【資安週報】2022年12月26日到12月30日

在12月最後一周的漏洞消息中，主要焦點包括：Linux核心CVE-2022-47939漏洞（CVSS評分10）被揭露，Apache ShardingSphere-Proxy的CVE-2022-45347漏洞修補，Kubernetes政策管理引擎Kyverno的CVE-2022-47633漏洞修補，以及月前Citrix ADC與Gateway漏洞修補後的企業更新狀況。

特別要注意的是，TIBCO Software在2018與2019年針對JasperReports伺服器修補的兩個已知漏洞（CVE-2018-5430與CVE-2018-18809），最近，本周新聞中尚未提到，值得先行留意。

至於威脅趨勢上，有兩起值得留意，首先是美國電信業者Comcast Xfinity用戶帳號遭入侵的事件，駭客疑繞過雙因素驗證挾持帳號；其次是駭客在Google廣告散布竊密軟體是利用masquerAds規避審核。另外，針對WordPress外掛程式的攻擊行動又有新的事件。

還有一些國際資安新聞受到不小的關注，例如：美國參議院通過公務裝置全面禁用抖音的法案，南韓警方揭露當地外交智庫學者有近千人遭網釣攻擊，以及俄羅斯駭客企圖入侵北約國家煉油廠；在國內，金融資安行動方案2.0出爐消息最受注目。

駭客入侵Kubernetes環境的管道，很可能藉由Docker映像檔來傳送惡意程式，但有專門把關這種映像檔的資安系統出現漏洞，一旦駭客加以利用，就能使得相關驗證流程形同虛設。研究人員提出警告，這樣的漏洞有可能會出現其他同類型的資安系統。

又有針對WordPress外掛程式的攻擊行動了！在聖誕節前夕，駭客鎖定讓電商平臺WooCommerce支援禮物卡的外掛程式下手，針對近期被修補的一項漏洞而來，此漏洞在研究人員公布相關細節後就被積極利用，使得資安業者呼籲網站管理者應儘速安裝新版外掛程式。

Linux核心的漏洞也相當值得留意，漏洞懸賞計畫Zero Day Initiative公布他們在7月向Linux基金會通報的漏洞，這些漏洞都與SMB元件ksmbd有關，其中最嚴重者CVSS分數達到了10分。

推特於今年1月修補的漏洞，駭客在尚未修補之前運用的情況恐怕遠超過先前研究人員的發現！近日有人在駭客論壇兜售超過4億筆的推特用戶資料，與先前公布的資料不同之處在於，這次的資料量極為龐大，而且，賣家向推特喊話，要該公司把資料贖回。

美國電信業者Comcast Xfinity的用戶帳號遭竊的情況也相當值得留意，駭客疑似發動帳號填充攻擊，然後使用特製的動態密碼（OTP）繞過工具，而能成功挾持部分用戶的帳號，之後駭客還會對其他雲端服務下手，利用相同的帳密企圖入侵。

我們之前介紹過惡意軟體散布服務Pay-per-install，業者透過惡意軟體下載器PrivateLoader來散布客戶的惡意程式，最近有兩家資安業者發現名為RisePro的竊密軟體就以這種方式發動攻擊，且至少有2千臺電腦受害。

在資安分析技術不斷進步之下，攻擊者也持續找出新的規避偵測的技術，本日有兩起資安人員研究公布亦突顯此一情形，包括新的Shellcode技術與新繞過Windows MoTW的方法。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

南韓警察廳揭露集權鄰國發動大規模網釣與勒索軟體攻擊行動，值得關注，近千位外交專家與數十個購物網站成為鎖定攻擊目標。

在國內，金管會要求臺灣上市櫃大型企業在2022年底需設置資安長，今年已有多家公司陸續任命，如今台積電亦推出副總經理林錦坤擔任，明年底上市櫃第二級公司也要注意，必須設置資安專責主管與人員。

北韓駭客鎖定加密貨幣發動攻擊的情況不時傳出，最近有組織將目標轉向非同質化代幣（NFT）投資者身上。有資安業者在9月初發現大規模釣魚攻擊，這些駭客使用近200個網域來兜售惡意NFT，並在知名市集上架，而使得投資人可能降低警覺而受騙。

手機的揚聲器及動作感知器經過多年的發展，功能日益強大，但這也可能成為攻擊者監聽手機用戶的管道！有5所美國大學的研究人員揭露名為EarSpy的攻擊手法，就是利用動作感知器來收集揚聲器振動的頻率，來得知受害者通訊的對象特徵。

駭客投放Google廣告，以提供知名應用程式的名義來散布惡意軟體，但為何這些惡意廣告能躲過Google的審核機制？有資安業者指出，原因是駭客利用無攻擊特徵的masquerAds網域來上架廣告。

Citrix針對旗下的Citrix ADC與Citrix Gateway，於上個月和本月各修補了1個CVSS風險層級近乎滿分的重大漏洞，但最近有資安業者提出警告，超過7千臺採用這系列產品的系統尚未完全修補，至少存在其中一個漏洞，而有可能成為駭客鎖定的目標。

智慧音箱提供聲控的功能為使用者帶來便利，一旦這類設備出現漏洞，就有可能成為駭客用來監控使用者的管道。有研究人員發現了能挾持Google Home智慧音箱的漏洞，Google認為此項漏洞也可能波及Google Nest與Fitbit等連網裝置，而二度頒發獎勵。

微軟日前針對來自網際網路上的Office檔案，大幅限縮執行VBA巨集的功能，而使得駭客改以濫用Excel範本檔案XLL來發動攻擊，有威脅情報研究團隊揭露其手法的演進，並指出駭客濫用應用程式開發框架來打造這種惡意範本檔案。

https://www.ithome.com.tw/news/154961