不要错过

GiveWP是一個WordPress 網站捐贈Plugin，可以讓網站輕鬆接受來自世界各地的捐贈，近期遭揭露重大資安漏洞(CVE-2024-5932)，可以讓駭客遠端執行任意程式碼且不需要任何身分認證，並能刪除所有檔案，建議使用者應更新至3.14.2版本。 WordPress此次的漏洞是出現在GiveWP Plugin，漏洞編號為CVE-2024-5932，此漏洞在通用漏洞評分系統（CVSS）的分數為10.0（滿分），代表了漏洞的嚴重性極高。 此漏洞為PHP物件注入(PHP Object Injection)，主要在 GiveWP Plugin 的 give_title 參數上，可透過注入特殊的PHP物件來觸發反序列化，而該物件跟 Plugin 裡面現有的POP 面向屬性編程鏈結合，成為遠端程式碼執行 (RCE)，也就是攻擊者可不經身份驗證，就可完全控制受漏洞影響的WordPress網站。 序列化是指可將複雜的資料轉換後做儲存，反序列化即是將序列化後的資料轉換回原本的模樣，如底下是一個 PHP 序列化資料的範例 a:2:{s:12:"productPrice";s:5:"11111";s:7:"price";i:10;} PHP 程式碼基本都是物件導向的，其中程式碼被組成「類別」，類別為包含有變數(稱為屬性)和函數(稱為方法)的模板，程式透過類別來創建物件，從而產生可重複使用和維護的程式碼，若Plugin 在沒有清理乾淨的情況下，反序列化使用者輸入的資料，則可能讓攻擊者注入惡意的內容，使其在反序列化的時候變成 PHP 物件，若反序列化出來的物件存在魔法方法 (Magic Method)時，可能會導致惡意的攻擊行為。 魔法方法(Magic Method)是類別中的特殊函數，用以定義某些事件發生時要執行的行為，如不需要物件時要如何清理、創建物件時要初始化執行的事情等。 此漏洞為資安研究員 villu164 透過Wordfence Bug漏洞賞金計畫發現並提出研究報告，鑒於此Plugin是作為捐贈和募款平台性質使用，故而攻擊可能會曝露捐贈者的敏感資料，並影響使用該Plugin組織的聲譽，建議使用者/組織應儘速更新至3.14.2版，以避免受到影響。

Infoblox和Eclypsium的研究人員發現一種網域名稱劫持攻擊，取名為「Sitting Ducks」，有超過百萬個網域易遭受此攻擊，且目前觀察到有數十個與俄羅斯相關的攻擊者正在利用此種攻擊。 Infoblox 和 Eclypsium 的研究人員發現 DNS 存在一種攻擊媒介，且有十多個與俄羅斯有關的攻擊者正在利用此種媒介進行攻擊，這是一種網域名稱劫持，研究人員給其名稱：Sitting Ducks。網域名稱系統(Domain Name System, DNS)是用以將網域名稱與IP連結，網域名稱是為了讓人更好記憶網站，但電腦裝置之間的通訊是透過IP來傳輸，因此透過DNS將網域轉為IP位址，這樣瀏覽器才能載入網站。 過去存在很多種針對DNS進行網域劫持，可讓攻擊者去執行惡意軟體傳播、網路釣魚、品牌冒充及資料外洩，而從2019年以來至今，Eclypsium 的研究人員認為超過 3 萬個網域被 Sitting Ducks 攻擊劫持，且當前有超過百萬個網域都有遭受此攻擊的風險。 Sitting Ducks攻擊的特性為易於執行攻擊且難以偵測，但可以完全被預防。Sitting Ducks攻擊是攻擊者去劫持目前已經註冊的網域，這些網域註冊在公開具權威性的DNS服務供應商或網頁主機供應商，而一旦攻擊者劫持網域，就可以假藉合法者的身分來進行任何惡意活動，如散播惡意程式、寄送釣魚信等。 由於Sitting Ducks攻擊並不需要攻擊者註冊網域名稱，故而跟常見的 DNS 劫持攻擊有根本的不同。Sitting Ducks攻擊的核心是網域名稱註冊商的錯誤配置和DNS 提供者的預防不充分所造成。 