【資安週報】2024年4月1日到4月3日

在這一星期IT界與資安界最重大的新聞，就是有開發人員意外發現了XZ/liblzma被植入後門的事件，紅帽也公布了XZ相關漏洞CVE-2024–3094，本期有多篇新聞與此事件有關。

所幸的是，這次能夠及早揪出了這個潛藏的後門，目前只有部分Liunx版本受影響，影響層面還不是太廣，然而，這起針對開源軟體的供應鏈攻擊事件，正持續受到調查與探討。

不只是意外發現的過程，後門植入的手法，更讓各界吃驚的是，涉及此事件提交的GitHub帳號，竟是從2021、2022年就開設帳號並逐漸取得原始XZ維護者的信任，這樣的潛伏歷程備受矚目，也再次引發各界對於開源軟體安全議題的探討。

還有兩個Linux漏洞的揭露值得關注，一是名為Flipping Pages、涉及netfilter元件的漏洞，一是名為WallEscape、涉及util-linux 套件的漏洞。這兩個漏洞的修補，分別在今年1月底與3月底釋出，近期研究人員各自揭露漏洞細節與並利用場景，同時呼籲尚未因應的用戶盡速更新。

在其他漏洞利用消息方面，使用AI框架Ray的企業組織需特別留意，去年11月底Anyscale揭露5個漏洞，唯有CVE-2023-48022漏洞沒有修補，甚至認定這並非漏洞，但如今有資安業者揭露已濫用該漏洞的攻擊活動ShadowRay。

Google Pixel手機用戶也要當心，在Android的4月安全更新公告中，有兩個Pixel的資訊洩漏漏洞已有跡象受到針對性利用，分別CVE-2024-29745、CVE-2024-29748，本期資安日報尚未提及，在此補上。

在最近的資安事件中，還有2則新聞我們認為值得重視，分別發生在美國網路安全暨基礎設施安全局（CISA），以及非營利組織OWASP基金會。我們整理如下：
●美國CISA亦受到年初Ivanti系統漏洞影響，駭客針對美國聯邦高風險化學關鍵設施，入侵CISA提供的化學品資安評估工具（CSAT），並成功部署了Web Shell，且另一關鍵基礎設施資安資訊工具CISA Gateway也受影響。
●以公布十大網站資安風險而廣為知名的OWASP基金會，最近發布資料外洩通知，說明2006至2014年的成員簡歷檔案可能外洩，原因出在一臺舊的維基（Wiki）網頁伺服器，當中存在組態配置不當的問題。

此外，國內發生一起7所高中校務系統遭駭的事件，根據教育部公布的初步調查，我們認為，當中有兩個議題值得留意與警惕。一是關於駭客勒索的對象，並非這些學校，而是打造校務行政系統的亞昕資訊，另一是通用帳號密碼的問題，調查中發現駭客先入侵1所學校的系統，獲得登入該校務系統的帳密，但駭客利用同一組帳號密碼，也能成功登入其他6所學校的系統。另亞昕有其他說法，說明此事件影響單機版校務行政系統，並指出駭客是針對受害客戶的主機入侵。有待後續調查釐清。

【4月1日】發現潛伏三年的供應鏈攻擊事件，程式庫XZ Utils近期被植入後門

週末一起供應鏈攻擊事件的揭露，震撼了整個資安圈，也讓IT界忙於修補因應，有攻擊者針對XZ Utils資料壓縮程式庫植入後門，而這個後門將可讓攻擊者繞過SSHD的身分認證機制，且相當難以察覺。

幸好有研究人員因為調查一個SSH登入失敗及登入變慢500豪秒的狀況而發現，但回顧這個提交惡意的GitHub帳號，竟是在2021年就註冊，並從2022年2月就開始試探性的對XZ程式庫提交Commit。

【4月2日】CISA傳出向美國政府報告Ivanti系統遭到入侵的事故

今年初Ivanti公布一連串Connect Secure、Policy Secure漏洞，再度震撼全球資安界，有研究人員不斷發現相關攻擊行動，但截至目前為止，鮮少企業組織證實遭到相關攻擊，不知該慶幸沒事或擔心有後遺症。

直到3月上旬，傳出美國網路安全暨基礎設施安全局（CISA）所屬的Ivanti伺服器遭到入侵，導致其中2個系統被駭，等於證實上述漏洞的確產生衝擊，而在3月底，該機構也向數個政府機關報告此事細節。

【4月3日】研究人員發現中國駭客組織APT41旗下團體使用更為隱密的方式迴避偵測

最近幾年中國駭客組織APT41的攻擊行動不時傳出，但今年初鮮少有相關的事故揭露，直到最近，有研究人員發現該組織旗下團體的攻擊手法。

資安業者趨勢科技發現該組織旗下團體Earth Freybug，特別針對端點防護系統（註：這裡研究人員應該指的是EDR相關系統）追蹤惡意行動的方法下手，企圖讓這類系統無法偵測他們的行蹤。