不要错过

資安公司Halcyon近日追蹤到一種名為Qilin.B的進階勒索軟體版本，該版本是自2022年7月首次出現的Qilin（又名Agenda）勒索軟體的最新變種。Qilin.B專門針對Windows和Linux系統進行攻擊，並透過竊取資料實施雙重勒索。 根據Halcyon的報告，Qilin.B在加密複雜性和規避技術上有顯著提升。此版本的勒索軟體使用AES-256-CTR加密算法，適用於支持AESNI的系統，同時對於不支持AESNI的系統則採用Chacha20加密。此外，為了保護加密密鑰，Qilin.B還使用了RSA-4096與OAEP填充技術，使得在沒有攻擊者私鑰或捕獲的種子值(Seed)的情況下，幾乎無法解密文件。 以下是Qilin.B的特點： Qilin.B結合AES-256-CTR加密技術，支持AESNI系統，同時對其他系統保留Chacha20，並使用RSA-4096和OAEP保護加密密鑰，使得沒有私鑰的情況下無法解密文件。 Qilin.B使用Rust編譯，能終止或停用安全工具、備份和虛擬化相關的服務，如Veeam、VSS、SQL、Sophos、Acronisagent和SAP。 持續清除Windows事件日誌以阻礙取證分析，導致檢測和逆向工程分析變得更加困難。 Qilin.B根據系統支援不同的加密技術，如AES-256-CTR或Chacha20，將一個可配置字串附加到加密檔案中，該字串同時作為識別和追蹤的company_id。當受害者遭受攻擊時，Qilin.B會生成名為「README-RECOVER-[company_id].txt」的勒索文件，裡面包含付款詳情和解密指示。 Qilin最初是以Golang編寫，但後來轉向以抵禦逆向工程能力而聞名的Rust編程語言。這一轉變使得Qilin.B在檢測和分析上變得更加困難。該勒索軟體還具備追蹤和識別特定目標的能力，並且能夠有效地終止安全工具相關服務、清除Windows事件日誌，甚至在完成任務後自我刪除，以減少取證痕跡。 Halcyon強調，Qilin.B的出現標誌著勒索軟體家族的進一步演化，其增強的加密機制和有效的防禦規避策略使其成為一個特別危險的威脅。隨著這類攻擊手法的不斷進化，各行各業需要提高警惕，加強資安防護措施，以防止成為下一個受害者。 由本文的案例可知，勒索軟體組織不斷演變策略，攻擊手法也日益複雜，我們需要保持警惕、密切觀察趨勢和攻擊手法，以有效應對和防範勒索軟體的威脅。

思科Talos的研究人員近日發現，未知的威脅者正在利用Gophish框架發起網路釣魚攻擊，並散播兩種惡意軟體：DarkCrystal RAT（簡稱DCRat）以及一種尚未記錄的遠端存取木馬PowerRAT。 Gophish是一個開源的釣魚攻擊框架，旨在幫助組織測試其防禦釣魚攻擊的能力，該工具提供簡便的電子郵件模板，使用者可以輕鬆發送和追蹤電子郵件活動。 根據研究，此一攻擊活動主要透過兩種媒介展開：一是基於惡意的Word文檔，另一則是包含惡意JavaScript的HTML文件。受害者在攻擊過程中需要主動介入，以便在其設備上下載並啟用PowerRAT或DCRat，從而進一步威脅其資訊安全。 此次攻擊活動的主要特徵包括： 攻擊者可存取受害者的遠端控制，執行任意命令、管理文件和監視使用者行為。 攻擊者可以在受害者的設備上，下載並執行其他檔案。 透過竊取插件模組，RAT可以從受害者電腦中竊取憑證、文件及財務資訊，並截取螢幕截圖與記錄鍵盤操作。 RAT會在ProgramData、Pictures、Saved Games 和Windows 開始功能表等資料夾中建立多個偽裝為合法Windows執行檔案的二進位檔案，如csrss.exe、dllhost.exe、taskhostw.exe 和winlogon.exe。也會使用隨機檔案名稱和”.log” 副檔名來隱藏自己的存在。 圖1. 釣魚攻擊總覽，圖片來源於Cisco Talos研究報告 PowerRAT的攻擊手法流程如圖2所示，當受害者開啟惡意檔案並啟用巨集時，惡意巨集會擷取HTML應用程式檔案和PowerShell載入程式，HTML應用程式隨後刪除負責執行PowerShell載入程式的 JavaScript 檔案，並利用合法Windows二進位檔案執行。