以下幾種情況可能會發生Sitting Ducks攻擊： 註冊的網域解析使用其他家DNS供應商，也就是使用DNS委派(即DNS 伺服器將部分網域解析作業委託其他DNS 伺服器執行) DNS委派異常，意即接受委派的DNS伺服器上並沒有該註冊網域資料，因此無法提供DNS查詢。 DNS服務供應商設定錯誤，攻擊者可與DNS服務供應商聲明其擁有受害者網域名稱並設定DNS紀錄，而不需證明其為網域名稱註冊處的對應有效使用者。 故而促成此攻擊的主要因素就是DNS委派上的問題，同時DNS服務供應商存在錯誤的設置。 Infoblox研究人員表示其觀察約十幾個DNS服務供應商，發現此攻擊被廣泛利用，尤其以俄羅斯相關犯罪者最為常見，每天有數百個網域被劫持。 圖1說明Sitting Ducks攻擊的常見流程，主要攻擊過程為受害者跟網域供應商Registrar A 註冊網域 brand.com ，並交由DNS 服務供應商 Auth DNS B 做解析 而一段時間後，受害者暫時不再需要使用網域 brand.com，但仍透過Registrar A 保有網域的擁有權，但這時 Auth DNS B解析服務已過期，這時攻擊者跟 DNS 服務供應商 Auth DNS B 聲稱擁有網域 brand.com 的擁有權，並設置 DNS 解析紀錄，來將該網站解析到攻擊者的惡意網站，此時攻擊者就可以假冒受害者的身分來對其他人發送釣魚郵件或散播惡意程式，這時受害者嘗試跟DNS服務供應商Auth DNS B聲稱擁有網域 brand.com的擁有權，會遭到拒絕。 圖1 : Sitting Ducks 範例攻擊流程 圖片取自：https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ Sitting Ducks 攻擊是可以被預防的，透過上圖說明可知它的存在成因源自網域名稱和 DNS 紀錄管理上的缺陷，如果網域註冊商跟 DNS 服務供應商是同一家單位則不存在此問題，而如果是不同單位，只要確實做好管理就可以預防攻擊發生 過去也有這次的攻擊事件探討跟發生： 此次攻擊最早一次被提及是 2016 年由作者 Matthew Bryant 寫的文章「孤立的網路–透過 DNS 漏洞接管 12 萬個網域」 2019年時，攻擊者透過此攻擊濫用了 GoDaddy.com 的弱點發送大量的垃圾郵件 建議網域持有者可以執行以下操作： 檢查自己的網域註冊服務商跟DNS 服務供應商是否為同一個提供者，如果是的話則不會受此攻擊影響。 檢查自己的網域和子網域是否將網域名稱解析委派給已經過期或無效的服務供應商, 若是，請更新資訊以避免受此攻擊影響 諮詢自己的DNS服務供應商是否對此類攻擊已有緩解措施，如果 DNS 服務供應商已經有緩解措施則不必擔心此類攻擊。

美國網際安全暨基礎設施安全局（CISA）日前發布警告，指出由陞泰科技（Avetech Security）製造的網路攝影機存在高風險命令注入漏洞。由於該漏洞尚未修補，且已遭利用攻擊，CISA建議用戶立即採取相關防護措施，以確保系統安全。 該漏洞編號為CVE-2024-7029（CVSS 3.x分數為8.8），允許攻擊者在無需密碼或身份驗證的情況下，可以管理者身份遠端向攝影機注入並執行指令。受影響的設備包括特定韌體版本的AVM1203 IP攝影機。 陞泰科技近期針對本次漏洞發表聲明，指出AVM1230為停產近七年的產品，並表示後續將評估是否釋出修補軟體或提供替代方案。此外，該公司已對目前產品線進行全面檢測，確認目前銷售的機種已經採取相關處理措施與解決方案，確認銷售機種韌體不存在本次漏洞。 CISA指出，此漏洞由Akamai通報，並經第三方組織確認特定產品及韌體存在問題。Akamai研究人員在2024年3月就已發現針對該漏洞進行探測的紀錄，並在分析蜜罐日誌時確認本次漏洞。漏洞存在於文件 /cgi-bin/supervisor/Factory.cgi 的「亮度」功能中，利用此漏洞可使攻擊者在目標系統上遠端執行程式碼。目前，該漏洞已被用來傳播惡意軟體，該惡意軟體疑似是Mirai變種。 由於該漏洞的產品廣泛使用於全球，包括商業設施、醫療保健、金融服務和交通運輸等關鍵基礎設施領域。在廠商尚未釋出修復更新前，CISA建議用戶透過防火牆或相關防護設備限制網際網路的IP存取網路攝影機並與企業內部網路隔離，若有遠端存取的需求，僅開放VPN或特定IP來源等連線方式。

