【資安週報】2024年1月29日到2月2日

在漏洞利用相關消息中，這個星期最受關切的是，Ivanti再度成為駭客發動Zero-day攻擊的目標，該公司旗下SSL VPN、NAC產品線的零時差漏洞CVE-2024-21893已遭成功利用。這已是Ivanti本月要修補的第3個零時差漏洞。

已知漏洞被成功利用的情形，同樣引發重視，最近有3起這樣的情形，而且駭客都是針對1月才剛釋出修補的漏洞。

首先，是持續整合開發工具Jenkins的重大漏洞CVE-2024-23897，開發團隊1月24日釋出修補，但駭客很快就鎖定這個漏洞，兩日後外部已有成功濫用情形。

另一是WordPress網域遷移輔助外掛程式Better Search Replace的重大漏洞CVE-2023-6933，開發商WP Engine在兩週前釋出1.4.5版修補，資安業者Wordfence則等到1月24日才揭露這個漏洞，但公布後就已偵測到2,500起漏洞利用攻擊。

最後，是蘋果在本月上旬修補的漏洞CVE-2022-48618，月底發現已遭成功利用，由於漏洞存在於WebKit，不只iPhone、iPad、Mac電腦Apple TV受影響，後續蘋果也針對最近剛出爐的混合實境裝置Vision Pro發布修補。

還有一個漏洞修補情形，其嚴重性我們認為也要多加留意，最近Fortra揭露GoAnywhere漏洞CVE-2024-0204，該公司表示，已在12月7日釋出新版修補，但一個月後的此刻才公告這項消息。

其他重要漏洞消息，包括：Juniper Networks修補網路設備作業系統高風險漏洞，Google Cloud修補GKE的重大漏洞，以及多個Linux發行版本修補glibc程式庫的3個漏洞。

在資安事件焦點上，這半個月來，所有資安媒體都在關注微軟公司電子郵件遭入侵的事故，因為該公司持續向外界揭露更多資訊。微軟自1月17日向美國證券交易所（SEC）提交資安事件報告後，19日更是明確指出攻擊者是Midnight Blizzard（APT29），25日他們公布更多細節，包括彙整出他們發現攻擊者的行動與手法，並說明攻擊者是如何避過偵測。

在資安威脅態勢上，這段期間以資料外洩與勒索軟體的消息最多，我們整理如下：
●被視為OpenAI有力競爭者的AI新創Anthropic，最近通知客戶坦承他們發生資料外洩，原因是外包商不慎將客戶資料傳給第三方組織。
●施耐德電機傳出遭勒索軟體Cactus攻擊，導致Resource Advisor能源監測雲端平臺服務中斷，數TB公司內部資料遭竊。該公司在網站公告發生資安事件，說明僅影響其永續發展業務部門，正採取復原的補救措施。
●英國美容保養品牌業者Lush在官方網站發布資安事件公告，先於1月11日揭露事件，30日證實成為勒索軟體受害者。另一方面，勒索軟體組織Akira宣稱是他們所為，並竊取了110 GB資料。
●有勒索軟體諮詢服務業者Coveware揭露最新勒索軟體的季度報告，我們看到幾個重點，例如，2023第四季前4大勒索軟體為Akira、BlackCat、Lockbit、Play，5到8名均為新入榜，分別是Silent、Medusa、NoEscape、Phobos。報告中也提到受害者付贖金的比例已不到3成，再創新低。

在資安防禦態勢上，有兩則新聞備受關注，分別是反制國家級駭客攻擊，以及車聯網安全的進展。

例如，針對去年攻擊美方關鍵基礎設施的中國駭客組織Volt Typhoon，最近美國司法部宣布已採取行動，成功破壞該組織打造的殭屍網路與掌控的網路設備，也就是針對受感染的網路裝置，刪除當中的KV Botnet殭屍網路病毒，並將通知裝置所有者，以及給予防護建議，另也針對SOHO裝置製造商給予Secure by Design的指引；第一屆Pwn2Own Automotive汽車駭客大賽在東京舉辦，透過獎勵機制，來鼓勵資安研究人員發現並且負責任地揭露安全漏洞，漏洞競賽類別涵蓋Tesla、車載資訊娛樂(IVI)系統、電動車充電器與作業系統，這場活動共找出49個漏洞。

【1月29日】微軟公布俄羅斯駭客APT29的攻擊流程並指出還有其他公司也被鎖定

一週前微軟、HPE向美國證券交易委員會（SEC）坦承，他們的電子郵件系統遭到俄羅斯駭客APT29入侵，由於採用了相同的雲端郵件系統，又是相同的駭客組織所為，當時外界懷疑可能有其他公司受害，如今微軟證實了這項說法。

微軟在25日針對資安事故的發生過程提出進一步的說明，並根據他們後續的調查結果指出，這些駭客也同時對其他公司發動攻擊，呼籲Exchange Online用戶應採取相關措施防範。

【1月30日】逾7萬臺Jenkins伺服器尚未修補的重大RCE漏洞出現攻擊行動

有多組研究人員本週針對持續整合開發工具Jenkins的重大漏洞CVE-2024-23897提出警告，先是有人於程式碼儲存庫GitHub公開濫用此漏洞的概念性驗證程式碼（PoC），隨後，有些蜜罐陷阱也出現遭到駭客嘗試利用漏洞發動攻擊的情況。

但在此同時，仍有許多IT人員尚未部署相關更新軟體，目前已知有多達7萬臺Jenkins伺服器曝險，可能成為駭客下手的目標。

【1月31日】美國傳出針對中國駭客Volt Typhoon的攻擊行動採取反制並破壞其基礎設施

中國駭客組織Volt Typhoon於去年上半被揭露，當時美國政府發出警告，指出這些駭客針對當地的關鍵基礎設施發動攻擊，後來有多家資安業者對於該組織的攻擊手法進行分析，指出駭客利用生命週期已經結束的路由器、防火牆、VPN設備來充當代理伺服器，而且，英國和澳洲也是這些駭客攻擊目標。

但到了最近，傳出美國政府已採取了反制，背後原因很有可能和臺海局勢的軍力佈局有關。

【2月1日】Ivanti旗下SSL VPN解決方案的零時差漏洞在修補前傳出第2波攻擊行動

1月上旬Ivanti公布的零時差漏洞引起多家資安業者的高度關注，原因是這項漏洞公布時該公司並未提供修補軟體，接著便傳出駭客大規模利用的情況。

但在一週後，又出現新型態的攻擊手法，駭客將其部署以Rust打造的惡意程式，而使得行蹤更難以捉摸，直到最近才有研究人員確定其攻擊手法，但對於駭客的目的，研究人員並未進一步說明。

【2月2日】美國下令聯邦機構限時切斷Ivanti Connect Secure與內部網路環境之間的連線並著手清查

Ivanti Connect Secure零時差漏洞CVE-2023-46805、CVE-2024-21887公布至今，已出現大規模的漏洞利用攻擊行動，並引起多家資安業者高度關注，Ivanti對上述漏洞進行調查，又發現另一個也被利用的零時差漏洞。

而這樣的威脅態勢，美國網路安全暨基礎設施安全局（CISA）罕見發出緊急命令，聯邦機構必須先切斷這類系統與內部網路環境的連線，再著手清查受害情形。