【资安周报】2023年12月04日到12月08日

在这一星期的漏洞消息中，以高通晶片的多个漏洞修补最受注目，该公司在12月4日修补了涉及多款晶片的3个零时差漏洞，都已遭到成功利用，包括CVE-2023-33107、CVE-2023-33106、CVE-2023-33063，在此同时，去年高通修补的CVE-2022-22071，近期也发现遭利用的情况，本期周报尚未提及，我们在此补上。

此外，在上一期的资安周报中，我们曾提到，苹果修补2个零时差漏洞，以及资料分析系统Qlik Sense的漏洞，都出现已遭成功利用的情形，到了这一星期，CISA也将这些漏洞列入KEV清单，再次提醒用户应尽速修补因应。

特别的是，近期我们看到一些新的漏洞研究公布，有3项消息值得资安圈的重视，我们整理如下：
（一）欧洲黑帽大会于12月4日到7日举行，有研究人员揭露一项涉及UEFI开机、韧体图像解析器的LogoFAIL漏洞，当中针对Insyde、AMI、Phoenix等韧体分析，指出开机启动自订商标图案的客制功能出现破口，并找到29种攻击手法。
（二）AI模型资源平台Hugging Face存在API漏洞被揭露，一旦其API验证Token被窃取，将引发企业资料外泄，或是训练资料集被污染变成恶意的AI模型。研究人员警告，只要控制这些程式码储存库，就能发动多种攻击，尤其是供应链攻击。
（三）蓝牙技术底层漏洞CVE-2023-24023、新型态蓝牙攻击手法Bluffs的揭露，该漏洞与Session金钥的解密、交换资料过程有关，将破坏蓝牙连线的保密性，研究人员共公布6种攻击手法。目前Bluetooth SIG已收到通报，并发布缓解措施。

在AI与资安方面的议题，本星期有两大焦点消息，一方面是使用AI工具帮助资安管理，一方面是使用AI工具的安全议题。
●思科在12月6日开始举行亚太区年度用户大会Cisco Live!，并在大会上宣布推出全新AI助手（Cisco AI Assistant），首先公布的应用场景是简化防火墙规则管理，让用户可透过自然语言提问，就能让防火墙的查询、设定等操作都变更容易。
●资安业者Snyk发布2023年度AI程式码安全报告，指出现在已有相当多软体工程师及资安团队使用AI程式码工具，但多数开发人员并未因此在流程中采用更多安全扫描。而且，高达8成开发者为了使用AI工具，而无视公司资安政策。

对于Go开发者而言，有一项需要慎防的威胁要注意。有资安业者警告GitHub上有1.5万个Go程式套件模组，恐存在遭到储存库挟持（Repojacking）攻击的风险。原因在于原专案使用者名称变更，或是GitHub、Bitbucket帐号删除，导致帐号名称因弃用而被释放出，进而让攻击者得以注册这样的帐号并滥用。

还有一些恶意活动的揭露，我们认为可留意下列消息，包括：WordPress网站管理者也要注意，有骇客假借WordPress名义，声称侦测到网站存在漏洞要用户套用修补程式，但其实是引诱用户安装由骇客提供的外挂程式，以在用户网站植入后门程式；僵尸网路P2Pinfect的新一起攻击行动，是锁定采用MIPS架构的物联网装置，利用SSH连线存取目标装置，再透过弱密码尝试入侵。其他还包括后门程式Agent Racoon、窃资软体Lumma，也有最新攻击行动，资安业者目前已揭露这类消息。

 

而在新一波的攻击行动中，骇客则是在网路钓鱼攻击运用了另一种不寻常的手法，他们寄送的邮件会提供吸引使用者容易点选的按钮，却是将他们导引到实际上不存在的URL网址，让收信者点选另一个URL，希望能够借此避开只检查第一次点选网址的资安防护措施。

锁定WordPress网站的攻击行动不时传出，大多是针对外挂程式的漏洞而来，借此入侵网站，并植入恶意程式进行控制，但最近有一起攻击行动相当不同，骇客将计就计，反过来以此引诱管理者上当，他们谎称网站有漏洞，要管理者尽快套用「修补程式」。

值得留意的是，虽然骇客煞有其事地指出网站漏洞CVE编号，但其实是完全不存在的漏洞，对方也未提供进一步的细节，留下破绽；然而若是网站管理者一时不察，还是很有可能落入圈套，被诱骗安装恶意软体。

俄罗斯国家级骇客锁定欧美国家的攻击行动频传，其中一个组织Star Blizzard最近被大国盯上，引发全球关注，因为近期五眼联盟提出警告，并开始采取法律行动，通缉两名该组织的成员。

值得注意的是，五眼联盟握有相关情报，这些骇客听令于俄罗斯军情单位联邦安全局（FSB），且曾经企图干预选举，危害不容小觑。参与调查的