美國於2024年7月20日開始禁止資安軟體公司卡巴斯基（Kaspersky）在美國銷售網路安全產品及防毒軟體，此項禁令為美國商務部工業及安全局(Bureau of Industry and Security，BIS)於2024年6月20日宣布之裁決結果（Final Determination），主要原因為該公司產品影響美國國家安全，自2024年9月29日起，卡巴斯基也將被禁止提供相關產品更新，惟未涵蓋卡巴斯基所提供的威脅情報產品/服務、安全培訓產品/服務、顧問與諮詢服務。 卡巴斯基(Kaspersky)是一家全球知名的網絡安全公司，總部位於俄羅斯，成立於1997年。由尤金·卡巴斯基(Eugene Kaspersky)創立，該公司專注於提供全面的網路安全解決方案，包括防毒軟體、防火牆等。卡巴斯基的產品服務範圍涵蓋個人、小型企業、大型企業及政府機關，以其高效的威脅檢測和防護技術著稱。公司致力於保護用戶免受各種網路威脅，並在全球擁有廣大的客戶。 美國工業及安全局針對卡巴斯基軟體對於國家安全構成不當或不可接受的風險原則提出理由如下： 卡巴斯基受到俄羅斯政府的管轄、控制或指揮，可能導致利用卡巴斯基防毒軟體存取電子設備之敏感資訊。 卡巴斯基可透過提供網路安全和防毒軟體，對客戶資訊擁有廣泛的存取與管理權限，因此卡巴斯基的員工可能將美國客戶的資料轉移至俄羅斯。 卡巴斯基可藉由安裝產品在美國客戶設備上之名義，安裝惡意軟體或阻止關鍵更新，使美國客戶和關鍵基礎設施容易受到惡意軟體利用和威脅。 卡巴斯基的軟體產品可透過轉售，將其網路安全或防毒軟體整合到其他第三方產品，將會導致第三方交易中，因軟體原始碼未知而增加卡巴斯基軟體無意間被引入用戶的設備或網路。 此次禁令導致卡巴斯基多項產品受到影響，美國政府允許企業和用戶有一段時間可以尋找替代方案，在2024年9月29日之前仍可更新卡巴斯基的軟體服務。 值得注意的是，該禁令並未涵蓋卡巴斯基所提供的威脅情報產品/服務、安全培訓產品/服務、顧問與諮詢服務。因此，美國組織仍可與卡巴斯基進行教育性質的服務。

資安業者 Group-IB Threat Intelligence 發現了一款基於Golang的勒索軟體-Eldorado，勒索軟體專門針對大型企業進行攻擊，並且具有跨平台攻擊能力，可攻擊 VMware ESXi、Windows 和 Linux 等多種系統。Eldorado 屬於勒索軟體即服務(Ransomware-as-a-Service,RaaS)，利用先進的方式加密金鑰及目標檔案，以SMB協定進行橫向擴散，並刪除特定檔案抹除加密痕跡及避免加密檔案被還原。   隨著科技的進步，攻擊者不斷探索新的攻擊方式，勒索軟體即服務已經演變成類似於大型企業的運作模式，這些勒索軟體組織持續在暗網論壇招募新的合作夥伴，並讓不同夥伴在團隊中執行特定任務。Eldorado 的相關訊息最初出現在俄羅斯的地下勒索軟體論壇 RAMP，當企業受駭後，Eldorado會透過暗網Onion 網域的聊天平台與受駭者聯繫。截至 2024 年 6 月，全球已有 16 家公司遭到 Eldorado 攻擊，其中大部分位於美國，受影響的行業包括房地產、教育、專業服務、醫療保健和製造業等。   為了支援跨平台功能，Eldorado 使用 Golang 程式語言開發，讓其程式可在Windows與Linux的32bit及64bit系統中執行。