【资安月报】2024年4月

在今年4月的资安月报中，物联网安全的发展态势成一大焦点，国际间有两则重要新闻，一是英国产品安全暨电信基础设施法（PSTI Act）正式生效，一是FIDO联盟揭露IoT身分识别FDO标准即将有首批认证产品出炉。

特别的是，我们注意到，这两个涉及IoT安全不同层面的新闻，其实在某种程度上有一重要共通点：要让「预设密码」安全问题真正消失！因此，2024年将会是一个重要的转捩点。

长期以来，大家应该已经注意到，绝大多数IoT装置都存在预设密码、通用密码的情况，像是admin、1234、0000等，更糟糕的是，许多使用者都不会更改这些预设密码。

由于这些预设密码，大多在产品说明书或网路上都查得到，甚至过往这类产品还有万用工程密码、帐密写死的情形，这都给了网路犯罪者相当大的可乘之机。

记得今年初，我们看到美国CISA新公布Secure by Design系列警报，当时有一则就是──敦促制造商拒用预设密码，避免相关的滥用威胁。

CISA明确指出，依据多年来的经验，期待顾客在购买产品后去变更预设密码，是不切实际的一件事，多数顾客并不会这么作。因此，只有在产品设计制造阶段，就要设法消除预设密码存在这件事。

然而，尽管多年来资安界提倡Secure by Design，这三四年来，IoT设备通过资安标准认证的态势亦相当显著，但大家更关注的是，全球各国IoT资安立法的进度，因为这会是更强的一股力道，来规范产品安全。

英国PSTI法案生效，强制规范消费性IoT安全，违反最高罚1000万英镑或营业额4%

为何我们前面说2024会是一大转捩点？

这是因为，在2020年提出的欧盟《网路韧性法》（Cyber Resilience Act），以及英国《产品安全暨电信基础设施法》（PSTI Act），都将在2024年正式发布。

尤其英国PSTI法案，已经率先在今年4月29日生效。这不仅标示著，在英国当地销售的物联网产品，都必需遵循这项法令。更重要的是，英国成为全球第一个强制消费性IoT装置必需达到最低资安标准的国家，尤其是禁止使用通用预设密码、弱密码，别具意义。

尽管在此之前，美国两州已有相关立法，包括加州法案SB 327与奥勒冈州法案HB 2395，均在2020年生效，但以国家层级而言，英国显然是更积极。

而且，在英国带头之后，还有欧盟网路韧性法也即将正式通过，由于涉及了大半欧洲市场，因此同样受瞩目。目前最新消息是，欧盟网路韧性法已在立法程序最后阶段，预计最近两个月生效。

大家可以想见的是，这些法案不只影响物联网设备安全，更影响了各国物联网资安立法，同时也影响著台湾许多物联网相关产业。

以这次英国PSTI法案来看，有哪些重点值得关注？我们简单列举如下：

首先，这项法案由英国产品安全与标准办公室（OPSS）负责执行，其规范对象，针对了所有可连网的消费性智慧装置，包括：智慧型手机／平板、连网摄影机、路由器，以及各式智慧家居产品（如智慧门铃、婴儿监视器、智慧家电），还有智慧穿戴设备等。

其次，这项法案所设定最低的安全标准，主要聚焦3大重点，分别是：

●每个产品的密码必须是唯一的，或由产品使用者更改密码设定。这意味著禁止通用密码，并对密码强度有相关要求，或是用户在首次使用时，必须重新设置一组新的密码。

●产品制造商必须提供通报产品安全性问题的联络资讯

●产品制造商必需以明确且透明的方式，将产品生命周期的资讯公布给消费者。

更重要的是，若是违反PSTI法案，情节严重者最高可被罚款1000万英镑，或全球营业额4％作为罚款。

解决预设密码问题成定局，国际间还有更多IoT安全规范正在发展

除了上述新闻事件，近一年来国际间其实还有诸多发展。

例如，在美国方面，联邦通讯委员会（FCC）去年下半宣布针对智慧装置祭出对于台湾而言，虽然我国在2018年就由经济部与NCC启动了物联网资安标章制度，并成为公部门优先采购的安全产品，但如何有进一步发展，是我们持续关注的焦点。

