雲智維報報

                                           Cisco IOS XE Software Web UI存在Command Injection漏洞 一、 摘要           Cisco ASR 1000系列的聚合服務路由器之Multicast Leaf Recycle Elimination (mLRE)功能存在漏洞，其允許未經授權之遠端攻擊者利用，而易受影響之系統一旦遭到利用並重新載入後，可導致阻斷服務狀況 。

                                         Cisco Catalyst SD-WAN存在多個漏洞 一、 摘要           Cisco Catalyst SD-WAN存在多個漏洞，其允許遠端攻擊者未經授權情況下進行存取、更改、刪除資料，甚至導致服務中斷，其漏洞分為別CVE-2023-20252(CVSS v3.1: 9.8)、CVE-2023-20253 (CVSS v3.1: 8.4)、CVE-2023-20034 (CVSS v3.1: 7.5)、CVE-2023-20254 (CVSS v3.1: 7.2)、CVE-2023-20262 (CVSS v3.1: 5.3) 。

                                          Cisco IOS 和 IOS XE存在身份驗證繞過漏洞 一、 摘要           Cisco IOS 和 IOS XE之Authentication, Authorization, and Accounting (AAA)功能存在漏洞，其漏洞允許取得授權之遠端攻擊者繞過命令授權並使用安全複寫協定(SCP)，將檔案複製到受影響設備，成功利用後可允許攻擊者獲得或變更系統之配置 。

                                              Cisco IOS XE之Application Quality of Experience 和 Unified Threat Defense存在DoS漏洞 一、 摘要           Cisco IOS XE系列設備之Application Quality of Experience (AppQoE) 和 Unified Threat Defense (UTD)存在漏洞 ，其允許未經授權之遠端攻擊者利用該漏洞並對易受影響之系統造成不如預期之系統重啟，進而阻斷服務之狀況。

                                             Cisco IOS XE之Catalyst 3650 and Catalyst 3850系列交換機存在DoS漏洞 一、 摘要           Cisco Catalyst 3650 和 Catalyst 3850系列設備 存在漏洞，其允許未經授權之遠端攻擊者利用該漏洞並對易受影響之系統造成阻斷服務之狀況。

                                            Cisco IOS XE之Layer 2 Tunneling Protocol功能存在DoS漏洞 一、 摘要           Cisco IOS XE系列設備之 Layer 2 Tunneling Protocol (L2TP) 功能存在漏洞，其允許未經授權之遠端攻擊者利用該漏洞並對易受影響之系統造成阻斷服務之狀況。

  Apple 緊急修補三個已被駭侵者利用的 0-day 漏洞  一、摘要： Apple 日前緊急推出 iOS/macOS/iPadOS 和 watchOS 更新，修補三個已遭駭侵者利用的 0-day 漏洞。這些漏洞存在於 WebKit 瀏覽器引擎、資安框架和核心框架中，駭侵者可利用這些漏洞執行任意程式碼或提升執行權限。 二、存在風險：     •    CVE-2023-41993 存於 WebKit 瀏覽器引擎中，駭侵者可利用特製的網頁來誘發此漏洞，藉以跳過數位簽署驗證機制以執行惡意 App，或是用以執行任意程式碼。     •    CVE-2023-41991 存於資安框架中，駭侵者可利用特製的網頁來誘發此漏洞，藉以跳過數位簽署驗證機制以執行惡意 App，或是用以執行任意程式碼。     •    CVE-2023-41992 存於核心框架中，本地駭侵者可利用此漏洞來提升執行權限。 三、影響系統或版本：     •    iPhone 8 與後續機型     •    iPad mini (第 5 代) 與後續機型     •    執行 macOS Montery 與後續版本的 Mac 電腦     •    Apple Watch Series 4 與後續機型 Apple 緊急推出的作業系統新版本為 macOS 12.7/13.6、iOS 16.7/17.0.1、iPadOS      16.7/17.0.1、watchOS 9.6.3/10.0.1。 四、建議改善措施：     •    上述機型的使用者應立即更新系統，以避免遭到駭侵者利用已知漏洞發動攻擊。          情資報告連結： https://www.twcert.org.tw/tw/cp-104-7430-50d24-1.html