該惡意檔案可以進行系統偵查、收集驅動器序列號，並連接至位於俄羅斯的遠端伺服器以接收進一步指令。 圖2. 基於Maldoc感染產生的PowerRAT，圖片來源於Cisco Talos研究報告 此外，攻擊者在此次活動還包含DCRAT的攻擊手法流程如圖3所示，使用嵌入惡意JavaScript的HTML文件，透過釣魚郵件發送給受害者，當受害者點擊釣魚郵件中的鏈接時，包含惡意JavaScript的遠端HTML文件，會在受害者的電腦瀏覽器打開，並執行多步驟的過程，最終下載並執行DCRAT，其中JavaScript中包含惡意SFX RAR可執行的7-Zip壓縮檔。 圖3. 基於HTML感染產生的DCRAT，圖片來源於Cisco Talos研究報告 使用者在處理不明來源的電子郵件時，應保持高度警惕，切勿隨意點擊來路不明的連結或是附件，防止成為這些複雜攻擊的受害者，企業和個人也應加強對釣魚攻擊的防範措施，並保持對新興威脅的關注。

HP Wolf Security 的資安研究人員在今年6月的事件調查中，揭露了一項新興的攻擊手法。調查顯示，駭客運用人工智慧聊天機器人生成 VBScript 和 JavaScript 的惡意腳本，並通過這些腳本成功傳播名為 AsyncRAT 的惡意程式。此次調查的起始點是一封來自法國的可疑電子郵件，該郵件引起了資安人員的高度關注。 AsyncRAT 是一種開源的遠端存取工具，可透過安全加密連線遠端監視，並控制他人的電腦，由於擁有鍵盤紀錄器、遠端桌面控制等多種對受害者電腦造成損害的功能，因此經常被利用做為攻擊鏈的最後環節。該工具可以透過各種方式傳播，例如魚叉式網路釣魚、惡意廣告、漏洞利用工具包等。 圖 1 為此次事件的攻擊鏈，首先，駭客透過釣魚信件夾帶一個HTML檔案，當受害者開啟HTML檔案時，即觸發由VBScript寫的惡意腳本，該腳本將惡意程式相關的資料寫入註冊表，並在受駭者的資料夾中創建一個JavaScript腳本。接者，透過工作排程實現持久化並執行JavaScript惡意腳本。JavaScript 腳本會讀取先前寫入註冊表的資料，以執行Powershell腳本內容，最後，Powershell腳本會解碼在註冊表中的資料，獲取最終駭客想要執行的惡意程式AsyncRAT。 圖1: GenAI 產生惡意程式散播 AsyncRAT，圖片取自HP Wolf Security研究報告 資安研究人員認為此次事件中，圖1的VBScript和JavaScript惡意腳本可能是透過AI生成。一般來說，惡意程式會儘可能混淆使分析更加困難，但是，這次事件中的VBScript和JavaScript惡意腳本，不僅沒有進行混淆，還包含大量的註解。圖2為此次事件的VBScript惡意腳本內容，大量的註解似乎是為了要讓AI 聊天機器人能夠理解其需求。 圖2: VBScript 惡意腳本內容，圖片取自HP Wolf Security研究報告 隨著人工智慧的發展，人們普遍認為駭客可以利用AI撰寫惡意程式，但目前幾乎沒有實質證據顯示由AI生成的惡意程式在實際環境中散播。然而，這次的駭客攻擊提供充分的證據，展示人工智慧如何加速駭客進行惡意攻擊，降低駭客感染電腦需要的技術門檻。 從防禦的角度而言，攻擊者開始使用AI開發惡意程式，企業應該將AI整合至防禦體系，以識別由AI生成的威脅，同時簡化防禦人員的工作負擔，這樣不僅可以提升企業的整體安全性，還能更有效應對不斷演變的攻擊手法。

TIDRONE是趨勢科技於2024年發現並命名的APT組織，該組織針對台灣的軍事和衛星產業發動精密的網絡攻擊，特別集中於無人機製造商。趨勢科技目前推測，此APT組織可能與中國有關，並擁有兩個專屬惡意程式，CXCLNT主要用於竊取受害者的電腦資訊，而CLNTEND則是一種遠端存取木馬，支援五種協定以與惡意中繼站進行溝通，協定分別為TCP、HTTP、HTTPS、TLS和SMB。 TIDRONE主要的入侵方式為以下兩種： 利用UltraVNC遠端桌面存取軟體下載惡意程式。 滲透ERP系統進行攻擊。