【資安週報】2022年11月7日到11月11日

在本週資安新聞中，本週多家業者發出產品安全公告，包括VMware、Citrix、微軟，以及西門子與施耐德電機等，值得注意，關於漏洞利用新態勢上，美國CISA在8日於「已知成功利用漏洞清單」新增7項漏洞，是關於三星的3個漏洞，以及微軟的4個漏洞（微軟本週修補6個零時差漏洞，其中兩個Exchange漏洞在9月30日就已列入清單），最值得注意。還有一個漏洞方面的重要議題，就是對於去年中國政府介入業者漏洞通報，不只臺灣資安專家指出需留意此事，本週微軟研究報告直指當地國家級駭客濫用零時差漏洞呈增加的趨勢，並說明權威領導人攻擊關鍵基礎設施比例增高。

在國際重大資安事件上，服務丹麥鐵路經營者的資產管理業者Supeo遭網路攻擊；波音旗下日本子公司發生網路安全事故，通知飛行員（Notice To Airmen，NOTAM）服務亦受影響。還有，加拿大肉品商Maple Leaf Foods遭駭使業務中斷，以及澳洲的資安事件頻傳，近期就已不少，本週再有多起。

在攻擊趨勢上，近期又發現不少駭客駭客利用PyPI程式庫中的Python套件來暗藏惡意程式，前兩周Phylum才揭露一起，Check Point研究人員最近也公布他們的發現，並且還是利用圖像隱碼術（steganography）的混淆技術來隱藏，而這也反映出近來攻擊者在PyPI上運用混淆技術的發展態勢。

此外，自2014年發起的星際檔案系統（IPFS）在最近兩年成為焦點，不過濫用問題也隨之而起，繼今年8月資安業者TrustWave發現駭客將大量釣魚網站建立在這樣的協定上，最近又有Cisco旗下Talos研究人員也指出，他們觀察到有更多攻擊者這麼做，藉其分散架構等特性，抵抗被刪除與取締。

【11月7日】製藥廠AstraZeneca傳伺服器帳密不慎暴露，中國漏洞揭露政策導致國家級駭客先行濫用日益明顯

有資安業者發現知名製藥廠AstraZeneca的伺服器帳密，居然在程式碼儲存庫GitHub被公開，而使得部分用戶的資料可能曝光。該製藥廠已證實此事，但不願說明這些資料為何會被用於開發測試環境。

中國在去年立法要求研究人員必須向政府通報漏洞，此舉讓外界認為當局很可能會將這些漏洞提供給國家級駭客運用。如今微軟的資安研究團隊提出相關的證據，並指出多項重大漏洞都是中國資助的駭客第一個用於攻擊行動。

商用大數據搜尋與分析軟體廠商Splunk上週修補9個漏洞，其中4個被評為高風險等級。若不修補，這些漏洞可被用於執行遠端命令（RCE）、XML外部實體注入（XXE）、反射式跨網站指令碼（Reflected XSS）攻擊。

【11月8日】加拿大肉品供應商Maple Leaf Foods遭網路攻擊、Azov Ransomware寫入隨機資料破壞檔案

加拿大肉品供應商Maple Leaf Foods於11月6日發出公告，表示他們因遭到網路攻擊而導致系統中斷，但此起事故發生的原因仍有待調查。

資安新聞網站上週揭露名為Azov Ransomware的資料破壞軟體，現在有研究人員提出更多發現，並指出電腦遭此惡意程式感染後，駭客還會建立多個後門而難以追查行蹤。

鎖定澳洲組織的網路攻擊攻擊行動近日陸續傳出，除日前遭駭的電信業者Optus、保險業者Medibank，如今連當地的科技業者、房仲業者、學校都無法倖免。

【11月9日】沙烏地阿拉伯遭駭客組織Justice Blade鎖定、惡意瀏覽器擴充套件Cloud9鎖定Chrome而來

先前SolarWinds鎖定IT業者下手並對政府機關與大型企業攻擊的事件震驚全球，類似資安事故如今又再度出現在中東地區。駭客組織Justice Blade攻擊IT服務業者Smart Link BPO Solutions，目標是沙烏地阿拉伯與海灣阿拉伯國家合作委員會會員國的組織。

這幾天也傳出親巴基斯坦駭客APT-36攻擊印度政府機關，引發關注。攻擊者以提供當地政府推出的雙因素驗證應用程式Kavach來散布後門軟體，但值得留意的是，駭客同時濫用Google廣告而使人上當。

透過瀏覽器惡意擴充套件來發動攻擊的活動，最近又出現。研究人員發現名為Cloud9的惡意套件，Chrome使用者若是不慎安裝，所操作的電腦就有可能遭到控制。

【11月10日】SAP修補BusinessObjects與SAPUI5漏洞、兩大處理器業者修補旗下產品漏洞

本週有許多的IT業者發布例行修補。例如，SAP公布兩個重大漏洞與緩解方式，分別出現在商業智慧軟體BusinessObjects，以及應用程式開發框架SAPUI5。

處理器大廠Intel、AMD也著手修補旗下產品，以Intel而言，風險程度最為嚴重的漏洞是CVE-2021-33164；AMD的部分，則是能觸發Spectre V2的推測執行漏洞CVE-2022-23824。

打造間諜軟體的業者利用手機零時差漏洞發動攻擊的行動，已有數起，且很有可能存在超過一年以上才被發現。Google的研究人員發現三星去年修補的漏洞，在2020年就有間諜軟體商用於製作相關工具，而且發動了攻擊。

【11月11日】石油與天然氣流量檢測器弱點修補受關注，APT29入侵歐洲外交機關利用Windows憑證漫遊功能

在本日資安新聞中，可以看出近期一些新的漏洞威脅值得關注，例如，ABB流量檢測器CVE-2022-0902漏洞修補值得關注，近日資安業者揭露漏洞細節，指出這類產品的弱點亦是石油與天然氣產業基礎設施防護關鍵。

還有不少攻擊手法與趨勢值得留意，例如，APT29的新攻擊手法是利用了Windows一項「憑證漫遊」的功能；又有駭客利用PyPI程式庫散布惡意程式，並且是採新混淆技術；有更多攻擊者濫用星際檔案系統（InterPlanetary File System，IPFS）來存放其惡意內容與工具。

其他資安防護態勢與產業焦點，包括MITRE評估計畫發布MDR代管服務驗證的結果，在國內，數位發展部推出政府專用短網址服務，我國行政院國家資通安全會報技術服務中心發布最新報告，當中顯示推動政府機關落實記錄保存的改變。