                                             應用 AI 機器人技術主動解決客戶網頁難纏效能問題 一、 摘要          隨著網路普及，企業網站成為與客戶互動的主要管道。然而，網站的使用者體驗卻往往是企業容易忽略的一環。為了解決客戶存取網頁過慢問題進而影響使用者體驗，雲智維團隊應用 AI 技術主動為客戶提供協助。         某企業客戶藉由「雲智維資訊顧問代管代維方案」收集網站伺服器設備的 syslog ，監控從內網進行網站效能監控，並且建立專屬監控 Dashboard ，時時監控網站伺服器的各種效能與其連線狀況。 二 、解決方案           使用「雲智維資訊顧問代管代維方案」，透過收集客戶單位中網站伺服器設備 syslog 及 SNMP ，從各式數據方向監控並搭配 AI 即時分析，從中查找出重要的關鍵數據，找出客戶內部環境網路、資安問題所在。 專屬Dashboard監控網頁效能          透過 AI 即時分析，可以發現 DNS Lookup 最大耗時為 17.55 ms 、 Connection 最大耗時為 253.40 ms 、 SSL( 加解密 ) 最大耗時為 252.85 ms 、 Respond( 回應時間 ) 最大耗時為 215.64 ms 、 Download( 網頁內容 Content) 最大耗時為 742.12 ms ，從數據呈現可以判斷出網站伺服器在 SSL( 加解密 ) 與 Download( 網頁內容 Content) 的部分花費較多的時間。 Connection 時間 Download( 網頁內容 Content) 時間 SSL( 加解密 )時間         另外，雲智維團隊進一步從網站伺服器設備所導出的 IIS syslog 紀錄中查找問題，發現在連線該網站伺服器的一些路徑，如： /Japanese/xxxxx.aspx 與 /English/xxxxx.aspx) 時，回應時間的確較長 (14010 ms) 。 網站伺服器Syslog紀錄         基於上述分析，雲智維團隊更加確定為系統本身應用服務與資料庫的回應時間較慢導致，並主動通知與建議客戶從系統本身著手排查，例如檢查應用程式是否有程式碼效能問題、資料庫是否有效能瓶頸等。 三、結論          

                               Xenomorph Android 惡意軟體針對多國銀行與加密貨幣錢包發動攻擊 一、 摘要            資安廠商 ThreatFabric 旗下的資安研究人員，近期發現一個稱為 Xenomorph 的 Android 惡意軟體，其針對世界各國多家銀行與加密貨幣錢包發動攻擊，Xenomorph 利用假冒的 Android 內建瀏覽器 Chrome 的升級通知，誘騙使用者下載安裝植入了 Xenomorph 的 APK 檔案，接著 Xenomorph 便可在使用者瀏覽金融機構或加密貨幣錢包頁面時，使用畫面覆疊來竊取使用者輸入的登入資訊。

    趨勢科技修復 Apex One 端點保護解決方案的 0-day 漏洞 一、 摘要          資安大廠趨勢科技近期修復一個存於其 Trend Micro Apex One 端點保護解決方案的 0-day 漏洞 CVE-2023-41179，該漏洞證實已遭積極用於駭侵攻擊活動。該漏洞的 CVSS 危險程度評分高達 9.1 分（滿分為 10 分），危險程度評級亦為最高等級的「嚴重」（Critical）。

    Palo Alto 產品阻斷服務漏洞 一、 摘要          Palo Alto Networks 近日發布安全公告，旗下多款產品存在阻斷服務 (DoS) 漏洞，攻擊者可利用該漏洞發動攻擊，導致受害系統無法正常運作。

駭客正鎖定LastPass用戶發動釣魚信件攻擊 一、 摘要          資安業者ESET於2023年9月22日發布警告，駭客正鎖定LastPass用戶發動釣魚信件攻擊，企圖竊取用戶的帳號密碼。ESET指出，駭客偽造LastPass的電子郵件，並在信件中附上帶有惡意連結的檔案，一旦用戶點擊連結並下載檔案，惡意程式就會被安裝在電腦上，並竊取用戶的LastPass密碼。

                                中國駭客在臺灣論壇散布假「Whoscall」破解版且暗藏間諜軟體 一、 摘要            資安業者Volexity在9月22日揭露中國駭客組織EvilBamboo（或稱Evil Eye）鎖定行動裝置發起的多起攻擊行動，手法是聲稱分享「Whoscall来電辨識」破解版，其在Android台灣中文網（Apk.tw）的論壇上持續假藉提供Whoscall新破解版的名義，在貼文底部提供QR Code的下載連結，引誘使用者下載惡意APK安裝檔（其載點則是他們濫用了Google Drive、Dropbox的雲端硬碟服務），讓用戶將檔案下載到手機上安裝。

                               APT36 駭客團體以假冒 YouTube App 感染 Android 行動裝置 一、 摘要            資安廠商 SentinelLabs 日前發表研究報告，指出近期發現 APT 駭侵團體 APT36，利用至少 3 個冒充為 YouTube 的 Android App 來散布遠端遙控木馬惡意軟體 CapraRAT。 主要的攻擊目標是印度與軍事外交事務相關的單位或個人，攻擊手法是利用社交工程方式，並對攻擊目標散布至少三種假冒為 YouTube App 的惡意 APK 軟體。三個惡意軟體中有兩個就名為「YouTube」，另一個則稱為「Piya Sharma」，利用這個和愛情故事相關的名字來發動「羅曼史攻擊」。