(趨勢科技的分析報告指出，受害者均使用相同的 ERP 系統) 程式執行的流程與以往的中國APT組織相似，均透過執行器(Launcher)進行DDL側載(Dll-SideLoading)的方式，載入惡意載入器(Loader)。接著，解密已加密的惡意負載(payload)，獲取最終的惡意程式。 趨勢科技透過VirusTotal分析上傳的惡意程式，發現受害地區遍及韓國、加拿大及台灣，如圖 1 所示。這顯示攻擊者針對的目標地區各不相同，因此各國應對此威脅保持警惕。 圖1：圖為 2024 年從 VT 獲取的受害者來源整理，取自趨勢科技文章   趨勢科技表示，針對攻擊者使用的惡意中繼站名稱，觀察到該組織傾向於利用正規公司的名稱來誤導使用者點擊，例如此次攻擊使用的惡意中繼站包括symantecsecuritycloud[.]com、microsoftsvc[.]com 和 windowswns[.]com，這三個名稱均仿照常見的公司名 Symantec, microsoft, windows。   建議企業和使用者採取以下的措施進行防護： 從可信賴的來源端下載軟體。 對社交工程保持高度警惕。 安裝防毒軟體並保持系統更新至最新版。

亞太區電腦事件協調組織(APCERT)將於2024年11月5日至7日在台北萬豪酒店舉辦年度重要活動——「APCERT 2024會員年會暨國際資安研討會」。此次年會由台灣電腦網路危機處理暨協調中心(TWCERT/CC)主辦，主題為「Power of Together: More Than the Sum of AP CERTs/CSIRTs」。 本屆年會將分為兩部分：11月5日至6日為APCERT會員年會及閉門會議，11月7日則與全球最大的資安應變與安全組織Forum for Incident Response and Security Teams共同舉辦公開研討會。該公開研討會將針對多個資安主題進行深入探討，包括資安威脅趨勢、威脅情報與分析、新興技術、治理與管理，以及協作模式等。 此次活動旨在促進亞太地區資安專家的交流，並增強各成員間的合作能力，以更有效地應對日益嚴峻的網路安全威脅。APCERT自2003年成立以來，一直致力於建立亞太地區資安專家互信社群，並在面對重大資安事件時提供跨國協作應變的支持。 歡迎各界專業人士參加，共同分享最新的資安洞見與技術經驗，攜手提升整體的資安防護能力。 APCERT 2024會議及報名資訊請見：https://www.apcert2024con.org.tw

近期Palo Alto Networks Unit 42資安研究員Yaron Avital在 GitHub Actions artifacts 發現的一種名為「ArtiPACKED」的攻擊手法 ，此攻擊可能由於Github Actions 使用不安全的設定、錯誤的設定，而導致第三方雲端服務與Github Token外洩，使攻擊者可以利用這些資訊接管整個儲存庫，甚至取得組織的雲端環境存取權限。 Github Action是Github提供的一項CI/CD服務，透過自動化的流程不僅降低錯誤率和提升維護品質，還可以同時縮短開發時間並提高效率。CI(持續整合，Continuous Integration)是指開發的程式碼送出後，會經過自動化的測試及驗證，以確保程式在正式環境上可以正常運作；CD(持續部署，Continuous Deployment)則是程式通過測試後，自動將其部署到正式環境中。以上的服務，不僅使應用程式快速更新且頻繁地發布，還能減少了手動部署過程中的錯誤。 Yaron Avital發現在Github Action的過程中，測試或執行檔案所產生Artifacts檔案，可用於在同一個工作流程中與其它的工作項目共享日誌記錄、測試結果或二進位檔案等資料。由於這些資料是公開的，並且會保留90天，這意味者攻擊者可能藉此讀取這些檔案，取得敏感資訊，其中包括 GITHUB_TOKEN及ACTIONS_RUNTIME_TOKEN，攻擊者即可進一步利用前述的Token進行攻擊活動。 在GitHub 中，經常出現兩種類型的 Token： GITHUB_TOKEN：是一個自動產生的憑證，用於在 GitHub Actions 工作流程中，執行針對儲存庫的認證操作。