台灣電腦網路危機處理暨協調中心-TWCERT/CC

資安廠商 Recorded Future 近日發表統計報告指出，由多個駭侵團體所發動的加密貨幣相關攻擊，自 2017 年以來已經累積竊得超過 30 億美元的不法資金。
包括 Lazarus、Kimsuki、Andariel 等多個駭侵團體，近年來將其攻擊目標集中在加密貨幣相關產業與個人，利用多種方式竊取加密貨幣資金；光在去年一年之間犯下的加密貨幣相關竊案，竊得金額就高達 2022 年全年加密貨幣所有竊案損失金額的 44%。
Recorded Future 在報告中指出，駭侵組織原先以攻擊國際銀行轉帳匯款系統 SWIFT 為主，在 2017 年第一次加密貨幣泡沫發展時，開始轉向進行加密貨幣攻擊。一開始先以南韓的加密貨幣交易所為攻擊對象，之後轉而攻擊全球各地的加密貨幣交易所與個人。
駭侵團體在 2017 年犯下 BitThumb、Youbit、Yapizon 等多家南韓交易所攻擊事件，當時竊得的加密資金約為 8270 萬美元；而在今年犯下的 Atomic Wallet 與 AlphaPo、CoinsPaid 攻擊，合計便已竊得 2 億美元。
Recorded Future 也指出，在 2022 年一年之間，各駭侵團體竊得的加密貨幣總額高達 17 億美元，相當於其全國經濟總額的 5%，更是其國防軍事預算的 45%。聯合國一份機密報告也指出，2022 年駭侵者竊取的加密貨幣資金，約在 6.3 億美元到 10 億美元之間。
建議加密貨幣機構、交易所與投資人應提高資安防護能力，慎防駭侵者以漏洞、釣魚攻擊等手法竊取加密資金，造成鉅額財損。

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前發布資安指引，要求各科技製造廠停止在各種裝置與軟體系統中提供預設密碼，以提升資安保護層級。
資安專家指出，為了簡化生產與大量軟硬體裝置的管理與操作流程，很多製造廠商經常在其企業或生產環境中使用各種裝置或軟體系統的預設密碼；這種做法雖然能夠大幅降低操作的複雜性，但卻會造成極大的資安風險。
一旦駭侵者利用往往廣為人知的預設密碼發動攻擊，除了採用預設密碼的設備或軟體本身可能遭到駭侵之外，駭侵者也可藉以發動進一步的攻擊，最後導致企業或單位的內部網路上其他設備與系統遭到攻擊得逞。
CISA 在其資安警訊中提出兩點要求，要求廠商必須對客戶可能發生的資安後果負起責任，同時必須在組織架構與領導兩方面來達成這個目標。
CISA 進一步指出，軟體開發廠商必須在設計、開發與出貨等階段嚴格落實上述要求，不提供產品的預設密碼，才能預防顧客因預設密碼而可能蒙受的攻擊損失。
CISA 說，多年以來的經驗證明，期待顧客在產品購入後變更預設密碼是不切實際的，因為顧客通常不會主動更改密碼；唯有在產品設計製造階段就消除預設密碼的存在，才能減少現今因未能更改預設密碼而導致的大量攻擊損失。
CISA 要求製造商須提供不重複的設定階段密碼，避免提供相同的預設密碼給顧客；製造商亦應提供單次有效密碼供顧客進行產品初次設定；一旦設定完成後，該密碼即行失效，無法再次用於登入。
CISA 也敦促各廠商應在流程上導引顧客使用多重登入驗證，以進一步保護軟體或裝置的登入安全。
各硬體設備或軟體系統廠商，建議可以參考 CISA 此次發布之資安指引，避免提供預設密碼，以強化使用者的資安防護能力。

一個名為 Nex Team 的資安專家團隊，近日發現一個存於 WordPress 備份用外掛程式 Backup Migration 中的嚴重漏洞，駭侵者可藉以遠端執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2023-6553，其危險程度評分高達 9.8 分（滿分為 10 分）；危險程度評級亦達最嚴重的「嚴重」（Critical）等級。該漏洞可讓駭侵者以相對簡易且無需通過身分認證的方式，即可利用特製的連線要求，在 /includes/backup-heart.php 檔案中注入 PHP 程式碼，進而遠端執行任意程式碼，並取得遭駭 WordPress 網站的控制權。
該漏洞影響 Backup Migration 外掛程式的所有版本，包括 Backup Migration 1.3.7 在內。據 WordPress 外掛程式目錄頁面上的統計指出，該外掛程式的下載安裝次數已超過 9 萬次。
Nex Team 是在由 WordPress 資安廠商 Wordfence 舉辦的漏洞懸賞大賽中提報本漏洞的，而 Wordfence 在接獲漏洞通報後，已於第一時間（12 月 6 日）立即通報給該外掛程式的開發單位 BackupBliss，且開發者也在數小時後緊急推出更新版本 Bakcup Migrarion 1.3.8，更新速度十分快速。
但另一方面，根據 WordPress.org 上 Backup Migration 外掛程式下載頁面上的資訊，在 Backup Migration 推出新版後，仍有近 5 萬個採用該外掛的 WordPress 網站，尚未更新到已修復該漏洞的新版本，因此這些 WordPress 網站仍曝露在極高的駭侵風險之下。