                              多個組織遭到勒索軟體Akira鎖定 一、 摘要            勒索軟體Akira利用CVE-2023-20269入侵組織的內部網路環境，該漏洞存在於思科的網路資安設備ASA、FTD系列，攻擊者可在未經授權的情況下，藉由暴力破解攻擊找出有效的帳號及密碼，甚至可能透過未經授權的使用者，建立無用戶端的SSL VPN連線。

                                                Juniper 網通產品內含嚴重 RCE 漏洞 一、 摘要        Juniper Networks 於 2023 年 9 月 20 日發布安全公告，宣布旗下多款網通產品存在嚴重遠端執行任意程式碼 (RCE) 漏洞。該漏編為 CVE2023-4514 ，影響範圍包括 SRX Series 防火牆、 MX Series 器、 QFX Series 交換器等產品，估計全球影響設備數量超過 12,000 台。 二 、存在風險           攻擊者可利用該漏洞，在未經授權的情況下遠端執行任意程式碼於受影響設備上。若攻擊者成功利用該漏洞，可能會導致下危害： 竊取設備敏感資訊，例如配置資訊、使用者資料等 植入後門，以便日後進行進一步攻擊 完全控制受影響設備 三、受影響產品           執行下列版本Junos OS 的EX 與SRX 系列機型： EX4300/EX4400/EX4500/EX4600/EX4700/EX4800 SRX110/SRX120/SRX150/SRX210/SRX220/SRX240/SRX250/SRX260/SRX270/SRX280/SRX300/SRX320/SRX340/SRX345/SRX360/SRX380/SRX550/SRX560/SRX580/SRX650/SRX660/SRX680/SRX750/SRX760/SRX780 四、建議改善措施           Juniper Networks 已針對該漏洞釋出修補程式。建議受影響設備的使用者儘速更新至最新版本的韌體或軟體，以降低遭受攻擊的風險。 除了上述的建議改善措施外，使用者也可以採取以下措施，降低遭受攻擊的風險： 定期檢查設備的安全性更新，並在可行時設定自動更新。 使用防火牆或其他網路安全設備，阻擋惡意流量。 定期備份重要資料，以便在遭受攻擊時可快速復原。 雲智維科技提供資安威脅情資偵測與聯防服務，可協助企業及早偵測並阻擋資安威脅，降低遭受攻擊的風險。 情資報告連結： https://www.twcert.org.tw/tw/cp-104-7420-59097-1.html

駭客利用偽造的Booking.com進行網釣攻擊 一、 摘要          近期，資安業者Akamai揭露了一波鎖定線上旅遊產業的網釣攻擊，駭客利用偽造的Booking.com進行網釣攻擊，向訂房網站或飯店客服人員發送住宿相關詢問信件，企圖誘騙客服人員點選信中惡意連結以植入資訊竊取程式(盜走登入憑證、金融資訊等機密資料)，成功後便能以訂房網站或飯店的名義展開第二階段的網釣攻擊，向真正的訂房者騙取信用卡資訊。

 Mozilla 緊急修補 Firefox、Thunderbird  已遭用於駭侵攻擊的 0-day 漏洞 一、 摘要          Mozilla 於 2023 年 9 月 13 日發布緊急安全更新，修補了 Firefox 和 Thunderbird 中存在的一個 0-day 漏洞，該漏洞編號為 CVE-2023-4863。該漏洞是 WebP 圖像解碼器中的堆緩衝區溢出漏洞，攻擊者可利用該漏洞在受影響系統上執行任意程式碼。 根據 Mozilla 的安全公告，該漏洞已被廣泛利用，包括在針對政府、企業和個人用戶的攻擊中。攻擊者可利用該漏洞竊取敏感資料、安裝惡意軟體或進行其他惡意行為。

                                           GitLab存在繞過保安限制漏洞 一、 摘要            GitLab存在一個漏洞，允許遠端攻擊者利用此漏洞，於目標系統觸發繞過保安限制。

                                             ASUS RT-AX88U存在externally - controlled format string漏洞 一、 摘要            華碩 RT-AX88U的Open VPN功能存在externally-controlled format string漏洞。經身分驗證的遠端攻擊者，可藉由利用匯出的OpenVPN設定檔觸發externally-controlled format string漏洞，將造成memory leakage 或是中斷服務。