此勒索軟體使用 Chacha20 演算法快速加密檔案，以Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)加密金鑰，被加密的檔案其副檔名會被改為”.00000001”，並在「文件」和「桌面」的目錄中建立名為「HOW_RETURN_YOUR_DATA.TXT」的文字檔案，裡面含有攻擊者的聯絡資訊。另Eldorado會透過 SMB 協定（SMB2/3）方式加密共用網路上的文件，且在加密完檔案後，使用 PowerShell 的命令，先以隨機位元的方式覆蓋加密器(encryptor)再刪除該檔案，以抹除相關加密的痕跡，最後也在系統中刪除windows的陰影複製(shadow copy)備份資料，防止受害電腦透過此機制復原被加密的檔案。   整體而言，儘管企業的網路安全意識不斷提高，但總有新形式的網路攻擊在不斷精進和發展。Group-IB 建議採取以下防禦措施： 採多重身份驗證（Multi-factor authentication,MFA） 建置端點偵測和回應（Endpoint Detection and Response,EDR），以協助識別勒索軟體的活動跡象 定期進行資料備份 使用人工智慧進行即時偵測入侵 定期更新系統並執行安全性修補 安排教育訓練，以幫助員工識別網路攻擊(如:釣魚郵件) 每年針對系統進行技術稽核或安全性評估 永遠不要支付贖金 受到攻擊時，尋求專家協助 Group-IB 強調，企業必須在網路安全工作中保持警覺和主動，以減輕這些不斷演變的威脅所帶來的風險。

2024年7月19日資安公司CrowdStrike的Falcon Sensor更新程式出現故障，導致全球各地Windows電腦出現藍色畫面當機(BSOD)​狀況，全球企業和政府機關產生影響，包括航空公司、醫院、運輸機構及媒體公司等，許品Falcon Sensor市佔率為前幾名，因此這次更新問題導致大量Windows電腦多機構的運營受到嚴重干擾。CrowdStrike是知名的網路安全公司，其端點防護產陷入當機及系統重啟的循環，使得用戶無法正常使用電腦。 此次事件是由於Crowdstrike的Falcon平台派送有缺陷的更新所引起，導致已安裝該產品的某些版本Windows系統大範圍崩潰。許多企業反映其Windows電腦會自動重新啟動，並不斷循環地進入藍色當機畫面，其影響巨大，使全球的關鍵基礎設施營運產生嚴重衝擊，包含德國、日本、印度和美國的企業都出現類似問題。在台灣，許多公私立機關和企業也受到了影響，多家銀行、醫療機構及科技公司在事件發生後紛紛發現其系統無法正常運作，部分機構的業務運營因此中斷超過1小時。 CrowdStrike在發現問題後迅速做出了反應，發布了修補程式及解決方案。該公司表示這不是網路攻擊，問題的根源是某個Falcon Sensor更新檔案未經充分檢查所致。CrowdStrike已經刪除錯誤更新檔案並發布了修補程式，用戶可透過官方網站提供的步驟回復系統(可參考相關連結)。 此外，微軟針對此當機狀況提出2個復修方式，分別是「從WinPE復原」及「從安全模式復原」。若選擇從「從WinPE復原」，可以快速並直接復原系統，不需要系統管理者的權限，但系統已透過BitLocker或第三方軟體加密時，需先解除加密狀況才能修復受影響的系統。若選擇「從安全模式復原」，則需使用本地管理者權限的使用者登入後進行修復。需要注意的是，在復修之前需先下載已簽署的Microsoft Recovery Tool，並透過工具中的powershell檔案建立USB開機碟。 全球資訊科技研究顧問公司 Gartner 指出，企業即使在此次事件未受影響，以安全性的角度來看，仍需關注其帶來的影響，以防範未來類似事件的發生。