Microsoft 日前推出 2023 年 12 月例行資安更新修補包「Patch Tuesday」，共修復 34 個資安漏洞；其中含有 1 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量僅有 34 個，較上個月（2023 年 11 月）的 58 個資安漏洞大為減少；而在這 34 個漏洞中，僅有 4 個屬於「嚴重」等級，另有 1 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 8 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分，這次修復的資安漏洞與分類如下：

Apple 日前緊急針對兩個新發現的 0-day 漏洞 CVE-2023-42916 和 CVE-2023-42917 發布較舊產品適用的更新版本作業系統，受影響裝置的使用者應立即套用更新。可能已有駭侵者利用這兩個 0-day 漏洞發動攻擊。
這兩個 0-day 漏洞都存於 Apple 各項作業系統內建瀏覽器的 WebKit 瀏覽器引擎中，屬於越界讀取漏洞；駭侵者可利用特製的網頁來誘發記憶體崩潰，藉以竊取使用者的機敏資訊，甚至執行任意程式碼。
Apple 日前已針對執行新版作業系統 iOS 17、iPadOS 17、macOS Sonoma 推出這兩個 0-day 漏洞的緊急修補更新；這次推出的是 iOS 16.7.3、iPadOS 16.7.3、tvOS 17.2、watchOS 10.2，針對上次未能修復的舊版作業系統與 Apple TV、Apple Watch 提供資安更新。
受此漏洞影響的 Apple 產品如下：

資安廠商 Veracode 近日發表統計報告發現，在 Log4J 嚴重資安漏洞 CVE-2021-44228 公開後近 2 年，仍有近 38% 使用 Log4J 的應用程式，仍在使用含有漏洞的舊版程式庫。
Log4J 是由 Apache 基金會推出的開源程式庫，廣泛運用於大量網路相關應用程式中；在 2021 年 12 月時發現內含一個嚴重的免驗證遠端執行任意程式碼漏洞 Log4Shell，其 CVE 編號為 CVE-2021-44228，其漏洞危險程度評分高達滿分的 10 分。由於其使用的便利性，加上廣泛用於大量應用程式中，幾可稱為近年來最嚴重的資安漏洞，造成極大的危機。
而在 Log4J 漏洞公開並發布修補版本的兩年後，Veracode 以 90 天的時間，自 2023 年 8 月中到 11 月中，針對 3,866 個公私單位所使用的 38,278 個使用 Log4J 程式庫版本 1.1 到 3.0.0-alpha1 的應用程式進行普查，發現下列問題：

印度海德拉巴國際資訊科技研究所（International Institute of Information Technology, IIIT ）的資安研究人員，近日發現一種新式攻擊方式，命名為 AutoSpill；駭侵者可以透過這種方式，在 Android 手機密碼管理員自動填寫密碼時進行竊取。
研究人員指出，許多 Android 平台上的 app，經常使用 WebView 控制項來顯示網頁內容，例如 app 的登入頁面，而非將用戶導向到系統瀏覽器；這樣雖然可以提高使用者體驗的順暢度，讓使用者不必頻繁切換前景應用程式，但這也給 AutoSpill 帶來可趁之機。
研究人員說，Android 平台上的各種密碼管理工具，在各個 App 出現登入畫面時，也多會使用 WebView 架構來自動輸入使用者儲存下來的帳號與密碼；由於 Android 平台本身對於自動輸入的資料，在架構上就缺少明確的責任歸屬定義，因此這些資料可能被 host 應用程式所攔截。
IIIT 的研究人員指出，據該單位的測試，多數 Android 平台上的密碼管理工具，都無法避免遭到 AutoSpill 竊取密碼；即使沒有任何 JavaScript 指令注入，也無法倖免。包括多種極受歡迎的密碼管理工具如 LastPass 5.11.0.9519、1Password 7.9.4、Enpass 6.8.2.666、Keeper 16.4.3.1048、Keypass2Android 1.90c-r0 都在各種測試中遭到 AutiSpill 成功取得自動填寫的使用者名稱或密碼。
相對的，研究人員也指出，Google Smart Lock 13.30.8.26 和 DashLane 6.2221.3 由於採用了不同方式來自動填寫登入資訊，因此在未有 JavaScript 注入的情形下，不會洩露自動填寫的帳號與密碼。
在各密碼管理工具推出修復 AutoSpill 攻擊的新版本前，Android 使用者應提高警覺，避免自非正常管理下載安裝任何軟體或 APK 檔案，以免登入資訊遭竊。