                                            旭聯科技 SUNNET WMPro 智慧大師存在SQL Injection漏洞 一、 摘要            旭聯科技 SUNNET 校園數位學習平台 WMPro 智慧大師的常見問題功能含有 SQL Injection 漏洞，允許遠端攻擊者在不須權限情況下，即可利用此漏洞取得資料庫內容。

                                           旭聯科技 SUNNET WMPro 智慧大師存在Command Injection漏洞 一、 摘要            旭聯科技 SUNNET 校園數位學習平台 WMPro 智慧大師檔案管理功能存在Command Injection 漏洞，遠端攻擊者可以在擁有教師或管理員權限的情況下，透過特定步驟即可執行系統任意指令，進行任意系統操作或導致中斷服務。

                                          Mozilla 產品存在遠端執行任意程式碼漏洞 一、 摘要            Mozilla 產品存在一個漏洞，允許遠端攻擊者利用該漏洞，於目標系統遠端執行任意程式碼，其漏洞CVE-2023-4863已被廣泛利用。

                                         Memcached存在阻斷攻擊漏洞 一、 摘要            Memcached 存在一個漏洞，允許遠端攻擊者利用這漏洞進行阻斷服務攻擊。

                                        Juniper Junos OS 存在資料篡改漏洞 一、 摘要           Juniper Junos OS 存在一個漏洞，允許遠端攻擊者利用這個漏洞，於目標系統觸發資料篡改。

                                       Notepad++存在多個漏洞 一、 摘要           Notepad++存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發遠端執行程式碼及洩露敏感資料。

                             駭客鎖定微軟SQL Server進行入侵行動 一、 摘要            資安業者Securonix揭露DB#JAMMER 攻擊活動的一部分威脅參與者正對暴露在外且含有漏洞的微軟MSSQL Server進行暴力破解，其目的是部署名為FreeWorld的勒索軟體。一旦成功存取資料庫系統，便會找出所有資料庫，並偵測環境裡xp_cmdshell功能是否啟用，進而藉此執行Shell命令並進行偵察，以及在伺服器上建立新的使用者帳號windows、adminv$、mediaadmin$，這些帳號全數具備系統管理員（administrators）、遠端桌面連線用戶（remote desktop users）的群組成員身分。另，駭客為讓攻擊順利，也會藉由登錄檔停用系統大部分安全功能，並下達netsh命令停用防火牆。

                              Adobe應用程式開發平臺CloudFusion存在重大漏洞且被用於部署挖礦軟體、後門程式 一、 摘要            今年7月Adobe揭露應用程式開發平臺ColdFusion的預先身分驗證漏洞CVE-2023-29300（CVSS風險評分為9.8），攻擊者可利用該漏洞於遠端發動執行任意程式碼（RCE）攻擊，Adobe雖然已發布相關更新，但資安業者Fortinet觀察到新一波的攻擊行動並指出駭客利用名為interactsh的工具，探測目標ColdFusion平臺是否存在相關漏洞，並嘗試用Base64進行編碼以隱藏自身的惡意酬載發動攻擊，企圖執行未經授權的存取，從而達到遠端控制的目的 。

                                             ASUS RT-AC86U存在Command injection漏洞 一、 摘要           ASUS RT-AC86U Traffic Analyzer之wanStat_detail 功能、AiProtection之資安相關功能、Adaptive QoS 之網頁瀏覽歷史功能、Traffic Analyzer之統計數值功能存在漏洞，遠端攻擊者可以用一般使用者權限登入後，即可利用此漏洞進行Command Injection攻擊，執行系統任意指令，並導致阻斷系統與終止服務。

                            中國駭客散布間諜軟體BadBazaar 一、 摘要            資安業者ESET揭露中國駭客組織GREF的攻擊行動，其駭客組織製作帶有間諜軟體BadBazaar的冒牌即時通訊軟體應用程式，名為FlyGram和Signal Plus Messenger，並在Google Play市集、三星Galaxy Store上架，鎖定烏克蘭、波蘭、荷蘭、西班牙、葡萄牙、德國、香港、美國的Telegram及Signal使用者而來。

                           駭客組織Earth Estries鎖定臺灣組織/單位進行網路間諜活動 一、 摘要           資安業者趨勢科技揭露駭客組織Earth Estries的攻擊行動，該組織自今年初開始針對臺灣、美國、德國、南非、馬來西亞、菲律賓的政府機關與科技業者進行入侵行動 。駭客入侵成功後，會利用 管理者權限掌控既有的使用者帳號，接著部署Cobalt Strike來投放更多惡意程式並展開橫向移動，其藉由 網路資料夾共享（SMB）及WMI命令列工具（WMIC），在受害組織的其他電腦上散布後門程式Zingdoor、HemiGate，竊資軟體TrillClient，和其他作案工具。