Gartner 同時建議企業應重視資安事件的應變措施，資安事件發生時的相關處理措施如下： 立即採取行動（第一到七天）： 【事件應變與危機管理】 通知危機管理團隊，讓其參與並協助應處 通過有效的危機溝通通知所有利害關係人 驗證資訊來源以避免遭受二次網路攻擊 動員危機管理團隊以防止使用者操作失誤 指派專門的溝通團隊進行內部利害關係人的協調 讓安全運營團隊參與監控和應對新威脅 【技術修復】 讓 IT 專業人員幫助使用者解決問題 建立分類流程，以對資產進行分類並確定設備修復的優先順序 利用資產管理工具識別並列出已離線的設備 避免過度反應，例如完全停用或替換CrowdStrike 中期行動（第1到2週）： 【評估影響與安全】 與 SOC 團隊一起檢視異常情況，以降低未檢測到的攻擊風險 參與營運衝擊分析會議，一同討論潛在的安全風險 向公司中高階領導報告設備的狀況，並持續提供穩定的環境 盡量讓端點保護工具在佈署更新檔時能先行測試，減少更新失敗的狀況 可透過輪班或其它方式，以減輕員工的壓力及倦怠感 長期行動（第8 至 12 週） 【韌性和準備】 重新審視公司在發生大規模主機當機時的預防、回應和支援程序 檢查並更新停機程序，並根據需要修訂危機溝通計劃、事件反應流程及災害復原和持續營運計畫 確保關鍵員工有能力並參與測試企業系統 CrowdStrike 的停機事件強調了專注於韌性的必要性，必需建立全面性的策略目標 部署安全產品前評估其效益，選擇合適的工具以改善現有的防護機制

2024年7月8日俄羅斯資安公司 Solar 的網路威脅情資中心(4RAYS)資安人員揭露一個親烏克蘭APT 組織：Lifting Zmiy 對俄羅斯政府和私人公司進行一系列的攻擊活動。 攻擊活動追蹤時間為 2023 年 9 月至 2024 年 6 月發生的4 起攻擊事件作分析，目標為俄羅斯工控自動化公司Tekon-Avtomatika 的可程式化邏輯控制器(Programmable Logic Controller，PLC) 設備，型號為 KUN-IP8，並在設備上部署中繼站，進而以此攻擊其他目標，研究人員分析發現受害者遍及各個行業，Linux 和 Windows 系統均無法幸免。 此次威脅研究足以表明，過往大多認為營運科技(Operation Technology, OT)網路攻擊是透過入侵資訊科技(Informatiom Technology, IT)系統做為跳板，進而滲透至OT環境，而本次的攻擊則是先透過入侵OT環境後，轉攻擊IT。此次問題的原因在於PLC設備使用了預設的憑證資訊。 資安人員Jose Bertin 在2022年3月研究指出存在大量使用預設最高管理員憑證的PLC設備，而這些憑證資訊當時公開在 Tekon-Avtomatika 公司的官方網站上，儘管該公司隨後即刪除預設最高管理員憑證，但仍有不少設備並未更改，而APT組織 Lifting Zmiy 即利用這些資訊入侵PLC設備，並將其作為中繼站。此外，這些中繼站IP的供應商為 Starlink Services LLC ，其為SpaceX的一個部門，SpaceX在全世界各地提供衛星網路服務，駭客透過SpaceX的 Starlink 基礎設施來隱蔽其行蹤，且受益於動態IP，以規避物理位置的檢測分析，為駭客提供一個難以被追蹤和監控的攻擊平台。 然而，在此之前已有資安人員對OT環境安全感到憂心，BlackHat USA 2015 演講：INTERNET-FACING PLCS-A NEW BACK ORIFICE 和BlackHat Asia 2016演講：PLC-Blaster:A Worm Living Solely in the PLC共同探討透過感染 PLC 作為中繼站的展示，此次研究是歷史上首個公開研究針對攻擊 PLC 作為 中繼站跳板的攻擊，研究人員寫了一個概念性驗證程式，給其名字為：PLC-Blaster，他是研究人員為了測試而開發的概念性驗證的蠕蟲(一種惡意程式類型)。攻擊對像為西門子所開發的PLC設備，型號為 S7-1200，研究人員是透過將惡意程式寫入至PLC，使PLC作為跳板執行命令作攻擊行為。 此次研究站在防禦的角度上，過往工控資安防禦主要為對HMI和PLC之間的流量建立Baseline來偵測異常，並實施白名單管制，從Purdue Model角度來看，關注的安全防護主要是垂直的。