每次執行 GitHub Actions 工作流程時，GitHub 會自動產生一個 GITHUB_TOKEN，並將其設置為工作流程的環境變數。雖然 GITHUB_TOKEN 會在工作流程結束時過期，但由於 Artifacts 功能在版本 4 中的提升速度的攻擊，攻擊者可以利用競爭條件(race condition)的情況，在工作流程運行過程中下載 Artifacts，從而竊取並使用這些 Token。 ACTIONS_RUNTIME_TOKEN：是一個JSON Web Token (JWT)，通常由 GitHub Actions 在執行工作流程時自動產生。這個 Token 通常用於內部的工作流程管理，如 Artifacts 的上傳(actions/upload-artifact)和快取(actions/cache)，其有效期長達六小時。如果在此期間，攻擊者能夠成功取得 Token，便可能利用該 Token 來執行惡意操作。 以下二種使用方式也可能導致Token被公開，使用者需要額外注意： 使用Github基本功能時，如checkout進行clone，使用者忽略使用該功能後，GITHUB_TOKEN 將被寫入本機以便執行git命令，使用者不經意將含有Token的隱藏.git檔上傳至公開Github儲存庫。 代碼檢查器Super-linter的log file會紀錄許多細節也替工程師提供資訊且解決問題，例如log file儲存含有Token的環境參數。當CREATE_LOG_FILE屬性被設置為True時，該操作可能導致軟體暴露在危險中。目前，Super-linter已經將環境參數從log file移除。 另外，Yaron Avital 提到，許多使用者對於 Artifact 掃描的意識普遍不足，並建議應掃描檔案中是否含有敏感資訊作為防禦此類攻擊，因此也呼籲使用者在每一個環節中都應考慮潛在的威脅，因為被利用的威脅往往是那些被忽略的小細節。事實上，許多大型知名科技公司，如 Amazon Web Services（AWS）、Google、Microsoft、Red Hat 和 Ubuntu，都面臨這種隱藏的問題。GitHub 也表示，企業應自行負責管理和保護Artifacts，以有效防範潛在的安全風險。

GitHub項目問題(Issue)的評論功能遭到濫用，駭客利用該功能傳播Lumma Stealer惡意程式，使用者應留意Github上的任何檔案與連結，若有不慎遭攻擊成功，應儘速更換帳號密碼，以確保個人電腦使用安全。 此次事件最早是由一位維護Rust函式庫:teloxide的人員在Reddit論壇上提出，發現其維護的函式庫中的評論出現偽裝修復程式，實際上為惡意程式的留言內容。 下圖為駭客散播惡意程式的評論範例，顯示民眾可透過bit.ly或 mediafire 連結來下載修復程式，且在目前觀察到的評論中，密碼皆使用changeme。 圖1  駭客散播惡意程式的評論，圖片取自 BleepingComputer 若點擊圖1的連結就會下載 fix.zip ，解壓縮後為圖2的內容，將其丟入 AnyRun 惡意程式分析沙箱平台，即能識別為Lumma Stealer 惡意程式。 圖2 含有 Lumma Stealer 惡意程式的檔案，圖片取自 BleepingComputer Lumma Stealer惡意程式是一種竊取資料的惡意程式，將竊取使用者的瀏覽器裡儲存的 Cookie、憑證、信用卡、密碼、瀏覽紀錄等，並將竊取的資料傳回饋予攻擊者，而後攻擊者可以利用這些資料進行下一階段的攻擊，或將其販賣於地下市場。 資安研究人員Nicholas Sherlock指出過去 3 天觀察到超過 29,000 個評論在 Github上散播Lumma Stealer惡意程式，Github管理人員亦表示已經有檢測到這些評論並將其刪除，但在Reddit仍持續有發現民眾留言表示遭受攻擊。 上個月Check Point研究人員發出一份報告，其有關駭客組織Stargazer Goblin 利用Github上有3,000多個假帳號遭利用來散播惡意程式，雖不確定是否跟此次事件有關，但使用者須小心謹慎對待Github上的任何檔案和連結，若有使用者有遭受此攻擊，應儘速更換所有帳號的密碼，來確保個人電腦使用安全。