荷蘭 Vrije Universiteit Amsterdam 的系統與網路安全研究小組（System and Network Security Group, VUSec Group）人員，日前發表一種全新的 CPU 攻擊方法，稱為 SLAM， 可透過旁路攻擊，自 AMD、Intel 與 ARM CPU 來竊取核心記憶體中的根密碼雜湊值。
報告指出，SLAM 是一種短暫執行攻擊方式，利用一種可以讓軟體使用位於 64 位元 metadate 儲存線性位址中的未轉譯位址位元（LAM）來進行攻擊。研究人員在一台執行舊版 Ubuntu 作業系統的 Intel 處理器電腦，利用模擬 LAM 功能的方式成功示範了 SLAM 攻擊。
研究人員指出，這種攻擊方式是針對軟體程式碼中可用以攻擊的無遮罩「gadgets」來著手；所謂「gadgets」是指駭侵者可在軟體程式碼中操弄以誘發預測執行的指令。攻擊者可透過觀察快取狀態的變更，取得其他程式甚至作業系統相關的機敏資料。
研究人員編寫了一個掃瞄工具，在 Linux 核心中發現了數百個可藉以發動攻擊的 gadgets，並在一段影片中示範如何透過 SLAM 攻擊 gadgets 來取得系統核心的根密碼雜湊值。
VUsec 指出，下列類型的各廠牌 CPU 都可能遭到 SLAM 攻擊：

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前發布資安警訊，指出有駭侵者積極利用 Adobe ColdFusion 中的一個嚴重漏洞 CVE-2023-26360，針對多個美國政府包商發動攻擊。
CISA 在通報中指出，攻擊者可透過該漏洞，攻擊執行 Adobe ColdFusion 2018 Update 15 與先前版本，以及 2021 Update 5 與先前版本的伺服器，進而執行任意程式碼。Adobe 在 2023 年 3 月中推出 ColdFusion 2018 Update 16 與 2021 Update 6，解決了這個漏洞，不過駭侵者已先一步透過該 0-day 漏洞發動攻擊。
當時 CISA 已針對該漏洞發表資安通告，要求各單位立即套用更新，以解決該漏洞；但近期 CISA 再次發出通告，指出六月時仍有攻擊者利用該漏洞攻擊 2 個聯邦政府單位包商的系統。
CISA 指出，在這兩起攻擊事件中，Microsoft Defender for Endpoint 都發出了警訊，指出在包商的測試環境中，發現可能有駭侵者攻擊其公開在外網上的 Adobe ColdFusion 伺服器，並且利用 HTTP POST 指令在 ColdFusion 相關目錄中植入惡意程式碼。
CISA 表示，雖然在兩起攻擊事件中，駭侵者在試圖竊取資料前就被發現，且在攻擊發生後 24 小時，受影響的裝置就從關鍵內網中移除，但兩起事件的受攻擊伺服器，都尚未套用更新，仍在執行舊版 Adobe CodeFusion v2016.0.0.3 和 v2021.0.0.2。
各個使用 Adobe CodeFusion 的公私單位，應立即更新至最新版本，並且將關鍵主機網段與公眾網路隔開，並設置防火牆、設定更嚴格的執行權限要求等。

Web3 開發平台 ThirdWeb 旗下的開發人員，近日發現一個廣泛用於多個 Web3 服務的開源程式庫，含有一個漏洞，可能影響到多個 NFT 平台、智慧合約與收藏集的安全性。
ThirdWeb 指出，該公司在 2023 年 11 月 20 日時發現了該漏洞，並在 2 天後推送修正版本；但該公司並未對外公開是哪個開源程式庫內存有漏洞，也沒有透露該漏洞的嚴重性。在通報中僅揭露極少量的訊息，以免有駭侵者利用通報資訊來發動攻擊。
ThirdWeb 表示，該公司除了與含有此漏洞的開源程式庫維護人員聯絡外，也與可能受此漏洞影響的平台或服務業者分享所發現的漏洞。
受到該漏洞影響的智慧合約如下：