垂直的意思是HMI和PLC之間的通訊，也就是Purdue Model裡面Level 2 和Level 1之間的網路流量，而鮮少探討水平之間的流量檢測，水平的意思就是Purdue Model裡面Level 1和Level 1之間的通訊流量，且過往白名單會去信任PLC，所以透過PLC發出的流量會無條件被信賴，此次研究則利用此問題，透過控制 PLC 作為跳板進行攻擊以規避防禦產品偵測 近期2022 年由工控資安公司Claroty的Team82 研究團隊曾發布白皮書：EVIL PLC ATTACK: WEAPONIZING PLCS，內容研究的攻擊名字取名為：Evil PLC，主要是透過感染 PLC 讓其武器化可以執行命令。 研究人員撰寫了概念性驗證程式並對 7 家工控廠商(洛克威爾公司、施耐德電氣公司、通用電氣公司、貝加萊公司、信捷電氣公司、英國奧威公司、艾默生電氣公司)的PLC設備進行測試，顯示過往PLC多為攻擊的目標，如歷史出現過的資安事件：Stuxnet,Incontroller/Pipedream等，但此研究是將 PLC作為攻擊使用的武器，來進一步對其他系統作攻擊，雖然非真實的案件，但也證明這樣的攻擊情境是值得關注的。 總結來說，過往針對工控的安全大多會無條件去信任PLC，且一般已知攻擊主要都是透過感染IT系統之後擴散攻擊至OT 環境。 而從目前越來越多研究表明存在以PLC做為入侵端點，攻擊其他資訊系統，因此，在OT環境設置上，不能再無條件信任PLC發送的資料，同時也需要做好網路分段，避免所有人機介面(Human-Machine Interface,HMI)都可以跟 PLC 做連接，從而增加 PLC 被寫入惡意程式的可能性，也要盡量即時更新 OT 軟體，已避免存在已知漏洞能直接對 PLC 做寫入。

近日全球廣泛使用的開源地理位置資訊伺服器GeoServer被發現存在嚴重的安全漏洞（CVE-2024-36401）。該漏洞源於GeoServer處理XPath表達式的方式，使得未經身份驗證的遠端攻擊者能夠利用這個漏洞在受影響的伺服器上執行任意代碼，從而獲取伺服器權限，近期已經發現有駭客利用漏洞進行攻擊，建議使用者儘速完成更新。 GeoServer是一個開源的地理空間資訊伺服器，允許用戶使用各種開放地理空間聯盟(Open Geospatial Consortium,OGC)標準發布和管理地理空間數據。GeoServer的功能強大且靈活，廣泛應用於政府、企業和學術機構。 CVE-2024-36401主要涉及GeoServer與GeoTools函式庫API之間參數傳送的內容，GeoServer在傳遞元素類型屬性名稱給commons-jxpath函式庫時存在不安全的操作，允許未經身份驗證的攻擊者注入特製的XPath表達式，導致可以執行任意程式碼。XPath是一種用於在XML文檔中選擇節點的語言，GeoServer使用的commons-jxpath函式庫，允許在Java中使用XPath表達式。這些技術的結合使GeoServer可以靈活地處理和查詢地理空間數據，但同時也引入了潛在的安全風險。GeoServer中XPath表達式評估的設計用途，原本應該只用於複雜特徵類型(如應用模式數據存儲)的 XPath 表達式評估，現在錯誤地被應用於簡單特徵類型，導致所有 GeoServer 實例都受到這個漏洞的影響。 在GeoServer中，WFS(Web Feature Service)是OGC定義的一個標準，用於在 Web 上共享地理空間資訊的標準化服務，它允許使用者通過 Web 服務查詢和擷取地理特徵的屬性資訊。在此漏洞中，WFS為攻擊者利用漏洞的一個入口點，攻擊者可以利用特製的請求觸發漏洞。 WFS功能中的WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 均存在漏洞，未經身份驗證的遠端使用者可透過特製的輸入內容在預設的 GeoServer 中執行遠端程式碼(RCE)。 