【資安週報】2024年4月29日到5月3日

這一星期的漏洞消息中，GitLab在1月初修補的已知漏洞CVE-2023-7028最要留意，因為近期確定了攻擊者正開始鎖定利用的情況。

還有WordPress Automatic Plugin在兩個月前修補CVSS風險評分9.9分的漏洞CVE-2024-27956，由於近期發現攻擊者正試圖積極利用這項漏洞接管網站，也引發研究人員示警。

關於其他重要漏洞修補，包括：HPE Aruba Networking的4月資安公告中修補了4個重大漏洞，Brocade修補SAN管理軟體多個漏洞，以及程式語言R開發團隊修補1項高風險漏洞。

在資安事件方面，這一星期有多起資安事故成為焦點，不只Dropbox向美國證交所（SEC）通報重大資安事故受關注，還有加拿大藥局與瑞典物流業者遭勒索攻擊，導致服務或供應中斷的事件。
●Dropbox揭露旗下Dropbox Sign數位簽章方案（原為HelloSign）遭駭，有部分用戶的金鑰及MFA驗證資訊遭存取，曾接收簽章文件的電子郵件信箱恐也外洩。
●加拿大連鎖藥局London Drugs遭遇網路攻擊，導致門市被迫暫停營業。新的後續是，當地80多家門市受影響，並在關閉6天後正逐步開放重新營業。
●瑞典物流業者Skanlog傳出遭遇勒索軟體攻擊，由於該物流與當地國營酒類專賣局Systembolaget合作，因此衝擊到當地酒品的供應，預估影響15%銷售額。
●福斯汽車傳出資料外洩，駭客疑似竊得逾1.9萬份涉及智慧財產權的機密資料。

在威脅態勢上，我們認為有2項消息需要特別重視，當中涉及了關鍵CI的攻擊態勢，以及網釣威脅的現況。我們整理如下：

（一）前幾個月美國各地不時傳出水力設施等關鍵CI遭攻擊的情況，最近美、加、英等7國網路安全機構聯手發布這方面的警告，當中說明駭客使用3種技術手法以遠端存取HMI，並對底層OT進行更改，例如：透過VNC通訊協定，濫用VNC的RFB遠端框架緩衝協定登入，以及利用5900埠的VNC。另也呼籲這些關鍵CI組織，應限制OT系統曝光於網際網路，並對所有存取OT網路的途徑實施MFA。

（二）近期有資安業者揭露，近半年來假冒美國郵局的詐騙簡訊不斷，研究人員進而盤查仿冒美國郵件的網站，發現有68萬個網站帶有USPS字樣，顯然是為了混淆用戶而來，他們並從用戶的DNS查詢量發現，竟有49%都被導向釣魚網站，這突顯了網域名稱搶註、網釣攻擊仍泛濫的現象。

另一值得注意的是，思科一個多月前指出，發現7個廠牌的設備或服務遭大規模暴力破解攻擊，如今Okta也表示，發現針對客戶的帳號填充攻擊在4月底呈現大幅增加的情況，並且都是濫用基於合法裝置而成的代理伺服器來發起攻擊。

至於其他最新惡意活動的揭露，本星期的焦點還包括：殭屍網路Goldoon持續鎖定老舊無線路由器，惡意程式Cuttlefish鎖定小型路由器並具備零點擊攻擊能力，以及攻擊者濫用Docker Hub映像檔儲存庫出現新手法。

在資安防護方面，國際間有一個重要新聞，英國產品安全暨電信基礎設施法PSTI Act於4月29日正式施行，當中明訂消費性IoT產品在出廠時，不得採用弱密碼或常見預設密碼，此舉也使英國成為全球首個強制在全國境內推動這項要求的國家。

國內也有兩則消息，分別是：GiCS尋找資安女婕思的資安競賽活動今年第四度舉辦，以及金管會宣布對於設置資安長的要求將擴及電支機構，預計街口支付、一卡通、全支付、悠遊卡這4大業者將在首波範圍之內。

至於技術層面，誘餌檔案的應用也越來越常見於資安防護，最近也有儲存系統廠商宣布，針對勒索軟體保護功能新增誘餌檔案（Decoy files）方式，以偵測攻擊者的非法存取行為。

【4月29日】互動式BI系統Qlik Sense危急漏洞遭到鎖定，對方利用勒索軟體Cactus發動攻擊

去年互動式BI系統Qlik Sense修補多個已知漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365，事隔2個月傳出駭客組織鎖定尚未修補的伺服器下手，對其植入勒索軟體Cactus加密檔案。事隔5個月，這波攻擊的態勢並未趨緩，但仍有不少伺服器仍未套用更新軟體而曝險。

資安業者Fox-IT指出，截至今年4月17日，曝露於網際網路上的Qlik Sense伺服器超過6成存在前述漏洞，且已有超過100臺伺服器遭到入侵。

【4月30日】安卓金融木馬Brokewell透過冒牌Chrome更新網頁散布

鎖定手機的金融木馬攻擊不時傳出，最近研究人員揭露名為Brokewell的惡意程式，並指出該惡意程式能繞過Android 13的防護機制，進而透過側載的方式執行其他作案工具。

值得留意的是，Brokewell並非首款能繞過上述防護機制的安卓惡意軟體，但研究人員認為，攻擊者未來應該會透過租賃服務提供其他網路犯罪份子利用，使得該惡意軟體危害範圍進一步擴大。

【5月2日】Docker Hub遭濫用，被用來散播惡意程式與架設釣魚網站的映像儲存庫比例高達2成

在針對Kubernetes環境的攻擊行動當中，駭客最常用來傳送惡意程式的方式，就是藉由映像檔儲存庫Docker Hub，透過拉取惡意Docker映像檔來進行，但如今有另一批人馬透過完全不同的角度來濫用此映像檔儲存庫。

資安業者JFrog揭露最新一波攻擊行動，並指出其共通點，就是駭客建立的儲存庫都沒有Docker映像檔。

【5月3日】殭屍網路Goldoon鎖定D-Link家用路由器DIR-645老舊漏洞發動攻擊

一般而言，殭屍網路攻擊行動，往往針對多種類型的設備而來，或是對於多個漏洞發動攻擊，但最近資安業者Fortinet揭露的攻擊行動，駭客竟只針對單一型號的路由器，以及完成修補的已知漏洞下手。

這起攻擊行動的特殊之處，在於對方專門對於家用路由器DIR-645而來，且利用已知漏洞CVE-2015-2051發動攻擊，而這個漏洞早在9年前就被修補，由此可見，仍有不少該型號設備尚未套用新版韌體而曝險。