【资安周报】2024年8月19日到8月23日

这一星期的资安威胁态势，有多起新闻是聚焦在伪冒、配置错误这两大议题，成为不可忽视的风险热点，突显企业、个人在网路安全上的潜在薄弱环节。

以伪冒事件而言，有3则消息，其中一起伪冒情境相当独特，是让用户误以为电脑更新进行中，但实际是利用远端存取窃取资料。

●骇客伪造WinRAR网站，建立与正牌官网（win-rar.com）一字之差的伪冒网站（win-rar.co），虽然此做法并不新奇，但涉及热门软体而受关注。
●恶意广告运用动态关键字插入技术，锁定特定公司或产品线并假冒其名义，例如假冒Google的行动中，还会利用Google Looker Studio制作图片来假冒搜寻页面，并透过图片内嵌恶意连结引导至假冒的技术支援页面。
●骇客组织先利用社交工程手法，并透过远端连线请求传送假的Windows Update的执行档，特别的是，该程式的作用仅是伪冒出Windows更新的画面，背后则是利用远端存取窃取受害者的网路共享资料夹，再留下勒索讯息。

以配置错误而言，本星期有3则新闻值得关注，下列第一则已有攻击行动需特别注意，研究人员指出，有11万个网域成为攻击者可锁定的对象，第二则有数千个公开的SuiteCommerce受影响，并且研究人员已经揭露这样的问题，用户需在攻击者关注此攻击面下，尽速对相关组态进行检查。

●近出现一波向企业勒索的攻击行动，是攻击者锁定在AWS公开曝险的bucket，并利用企业的云端应用环境设定不当，进而得以窃取包含像是验证凭证的环境变项档（.env）档窃取重要资料，并向受害组织勒索。
●针对Oracle旗下的云端ERP平台NetSuite，研究人员指出存在用户配置错误情况相当广泛，原因在于名为SuiteCommerce电商网站元件中一项CRT的存取控制错误组态造成，提醒相关用户应加强这方面的管理，以避免资料外泄。
●航班追踪平台FlightAware发布资安事件公告，指出在7月底发现因配置错误问题，发生外泄该平台用户个资的事故。

在资安事件方面，有5则重要新闻，当中以台湾大学院校遭遇后门程式Msupedge攻击的揭露最受关注，而且，值得警惕的是，入侵原因是未修补今年6月PHP程式语言修补重大漏洞；台湾最大台湾电子布告栏（BBS）PTT传出资料外泄的消息也引发关注，对此消息，

过往我们探讨手机软体供应链安全的事故，主要是出现在中国品牌的手机上，有人在制造过程中埋入恶意程式，导致用户受害。但如今，类似的问题竟然出现在Google的「亲儿子」Pixel系列手机。

有资安业者透过EDR系统在客户列管的手机当中，发现不寻常的弱点，经过调查，这些手机都被预载不安全的应用程式Showcase，攻击者有机会借此取得高权限，从而远端执行程式码、安装恶意程式。

两个月前台湾资安业者戴夫寇尔揭露的PHP漏洞CVE-2024-4577，当时提到使用正体中文、简体中文、日文语系的视窗作业系统用户会受到影响，如今传出实际资安事故，本周有资安公司指出台湾有大学因为这个漏洞未修补而遭到攻击，被骇客植入后门程式。

值得注意的是，他们发现有多组人马尝试找寻下手目标的情况，这代表相关攻击行动将会接连出现。

与人工智慧互动、协作已是许多民众日常不可或缺的部分，许多企业的应用系统也开始纳入相关功能，然而一旦这类机制若是存在弱点，同样可能成为骇客大肆利用的对象。

最近研究人员公布协作平台Slack的AI机器人漏洞，就是这样的例子，攻击者可在无须取得相关权限的情况下，得到私人频道的内容，从而达到窃取机密的目的。

 

本星期漏洞利用状况一览表

零时差漏洞利用：1个

CVE-2024-39717 ／ Versa Director漏洞

本星期已知漏洞遭利用：5个

CVE-2024-23897 ／ Jenkins CLI漏洞（1月24日公开，8月20日警告已遭利用）
CVE-2021-31196 ／ 微软Exchange Server漏洞（2021年7月14日公开，2024年8月22日警告已遭利用）
CVE-2022-0185 ／ Linux Kernel漏洞（2022年2月11日公开，2024年8月23日警告已遭利用）
CVE-2021-33045 ／ Dahua IP Cameral漏洞（2021年9月15日公开，2024年8月21日警告已遭利用）
CVE-2022-33044 ／ Dahua IP Camera漏洞（2021年9月15日公开，2024年8月21日警告已遭利用）