體會向C2中繼站回報，並使用PHP指令碼下載殭屍網路病毒GoTrim並部署，然後接管該網站並納入殭屍網路。

研究人員根據程式碼進行分析，GoTrim除了能試圖存取WordPress帳密，駭客亦試圖開發能存取Joomla!、Data Life Engine帳密資料的功能。而為了規避偵測，駭客也只會針對自行管理的WordPress網站下手，排除由WordPress.com代管的網站。

推特針對研究人員發現有1,700萬筆用戶資料外洩做出說明

研究人員於8月發現有人在駭客論壇兜售540萬筆推特用戶資料，當時推特證實此事起因與他們今年1月修補的漏洞有關，但在11月又有研究人員發現另一批駭客利用相同的漏洞蒐集多達1,700多萬筆用戶資料。

對此，推特於12月9日做出說明，他們表示前後兩個研究人員揭露的其實是同一批資料，但未說明為何資料筆數落差如此懸殊。

【漏洞與修補】

資安業者Citrix於12月13日發布資安通告，指出駭客利用CVE-2022-27518對Citrix ADC和Citrix Gateway發動攻擊，影響12.1至13.0版的系統，13.1版不受影響。此外，該漏洞必須在系統設置為SAML的服務提供者（SP），或是身分識別資訊提供者（IdP）的角色，才會觸發。一旦遭到利用，攻擊者可在未經身分驗證的情況下，遠端執行任意命令，並控制存在該漏洞的系統。由於沒有其他的緩解措施，該公司呼籲用戶應儘速安裝更新軟體。

Citrix並未透露該漏洞遭到利用的細節，但美國國家安全局（NSA）指出，中國政府資助的駭客組織APT5（亦稱UNC2630、Manganese）將其用於攻擊行動。

AWS修補了可被用於發動DoS、資料外洩的容器映像檔服務漏洞

資安業者Lightspin揭露AWS的Docker映像檔儲存庫Elastic Container Registry Public（ECR Public）重大漏洞，他們在該儲存庫的入口網站ECR Public Gallery當中，發現有個文件未提到的API，可用於新增、刪除、變更容器映像檔，一旦有人發現此API，就有機會刪除其他帳號的ECR映像檔，或是上傳、新增惡意映像檔，進而發動阻斷服務（DoS）、資料外洩、網路橫向移動、權限擴張、資料破壞等攻擊行動。AWS在11月15日獲報後已完成修補。

iPhone的WebKit零時差漏洞已被用於攻擊，蘋果亦為Mac電腦和Apple TV修補

蘋果在11月30日推出的iOS 16.1.2當中，修補了瀏覽器排版引擎WebKit的漏洞CVE-2022-42856，現在該公司也針對舊版iOS與iPadOS，以及Mac電腦、Apple TV修補，原因是已出現攻擊行動。蘋果在12月13日發布iOS 15.7.2、iPadOS 15.7.2、Safari 16.2、tvOS 16.2，以及macOS Ventura 13.1，當中也修補了上述的WebKit漏洞，並指出他們獲報已有相關的漏洞攻擊行動，是針對執行iOS 15.1的手機而來。

微軟發布12月份例行修補，緩解2個零時差漏洞

12月14日微軟發布每月例行修補（Patch Tuesday），總共修補了49個漏洞，當中有2個零時差漏洞CVE-2022-44698、CVE-2022-44710，前者是已出現攻擊行動，後者則是細節遭到公開。CVE-2022-44698與Windows的SmartScreen防護機制有關，攻擊者可利用特製的惡意文件，避開識別是否來自網際網路（MoTW）的機制，資安新聞網站Bleeping Computer指出，已有駭客藉由JavaScript檔案發動攻擊；CVE-2022-44710則是出現在DirectX元件，可被攻擊者用於取得System權限。