至于即将正式发布的欧盟网路韧性法，4月4日也有新消息。最新发布的一份文件「在这一星期IT界与资安界最重大的新闻，就是有开发人员意外发现了XZ/liblzma被植入后门的事件，红帽也公布了XZ相关漏洞CVE-2024–3094，本期有多篇新闻与此事件有关。

所幸的是，这次能够及早揪出了这个潜藏的后门，目前只有部分Liunx版本受影响，影响层面还不是太广，然而，这起针对开源软体的供应链攻击事件，正持续受到调查与探讨。

不只是意外发现的过程，后门植入的手法，更让各界吃惊的是，涉及此事件提交的GitHub帐号，竟是从2021、2022年就开设帐号并逐渐取得原始XZ维护者的信任，这样的潜伏历程备受瞩目，也再次引发各界对于开源软体安全议题的探讨。

还有两个Linux漏洞的揭露值得关注，一是名为Flipping Pages、涉及netfilter元件的漏洞，一是名为WallEscape、涉及util-linux 套件的漏洞。这两个漏洞的修补，分别在今年1月底与3月底释出，近期研究人员各自揭露漏洞细节与并利用场景，同时呼吁尚未因应的用户尽速更新。

在其他漏洞利用消息方面，使用AI框架Ray的企业组织需特别留意，去年11月底Anyscale揭露5个漏洞，唯有CVE-2023-48022漏洞没有修补，甚至认定这并非漏洞，但如今有资安业者揭露已滥用该漏洞的攻击活动ShadowRay。

Google Pixel手机用户也要当心，在Android的4月安全更新公告中，有两个Pixel的资讯泄漏漏洞已有迹象受到针对性利用，分别CVE-2024-29745、CVE-2024-29748，本期资安日报尚未提及，在此补上。

在最近的资安事件中，还有2则新闻我们认为值得重视，分别发生在美国网路安全暨基础设施安全局（CISA），以及非营利组织OWASP基金会。我们整理如下：
●美国CISA亦受到年初Ivanti系统漏洞影响，骇客针对美国联邦高风险化学关键设施，入侵CISA提供的化学品资安评估工具（CSAT），并成功部署了Web Shell，且另一关键基础设施资安资讯工具CISA Gateway也受影响。
●以公布十大网站资安风险而广为知名的OWASP基金会，最近发布资料外泄通知，说明2006至2014年的成员简历档案可能外泄，原因出在一台旧的维基（Wiki）网页伺服器，当中存在组态配置不当的问题。

此外，国内发生一起7所高中校务系统遭骇的事件，根据教育部公布的初步调查，我们认为，当中有两个议题值得留意与警惕。一是关于骇客勒索的对象，并非这些学校，而是打造校务行政系统的亚昕资讯，另一是通用帐号密码的问题，调查中发现骇客先入侵1所学校的系统，获得登入该校务系统的帐密，但骇客利用同一组帐号密码，也能成功登入其他6所学校的系统。另亚昕有其他说法，说明此事件影响单机版校务行政系统，并指出骇客是针对受害客户的主机入侵。有待后续调查厘清。

 

（三）另一个本周资安日报尚未提及的漏洞，是Palo Alto Networks周五揭露旗下防火墙产品的零时差漏洞综观这些事件的公告，我们认为，由于主管机关证交所对于资安事故揭露要求越来越严格，因此不只是资料外泄开始出现在上市柜公司的重讯，企业对于事件后续状况的揭露，也比过往要积极，虽然短期内会让大家产生资安问题似乎发生得比过去密集的印象，然而，随著企业资安威胁态势越来越透明，这些摊在阳光底下的乱象才是真正反映现况，有助于大家正视问题！

在关注台湾资安事件之余，国际间也有一些重大事件，包括：日本光学设备制造商Hoya传出遭勒索软体骇客组织Hunters International攻击，遭索讨1,000万美元赎金，越南石油公司PV Oil遭到勒索软体攻击，以及智利资料中心IxMetro Powerhost遭遇勒索软体SEXi攻击。