根據研究報告，GeoServer及GetTools影響的版本如下： GeoServer •GeoServer< 2.23.6 •2.24.0 <= GeoServer < 2.24.4 •2.25.0 <= GeoServer < 2.25.2 GeoTools •GeoTools< 29.6 •31.0 <= GeoTools < 31.2 程式碼執行 •30.0 <= GeoTools < 30.4   為了減輕CVE-2024-36401漏洞帶來的風險，可依下列方式修補GeoServer和GeoTools： •刪除 gt-complex-x.y.jar 檔案：從 GeoServer 中刪除 gt-complex-x.y.jar 檔案，其中 x.y 為 GeoTools 版本(例如，如果運行 GeoServer 2.25.1，則刪除 gt-complex-31.1.jar)。此方法雖可提供臨時保護，但可能會影響 GeoServer 的某些功能。 •更新受影響的 JAR 檔案：修補版本已發布，用戶可以從 GeoServer 發布頁面下載受影響版本的 gt-app-schema、gt-complex 和 gt-xsd-core JAR 檔案。下載完畢後，只需用修補版本的檔案取代原始檔案即可。

Mandiant 研究人員指出，俄羅斯贊助的國際 APT 組織對於 2024 年巴黎奧運可能造成高度威脅。威脅源自法國親烏克蘭的立場，以及俄羅斯無法正式參加奧運會的政治報復。相比之下，與中國、伊朗和北韓有關的 APT 組織對奧運構成的網路威脅相對較低。 Mandiant 列出了與奧運賽事相關的 APT 組織，分別是中國的 APT 15、APT 31、UNC 4713、Temp.Hex，北韓的 APT 43，俄羅斯的 APT 28、APT 44、UNC 4057，伊朗的 APT 42，以及白俄羅斯的 UNC 1151。這些組織針對奧運的網路威脅和潛在目標主要是政治因素或經濟利益驅動。從政治角度來看，網路釣魚可能以運動賽事為誘餌，達到特定的政治目的。而從經濟角度來看，這些攻擊可能涉及門票詐騙、攻擊 POS 機器、勒索軟體攻擊，以及竊取運動員個人資料並在暗網販售等。 俄羅斯可能造成的網路威脅 俄羅斯攻擊的因素主要有兩個，一是俄羅斯運動員今年可以參賽，但僅能以中立運動員身份參加，無法代表祖國，這引起了俄羅斯的不滿。二是法國在 2022 年俄羅斯入侵烏克蘭後提供了相關的軍事支持，這可能引發俄羅斯的報復行動。鑒於此，Mandiant 推測俄羅斯的 APT 組織對2024年巴黎奧運可能會造成相當的威脅。 過去的案例，這些 APT 組織也有針對奧運進行相關的網路威脅活動，例如： 英國國家網路安全中心（NCSC）觀察到 APT 44 針對 2020 年東京奧運的攻擊證據 Mandiant 指出 APT 44 在 2018 年冬季奧運期間使用惡意程式(Olympic Destroyer)中斷奧運賽事開幕期間網路服務 Google 威脅分析小組（TAG）發現 APT 44 在 2017 年底針對 2018 年冬季奧運進行攻擊，利用 Play 商店散播 CHEMISTGAMES 惡意程式 美國司法部在 2018 年指控 APT 28 攻擊 2016 年巴西奧運，並向反興奮劑組織發送釣魚信件 Mandiant 觀察到 APT 28 在 2016 年巴西奧運後洩漏運動員資料 中國及伊朗可能造成的網路威脅 針對中國的威脅，Mandiant 指出中國支持的 APT 組織長期以來對歐洲政府和企業進行攻擊，因此，也可能會影響2024 年奧運。這些威脅主要以網路釣魚和情報收集為主。過去針對歐洲的中國 APT 組織包括 APT 31、APT 15、UNC 4713 及TEMP.Hex，其中網路威脅事件包括：英國指出 APT 31 在 2021 年探查英國議員的電子郵件帳號；UNC 4713 針對多國進行釣魚攻擊，意圖在G7高峰會傳播 EIGHTFLY 惡意程式；TEMP.Hex 自 2023 年 4 月起對歐洲政府進行網路釣魚攻擊。 