GiveWP是一個WordPress 網站捐贈Plugin，可以讓網站輕鬆接受來自世界各地的捐贈，近期遭揭露重大資安漏洞(CVE-2024-5932)，可以讓駭客遠端執行任意程式碼且不需要任何身分認證，並能刪除所有檔案，建議使用者應更新至3.14.2版本。 WordPress此次的漏洞是出現在GiveWP Plugin，漏洞編號為CVE-2024-5932，此漏洞在通用漏洞評分系統（CVSS）的分數為10.0（滿分），代表了漏洞的嚴重性極高。 此漏洞為PHP物件注入(PHP Object Injection)，主要在 GiveWP Plugin 的 give_title 參數上，可透過注入特殊的PHP物件來觸發反序列化，而該物件跟 Plugin 裡面現有的POP 面向屬性編程鏈結合，成為遠端程式碼執行 (RCE)，也就是攻擊者可不經身份驗證，就可完全控制受漏洞影響的WordPress網站。 序列化是指可將複雜的資料轉換後做儲存，反序列化即是將序列化後的資料轉換回原本的模樣，如底下是一個 PHP 序列化資料的範例 a:2:{s:12:"productPrice";s:5:"11111";s:7:"price";i:10;} PHP 程式碼基本都是物件導向的，其中程式碼被組成「類別」，類別為包含有變數(稱為屬性)和函數(稱為方法)的模板，程式透過類別來創建物件，從而產生可重複使用和維護的程式碼，若Plugin 在沒有清理乾淨的情況下，反序列化使用者輸入的資料，則可能讓攻擊者注入惡意的內容，使其在反序列化的時候變成 PHP 物件，若反序列化出來的物件存在魔法方法 (Magic Method)時，可能會導致惡意的攻擊行為。 魔法方法(Magic Method)是類別中的特殊函數，用以定義某些事件發生時要執行的行為，如不需要物件時要如何清理、創建物件時要初始化執行的事情等。 此漏洞為資安研究員 villu164 透過Wordfence Bug漏洞賞金計畫發現並提出研究報告，鑒於此Plugin是作為捐贈和募款平台性質使用，故而攻擊可能會曝露捐贈者的敏感資料，並影響使用該Plugin組織的聲譽，建議使用者/組織應儘速更新至3.14.2版，以避免受到影響。

Infoblox和Eclypsium的研究人員發現一種網域名稱劫持攻擊，取名為「Sitting Ducks」，有超過百萬個網域易遭受此攻擊，且目前觀察到有數十個與俄羅斯相關的攻擊者正在利用此種攻擊。 Infoblox 和 Eclypsium 的研究人員發現 DNS 存在一種攻擊媒介，且有十多個與俄羅斯有關的攻擊者正在利用此種媒介進行攻擊，這是一種網域名稱劫持，研究人員給其名稱：Sitting Ducks。網域名稱系統(Domain Name System, DNS)是用以將網域名稱與IP連結，網域名稱是為了讓人更好記憶網站，但電腦裝置之間的通訊是透過IP來傳輸，因此透過DNS將網域轉為IP位址，這樣瀏覽器才能載入網站。 過去存在很多種針對DNS進行網域劫持，可讓攻擊者去執行惡意軟體傳播、網路釣魚、品牌冒充及資料外洩，而從2019年以來至今，Eclypsium 的研究人員認為超過 3 萬個網域被 Sitting Ducks 攻擊劫持，且當前有超過百萬個網域都有遭受此攻擊的風險。 Sitting Ducks攻擊的特性為易於執行攻擊且難以偵測，但可以完全被預防。Sitting Ducks攻擊是攻擊者去劫持目前已經註冊的網域，這些網域註冊在公開具權威性的DNS服務供應商或網頁主機供應商，而一旦攻擊者劫持網域，就可以假藉合法者的身分來進行任何惡意活動，如散播惡意程式、寄送釣魚信等。 由於Sitting Ducks攻擊並不需要攻擊者註冊網域名稱，故而跟常見的 DNS 劫持攻擊有根本的不同。Sitting Ducks攻擊的核心是網域名稱註冊商的錯誤配置和DNS 提供者的預防不充分所造成。 以下幾種情況可能會發生Sitting Ducks攻擊： 註冊的網域解析使用其他家DNS供應商，也就是使用DNS委派(即DNS 伺服器將部分網域解析作業委託其他DNS 伺服器執行) DNS委派異常，意即接受委派的DNS伺服器上並沒有該註冊網域資料，因此無法提供DNS查詢。 