此外，全球还有多个资安威胁的最新态势，我们特别注意到在金融业、媒体政要领域，各有一项需要慎防的威胁。

●对于金融业而言，国际信用卡组织Visa发布资安通报，说明最近一波的恶意软体JsOutProx攻击，并呼吁发卡银行、处理机构及相关单位需严加防范；
●对于手持iPhone的记者、官员或政治人物而言，苹果最近发现部分用户遭到佣兵间谍软体（Mercenary Spyware）锁定，已通知可能遭锁定的92国用户，并建议依照步骤来提升装置防护层级。

在其他恶意活动的揭露方面，我们认为可留意下列消息，例如，语音网钓威胁又一例，LastPass示警，说明该公司员工收到一连串的电话、简讯、语音邮件，并指出对方透过WhatsApp冒充公司执行长传送Deepfake的语音讯息；过去曾攻击Canon、全录、LG的勒索软体组织Maze，最近有资安业者揭露其成员可能东山再起，以名为Red CryptoApp的勒索软体骇客组织重新出发，再度危害企业。

 

此外，在前一星期的资安日报中，我们已经报导属于联华神通集团（MiTAC-Synnex Group）的两家上市公司联华实业、联成化科，同时发布资安事件重讯说明发生网路资安事件，而且后续我们还注意到，传出已有骇客组织宣称窃取联成480 GB的资料，不过我们尚未看到该公司有进一步说明。这起事件的影响性可能比群光的事件还大，不过其他国内媒体有报导此事的并不多，大多是将焦点集中在群光。

 

，若是之后顺利发布，SB 2将成为美国第一部监管民营企业开发与部署人工智慧的法案，成为与欧盟AI法案相当的立法。

还有2则值得警惕的攻击态势，是关于骇客正锁定资安管理不善的国防产业，以及锁定网路边际装置来入侵。

●韩国国防承包商传出遭北韩骇客组织攻击，导致相关机密资料被窃取，韩国警方提出警告，并指出多个北韩骇客组织利用了这些公司资安管理不善的情况进行渗透。
●Google Cloud发布M-Trends报告，除了谈及过去一年攻击者如何利用AiTM入侵多重验证保护措施，网路钓鱼技术在现代化安全控管机制下的演变，并指出中国骇客逐渐以缺乏EDR系统防护的网路边际装置与平台为目标。

至于其他最新恶意活动的揭露，本星期的焦点还包括：安卓金融木马SoumniBot、恶意软体SSLoad、窃资软体RedLine等，以及骇客组织BlackTech利用新的后门程式Deuterbear的揭露。

在资安事件方面，本星期发生多种类型攻击事件，涵盖零时差漏洞攻击、软体供应链攻击、关键CI攻击与资料外泄。这4则新闻如下：
●年初Ivanti零时差漏洞有新的受害组织，资安研究机构MITRE近日公布他们用于研究、开发、原型设计的协作网路环境NERVE遭入侵。
●防毒软体eScan的更新机制竟成派送恶意程式GuptiMiner帮凶，研究人员指出是北韩骇客Kimsuky发动的软体供应链攻击，透过复杂的中间人攻击手法，针对大型企业网路环境来部署后门程式。
●美国德州小镇2起供水系统遭攻击的事件，导致供水系统出现溢流现象，已手动控制因应，研判俄罗斯骇客组织Sandworm（APT44）所为。
●长荣航空在25日夜间发布资安事件，说明察觉不明人士取得旅客帐号资料并透过恶意IP位址登入网站，发现300多名旅客资料被存取。此外，先前其次，推动IoT开放标准协定FDO的FIDO联盟，近日在台举办FDO WorkShop活动，该单位认证计划主管透露，首批通过FDO标准认证的名单将于近1到2月内公布，有4家厂商进度最快，台湾工业电脑厂东擎科技也包括在内。

 

 

无密码身分识别持续受重视，FDO认证产品今年出炉