Mandiant 指出，伊朗贊助的 APT 42 組織過去一直針對歐洲進行間諜活動，近期的加薩衝突可能會影響其網路間諜行動。 奧運期間遭受的攻擊 在過去的歷史事件中，2021 年東京奧運和 2018 年冬季奧運均遭受多次網路攻擊。 2021 年東京奧運 北韓的 APT 組織利用東京奧運為誘餌進行網路釣魚，投放惡意程式 CABRIDE 和 CABSERVICE 世界反興奮劑組織（World Anti-Doping Agency , WADA）於 2019 年發現俄羅斯運動員藥檢結果有問題，導致俄羅斯被禁賽，進而引發俄羅斯政府支持的 APT 28 對反興奮劑機構的攻擊 日本奧委會指出其網路在 2020 年 4 月被一個不知名的勒索軟體攻擊，導致其組織運作暫時停止 2018 年冬季奧運 開幕期間官網遭受攻擊，造成網站中斷 12 小時，使得使用者無法列印門票和存取賽事資訊。Mandiant 認為這可能是由 Sandworm Team 駭客組織所為 出現利用韓語的奧運參賽程式作為誘餌，誘導使用者下載惡意程式 GARPUN APT 28組織註冊一組專門欺騙運動相關組織的網域名稱 Fancy Bears 駭客組織洩漏屬於國際奧林匹克委員會官員的信件 針對這些威脅，Mandiant建議參與賽事的相關單位應加強資安宣導和社交工程培訓，且參加賽事的使用者建議使用一次性設備，不隨意連接不認識的 WiFi，並避免遠端存取敏感資料；參加賽事期間盡量不要遠端存取敏感資料，帶出去的設備盡量不要存有敏感個資。透過相關安全措施，以減少網路安全威脅對所帶來的潛在風險。

Phoenix SecureCore UEFI 韌體上發現了一個新漏洞 (CVE-2024-0762)，該漏洞可能會影響可信賴平台模組 (Trusted Platform Module,TPM) 配置，從而導致緩衝區溢位和潛在惡意程式碼的執行。許多搭載Intel CPU的設備都會受到影響，Phoenix Technologies強烈建議將這些韌體更新到最新版本。 資安廠商Eclypsium首先在Lenovo ThinkPad 筆記型電腦上發現該漏洞，後來Phoenix Technologies 確認此漏洞也會影響多個在Intel處理器上運行SecureCore 韌體的設備，包括AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、MeteorLake、 RaptorLake、RocketLake 和TigerLake。換句話說，Lenovo、Dell、Acer、HP的大量機型都受到此漏洞的影響。 CVE-2024-0762漏洞源自於Phoenix SecureCore 韌體的系統管理模式 (System Management Mode, SMM) 子系統內的緩衝區溢位，由於安全開機(Secure Boot)讓攻擊者更難安裝長駐性的惡意軟體和驅動程式，這導致更多Bootkit的惡意軟體針對UEFI的漏洞進行攻擊。 Bootkit在整個UEFI啟動的過程中很早的階段就被載入，這不僅讓惡意程式可以在底層進行操作，也大幅增加它的隱蔽性，例如UEFI的惡意軟體BlackLotus、CosmicStrand。需要注意的是，這次的漏洞發生在處理TPM組態的UEFI 程式碼中，因此 TPM 晶片將失去保護的作用。儘管 UEFI 韌體具有安全開機功能，但 Bootkit 在啟動過程中很早就加載，這可能導致電腦允許攻擊者覆蓋相鄰記憶體並獲得特權和程式碼執行的權限。 Phoenix 已於 2024 年 5 月針對漏洞提供韌體更新版本，但可能並非包含所有的型號。建議使用者應升級到最新的韌體版本，注意是否有更新資訊，或聯繫供應商以提供相關協助。