【資安週報】2023年3月6日到3月10日

這一周的漏洞消息中，最受關注的是有應用程式漏洞檢測業者警告，已出現針對程式庫XStream CVE-2021-39144漏洞的攻擊行動，而在漏洞修補消息上，以Jenkins，Fortinet與Veeam的漏洞修補與揭露值得留意。另外我們要提醒的是，關於最新的漏洞利用情形，除了上述XStream的漏洞，還有4個是前兩年的已知漏洞，雖然本周iThome資安新聞尚未提到，但近期都已確認出現鎖定利用情形，同樣需要優先重視，包括：Plex Media Server（CVE-2020-5741），Zoho ManageEngine（CVE-2022-28810），Apache Spark（CVE-2022-33891），以及Teclib GLPI（CVE-2022-35914）的漏洞。

資安防護態勢上，零信任（Zero Trust）網路安全防護策略持續受到全球重視，最近有調查機構指出開始制定相關策略的歐洲組織，從兩年前的比例是四分之一，到2022年，比例已提升至三分之二，顯現更積極且普遍的態勢。

在資安威脅焦點方面，首先是ChatGPT仍是主要話題，因此近來仍持續被發現有冒牌平臺的惡意活動，還有三個威脅態勢可以留意，包括：以規避而言，有資安業者持續對惡意軟體QBot透過微軟筆記軟體OneNote檔案散布的活動提出警告，木馬程式Remcos RAT的攻擊可規避系統內建UAC機制的揭露；以漏洞攻擊而言，有HiatusRAT的木馬程式鎖定居易Vigor 2960、3900路由器攻擊，上百企業受害的狀況曝光；以安全實作而言，Booking.com在登入OAuth實作上被資安業者發現有不安全的設計缺陷。

在資安事件中，有宏碁與Acronis遇駭的事件。我們在周二報導資安業者Gridinsoft揭露宏碁在2月中疑發生資料外洩事故，隔日傍晚，宏碁以說明媒體報導方式發布重大訊息，指出是該公司提供當地商業夥伴下載產品文件的伺服器，因某廠商密碼保存與管理不當造成資料外洩。另外，備份解決方案業者Acronis也有遭駭的消息，並傳出上述兩起事件外洩資料的可能是同一人。

【3月6日】研究人員找出濫用微軟搜尋引擎AI機器人騙取使用者個資的方法、組態配置不佳的Redis伺服器被用於挖礦

AI機器人被用於攻擊的情況，已有駭客將其拿來產生變種的惡意程式碼或是多樣的釣魚郵件，但最近有研究人員發現新的手法，他們在機器人可能會引用的網頁上埋入提示訊息，一旦使用者詢問相關問題，聊天機器人就可能藉著這類資訊向使用者套出多種個資。研究人員指出，駭客有可能自行架設網頁，或是搭配電子郵件來發動攻擊。

又是Redis資料庫系統被用於挖礦攻擊的情況，與過往不同的是，駭客濫用了指令碼共享服務transfer.sh規避偵測，而且，還企圖榨取更多的記憶體資源來挖礦。

有研究人員揭露針對上萬個網站而來的攻擊行動，駭客企圖將使用者導向成人或賭博網站牟利。但究竟駭客入侵這些網站的手法為何？仍有待進一步釐清。

【3月7日】宏碁再傳資料外洩事故、一百多家組織的居易路由器遭木馬程式HiatusRAT入侵

宏碁曾在2021年兩度遭到駭客入侵的事故，但最近傳出有人聲稱成功入侵並竊得內部資料兜售的情況。根據賣家在暗網網路犯罪論壇上的廣告內容，駭客主要取得的資料，大多與筆電、桌上型電腦產品有關，像是產品簡報、BIOS檔案，或是部署Windows作業系統的相關工具。

有駭客使用名為HiatusRAT的木馬程式針對兩款居易路由器設備下手，進而將路由器當作竊取內部環境資料的管道。研究人員發現駭客從2022年7月開始發動相關攻擊，但他們推測，這起攻擊行動很可能在2022年以前就出現。

針對工控系統（ICS）漏洞提出警告的資訊也值得留意。德國、美國先後針對數個漏洞提出警告，其中部分漏洞的CVSS風險評分接近滿分，而有可能被用於執行任意程式碼，或是導致系統無法運作。

【3月8日】ChatGPT被用於投資詐騙攻擊、Windows信任的資料夾被用於繞過使用者帳號控制防護措施

又是假借ChatGPT來發起的攻擊行動了！繼之前有人用於產生惡意程式碼、製作釣魚郵件內容，也有宣稱提供相關軟體來散布惡意程式的情況，現在有人聲稱採用ChatGPT架設AI對話機器人，目的是要對使用者進行投資詐騙。

有駭客在木馬程式攻擊行動裡企圖繞過使用者帳號控制（UAC）機制，他們假造了Windows作業系統預設信任的資料夾，藉此在不受管制的情況下執行木馬程式。而這樣的手法是資安人員在2020年發現，如今已被用於實際攻擊行動。

面對廠商已不再支援的產品，仍有可能被公布漏洞，若企業與組織仍在使用，IT人員千萬別以為可以放著不管，因為這些漏洞很可能成為駭客鎖定的目標。有資安業者發現，VMware於2022年10月修補的重大漏洞CVE-2021-39144，在12月出現大規模攻擊行動。

【3月9日】惡意軟體QBot以微軟OneNote檔案散播攻擊的態勢升溫、Fortinet防火牆與網頁安全閘道存在重大漏洞

資安業者Trellix針對惡意軟體QBot的攻擊提出警告，值得留意的是，他們並非首度揭露相關攻擊行動的資安業者──上個月就有兩家資安業者Cyble、Sophos提出警告，其共通點就是駭客的作案過程運用了OneNote檔案來進行。但不同的是，這次研究人員提及了駭客在QBot與相關惡意程式上，採用相當隱密的迴避偵測手法，而使得資安系統難以察覺異狀。

昨天（3月8日）傳出有人在駭客論壇兜售宏碁2月遭駭而外洩資料一事，引起各界媒體報導。對此，宏碁晚間在股市公開觀測站發布重大訊息證實此事，並認為起因是有合作廠商密碼管理不當引起。

3月7日資安廠商Fortinet公布重大漏洞CVE-2023-25610，影響的產品包括防火牆作業系統FortiOS、網頁安全閘道FortiProxy，有可能導致服務中斷，或是讓駭客能執行任意程式碼的情況。

【3月10日】SonicWall的SSL VPN設備遭到中國駭客鎖定、Oracle Weblogic Server被用於挖礦

隨著遠距辦公成為常態，針對Foritnet、Pulse Secure等廠牌的SSL VPN設備而來的攻擊行動不時出現。最近有資安業者發現鎖定SonicWall旗下SSL VPN設備而來的惡意軟體攻擊，其目的就是要竊取連線的使用者帳密資料。

鎖定Oracle Weblogic Server的攻擊行動也相當值得留意，有駭客組織專門將這種伺服器拿來挖礦，根據提供惡意程式的賣家指出，他們已納入數種迴避Windows系統內建惡意軟體偵測的機制，並提供進階功能讓買家選用。但特別的是，Oracle Weblogic Server可架設於Windows、Linux主機，但駭客專門鎖定前者，顯示這起攻擊行動可能有高度針對性。

中國遠端桌面軟體的漏洞又再度被用於攻擊行動！這次是用於部署惡意軟體PlugX，在此之前，已有駭客用於散布滲透測試工具、木馬程式，以及挖礦軟體。