DNS服務供應商設定錯誤，攻擊者可與DNS服務供應商聲明其擁有受害者網域名稱並設定DNS紀錄，而不需證明其為網域名稱註冊處的對應有效使用者。 故而促成此攻擊的主要因素就是DNS委派上的問題，同時DNS服務供應商存在錯誤的設置。 Infoblox研究人員表示其觀察約十幾個DNS服務供應商，發現此攻擊被廣泛利用，尤其以俄羅斯相關犯罪者最為常見，每天有數百個網域被劫持。 圖1說明Sitting Ducks攻擊的常見流程，主要攻擊過程為受害者跟網域供應商Registrar A 註冊網域 brand.com ，並交由DNS 服務供應商 Auth DNS B 做解析 而一段時間後，受害者暫時不再需要使用網域 brand.com，但仍透過Registrar A 保有網域的擁有權，但這時 Auth DNS B解析服務已過期，這時攻擊者跟 DNS 服務供應商 Auth DNS B 聲稱擁有網域 brand.com 的擁有權，並設置 DNS 解析紀錄，來將該網站解析到攻擊者的惡意網站，此時攻擊者就可以假冒受害者的身分來對其他人發送釣魚郵件或散播惡意程式，這時受害者嘗試跟DNS服務供應商Auth DNS B聲稱擁有網域 brand.com的擁有權，會遭到拒絕。 圖1 : Sitting Ducks 範例攻擊流程 圖片取自：https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ Sitting Ducks 攻擊是可以被預防的，透過上圖說明可知它的存在成因源自網域名稱和 DNS 紀錄管理上的缺陷，如果網域註冊商跟 DNS 服務供應商是同一家單位則不存在此問題，而如果是不同單位，只要確實做好管理就可以預防攻擊發生 過去也有這次的攻擊事件探討跟發生： 此次攻擊最早一次被提及是 2016 年由作者 Matthew Bryant 寫的文章「孤立的網路–透過 DNS 漏洞接管 12 萬個網域」 2019年時，攻擊者透過此攻擊濫用了 GoDaddy.com 的弱點發送大量的垃圾郵件 建議網域持有者可以執行以下操作： 檢查自己的網域註冊服務商跟DNS 服務供應商是否為同一個提供者，如果是的話則不會受此攻擊影響。 檢查自己的網域和子網域是否將網域名稱解析委派給已經過期或無效的服務供應商, 若是，請更新資訊以避免受此攻擊影響 諮詢自己的DNS服務供應商是否對此類攻擊已有緩解措施，如果 DNS 服務供應商已經有緩解措施則不必擔心此類攻擊。

美國網際安全暨基礎設施安全局（CISA）日前發布警告，指出由陞泰科技（Avetech Security）製造的網路攝影機存在高風險命令注入漏洞。由於該漏洞尚未修補，且已遭利用攻擊，CISA建議用戶立即採取相關防護措施，以確保系統安全。 該漏洞編號為CVE-2024-7029（CVSS 3.x分數為8.8），允許攻擊者在無需密碼或身份驗證的情況下，可以管理者身份遠端向攝影機注入並執行指令。受影響的設備包括特定韌體版本的AVM1203 IP攝影機。 陞泰科技近期針對本次漏洞發表聲明，指出AVM1230為停產近七年的產品，並表示後續將評估是否釋出修補軟體或提供替代方案。此外，該公司已對目前產品線進行全面檢測，確認目前銷售的機種已經採取相關處理措施與解決方案，確認銷售機種韌體不存在本次漏洞。 CISA指出，此漏洞由Akamai通報，並經第三方組織確認特定產品及韌體存在問題。Akamai研究人員在2024年3月就已發現針對該漏洞進行探測的紀錄，並在分析蜜罐日誌時確認本次漏洞。漏洞存在於文件 /cgi-bin/supervisor/Factory.cgi 的「亮度」功能中，利用此漏洞可使攻擊者在目標系統上遠端執行程式碼。目前，該漏洞已被用來傳播惡意軟體，該惡意軟體疑似是Mirai變種。 由於該漏洞的產品廣泛使用於全球，包括商業設施、醫療保健、金融服務和交通運輸等關鍵基礎設施領域。在廠商尚未釋出修復更新前，CISA建議用戶透過防火牆或相關防護設備限制網際網路的IP存取網路攝影機並與企業內部網路隔離，若有遠端存取的需求，僅開放VPN或特定IP來源等連線方式。