【資安日報】4月20日，Oracle發布2023年第2季例行更新，修補433個漏洞

上週二（11日）多家廠商發布4月份例行修補，包含微軟、Adobe、SAP等軟體業者，以及西門子、施耐德電機等OT設備業者。本週Oracle也發布了2023年4月的例行修補，當中總共修補超過400個漏洞，有相當大的比例是在Oracle Communications系列產品線，每6個漏洞就有1個與此有關。

公部門不慎將資料庫公開的情況也相當值得留意，例如，有研究人員發現菲律賓執法單位曝露的資料庫，不僅含有個資，甚至還有組織之間的行政命令。但該資料庫是否真為菲國政府機關所擁有？目前尚無法完全確定，因為研究人員通報了當地十餘個機關後，僅有收到菲律賓國家電腦緊急應變小組（NCERT）回復，表示他們將確認需要負責的單位。

勒索軟體駭客的攻擊也出現了新的手法，像是Trigona發動的攻擊裡，運用一種稱之為CLR Shell的惡意程式先進行探勘、提升權限，使得後續行動更加順利。

【攻擊與威脅】

VPN服務介紹網站vpnMentor揭露一個含有逾120萬筆記錄的資料庫，暴露在網際網路上，而且沒有使用密碼保護，經分析其內容與菲律賓執法單位有關，很有可能是與職員或是申辦業務的民眾個資。

這個在網路裸奔的資料庫裡面，存有護照、出生證明、結婚證明、駕照、成績單、報稅資料等掃描文件，資料量高達817.54 GB。來源包含了菲律賓多個公家單位，像是：國家警察、國家調查局（NBI）、國稅局、特別行動部隊管理局等，外洩資料的內容不只包含個資，還有針對執法人員的內部指令，但該網站的研究人員無法判斷其機密程度。

對此，菲律賓國家電腦緊急應變小組（NCERT）獲報後做出回應，表示他們著手調查需對此起資料曝露事故負責的單位。

資安業者AhnLab發現勒索軟體Trigona近期的攻擊行動，主要鎖定微軟SQL Server而來，駭客先是透過暴力破解或是字典攻擊的方式，存取此種資料庫伺服器，然後部署名為CLR Shell的惡意程式，進而接收攻擊者發出的命令並提升權限，接著投放偽裝成svcservice.exe的惡意軟體，啟動偽裝為svchost.exe的勒索軟體Trigona。

研究人員指出，CLR Shell可用於提升權限、利用漏洞、收集系統資訊及使用者帳號配置，而能讓攻擊者進一步使用較高的權限執行各種惡意行為。

資安業者賽門鐵克揭露勒索軟體Play的新一波攻擊行動，駭客使用.NET開發兩個工具Grixba、磁碟陰影複製（VSS）工具，目的是在攻擊過程能更有效率。

Grixba可用於列出網路環境裡的所有使用者與電腦，並能掃描防毒軟體、EDR系統、備份工具、遠端管理工具，藉此讓攻擊者判斷如何進行後續攻擊。

而前述駭客自製的磁碟陰影複製（VSS）工具，則能於應用程式尚在使用檔案的情況下，從現有的備份資料竊取檔案。研究人員指出，這2個惡意程式都是Costura .NET開發工具編譯而成，而且只需單一執行檔就能運作
無需在受害電腦部署相依的DLL元件，就能正常執行。

根據新聞網站The Register的報導，研究人員Brett Callow發現勒索軟體駭客Medusa聲稱竊得大量微軟的內部資料，當中包含了搜尋引擎Bing及旗下產品，如Bing Maps與Cortana的原始碼。

研究人員看到12 GB資料，分析後研判內容可能是去年Lapsus$偷到37 GB的一部分。駭客聲稱竊得的檔案裡，有很多微軟的數位簽章。研究人員表示，從犯案的手法來看，Medusa與Lapsus$有些相似，但不確定兩個組織是否有關。微軟目前尚未對此回應。

資安業者Sophos揭露利用名為AuKill的惡意程式攻擊行動，駭客將其用於在受害電腦上停用EDR用戶端程式，其手法是濫用微軟Sysinternals工具包裡、特定版本的Process Explorer元件procexp.sys，進而發動自帶驅動程式攻擊（BYOVD）。

研究人員指出，從今年初，他們至少看到3起利用AuKill的攻擊行動，1月、2月皆有駭客用來部署勒索軟體Medusa Locker的情況，另一起則是散布勒索軟體LockBit的事故，發生於2月。研究人員進一步調查，總共找到6個版本的AuKill，第1個版本在去年11月出現，最新版本則是在今年2月被用於勒索軟體Medusa Locker攻擊行動。

感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑？ 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的

2月2日，資安新聞記者Brian Krebs針對MFT檔案傳輸管理系統GoAnywhere的用戶提出警告，指出該系統存在零時差漏洞CVE-2023-0669，可被用於RCE注入攻擊。開發商Fortra於3日證實確有此事，之後相關漏洞攻擊事故頻傳，事隔2個多月，該公司終於公布調查結果。

Fortra起初於1月30日，在部分雲端代管的GoAnywhere系統發現有異，著手調查得知駭客利用了未知漏洞建立使用者帳號，並下載檔案，且於受害系統部署了Netcat和Errors.jsp，疑似用來建立後門、掃描連結埠、傳輸檔案。

這起攻擊行動最早可追溯到1月18日，換言之，待Fortra察覺有異之前，駭客已進行約2個星期的攻擊行動。

【漏洞與修補】

4月18日Oracle發布本季例行更新，，其中超過70個是重大等級。值得留意的是，上述漏洞當中有多達250個，若攻擊者要遠端利用，無需通過身分驗證就能執行。

其中出現最多漏洞的產品線是Oracle Communications系列，總共有77個（27個被評為重大等級），其次則是Financial Services Application、Fusion Middleware，分別有76個、49個。（補充說明：Oracle一年發布4次例行更新，分別在於1月、4月、7月、10月發布。）

4月19日列印管理軟體業者PaperCut提出警告，表示3月修補的部分漏洞傳出已被用於攻擊行動的狀況，呼籲IT人員應儘速升級PaperCut伺服器軟體程式。

這個被利用的重大漏洞為CVE-2023–27350，可讓攻擊者在沒有通過身分驗證的情況下，於PaperCut應用程式伺服器遠端執行任意程式碼（RCE），CVSS風險評分為9.8。

Google於4月14日修補今年Chrome第1個零時差漏洞CVE-2023-2033，但事隔不到一個星期，該公司再度發布新版程式，修補第2個被用於攻擊行動的漏洞。Google於18日發布Windows及macOS版112.0.5615.137、112.0.5615.138，以及Linux版112.0.5615.165，當中一共修補了8項漏洞（其中5個有CVE編號），最值得留意的部分，是被用於攻擊行動的高風險漏洞CVE-2023-2136，存在於名為Skia的2D圖形程式庫元件，屬於整數溢位類型的漏洞。

【其他新聞】

近期資安日報

https://www.ithome.com.tw/news/156490