【资安周报】1104~1008，用户身分安全受瞩目，焦点涵盖Passkey无密码登入、金融Fast-ID、强制启用MFA

11月第一周的资安消息中，在防护动向上，以身分安全为主要焦点，有3起消息都与此有关，其焦点涵盖Passkey无密码登入、金融Fast-ID，以及强制启用MFA。

例如：我们最近发布的封面故事，就是关于台湾网路服务业者至少已有3家业者，包括：露天市集、可乐旅游、智冠科技，均在大力宣传「Passkey无密码登入」，或是「FIDO生物识别登入」，这不仅代表开始跟上国际业者脚步，也让用户能有更安全简便的登入方式；关于金融Fast-ID验证转接中心的进度，先前金管会已透露将于明年6月上线，11月初台北金融科技展上更是公布先导机构预计达20家，不只银行、保险、证券期货，也扩及投信投顾与政府机构；Google Cloud宣布明年强制启用MFA的消息中，提到目前仍有3成帐号未启用MFA，打破众人对IT人员早就启用MFA、重视帐号安全的想像，因此引发外界关注。

还有两则新闻突显资安防护上的新技术焦点，我们认为同样值得关注，一是联合学习，一是AI抓漏。前者是在科技防诈的发展中，台湾金融业正聚焦联合学习技术的应用，目前已有3项实证计划都在检验其有效性，并要促进应用落地；后者是涉及LLM模仿人类安全专家找出漏洞的发展，Google的Project Zero团队与DeepMind共同研发的AI抓漏专案Big Sleep，已有首个公开实例出现。

另外值得一提的是，台湾骇客年会企业场在11月登场，副总统萧美琴也到场支持并给予鼓励，不只推动产官学研与社群力量的持续合作，更强调确保供应链的稳定，将能增强外商对台湾的信心。

在威胁态势方面，有一起针对台湾的攻击最值得留意，思科Talos指出今年7月出现针对台湾的脸书企业用户及广告帐号的攻击，其手法是以侵犯版权为由，或假冒企业的法律部门，企图散布窃资软体LummaC2、Rhadamanthys。还有两则骇客攻击活动揭露，都与资安产品被锁定有关。

●台湾企业脸书粉专管理员遭锁定，骇客声称收信人的公司盗用他们的图片及影片，扬言采法律行动，诱骗收信人开启伪冒为PDF的可执行档，以植入窃资软体。
●英国国家网路安全中心（NCSC）揭露有攻击者锁定Sophos XG防火墙设备植入Pygmy Goat的后门程式，资安业者Mandiant分析攻击者与与中国骇客有关。
●有攻击者将旧版的Cortex XDR代理程式部署到企业，资安业者Palo Alto Networks指出这是借由自带驱动程式（BYOVD）手法。
●继上月美国多家电信业者电信业者传出遭中国骇客Salt Typhoon入侵，2家新加坡电信也传出受骇，并且疑为同一骇客所为。

至于资安事件方面，在国内，以生产汽机车闻名的上市公司三阳工业，发布资安重讯说明部份资讯系统遭受骇客网路攻击；国际间，则有2起消息受关注，包括：施耐德电机传出Jira伺服器资料外泄、骇客声称从Nokia合作厂商窃得原始码。

在漏洞消息方面，这一星期有4大漏洞利用状况，其中CyberPanel伺服器管理平台的漏洞最受关注，因为在研究人员揭露相关漏洞资讯后出现攻击行动，这可能突显安全研究人员与供应商之间沟通不良，造成用户需要为此买单的状况。

●CyberPanel上月修补经研究人员通报的安全漏洞，后续发现攻击者锁定并布署勒索软体Psaux，美国CISA将CVE-2024-51567列入已知漏洞利用清单。
●11月Android例行安全更新中，修补已遭利用的安卓框架元件零时差漏洞CVE-2024-43093，以及高通上月修补的零时差漏洞CVE-2024-43047。
●Palo Alto Networks在7月修补Expedition转移工具的漏洞CVE-2024-5910，11月8日该业者接获CISA通知，已有证据显示该漏洞正被积极利用。
●开源Web伺服器Nostromo nhttpd在2019年修补的老旧漏洞CVE-2019-16278，如今仍有攻击者锁定未修补用户发动攻击。

至于其他漏洞修补动向，还可以留意的包括：HPE Aruba Networking的Wi-Fi基地台系统软体、思科的工控无线URWB路由器、以及ABB的智慧建筑能源管理系统的漏洞修补。

 

骇客针对脸书企业帐号的管理员，以及管理广告的用户而来的情况，每隔一两个月就出现相关攻击行动，但最近出现专门锁定台湾用户而来的攻击。

究竟攻击者身分为何？目前仍不得而知，但从骇客使用了中国用语的情况，容易让人联想是来自中国或是华人。

特别的是，他们提及香港、蒙古、澳门的执法单位参与这次行动的情况，并公布成果。

研究人员在调查资安漏洞的过程，很有可能面临系统维护业者、软体开发业者的关切，认为研究人员在从事骇客行为而采取法律行动，对此，近期有国家特别针对研究人员调整相关法律，而引起注目。

德国联邦司法部本周提出新的刑法修正草案，就是针对此事而来，而透过修法保护资安研究人员的做法已有先例，2022年，美国修订《电脑诈欺及滥用法案（CFAA）》，豁免研究人员遭到起诉的风险。