雲智維報報

  WordPress 外掛程式含有高風險 RCE 漏洞 該外掛下載次數高達 9 萬次 一、 摘要          WordPress 備份用外掛程式 Backup Migration 近日被發現存在一個嚴重漏洞，駭侵者可藉此遠端執行任意程式碼，並取得 WordPress 網站的控制權。該漏洞影響 Backup Migration 外掛程式的所有版本，包括 Backup Migration 1.3.7 在內，影響範圍達近 10 萬網站。

  Microsoft  2023 年 12 月 Patch Tuesday 每月例行更新修補包 修復 34 個資安漏洞(內含 1 個 0-day 漏洞) 一、 摘要          Microsoft 於 2023 年 12 月 12 日釋出例行資安更新修補包「Patch Tuesday」，共修復 34 個資安漏洞，其中包含 1 個 0-day 漏洞。

  Apple 緊急修復 2 個 0-day 漏洞  (CVE-2023-42916、CVE-2023-42917) 呼籲使用者應立即更新 一、 摘要          Apple 日前緊急針對兩個新發現的 0-day 漏洞 CVE-2023-42916 和 CVE-2023-42917 發布較舊產品適用的更新版本作業系統，受影響裝置的使用者應立即套用更新，避免駭客利用這兩個 0-day 漏洞發動攻擊。

WordPress 惡意 外掛程式鎖定電商網站，發動Magecart信用卡側錄攻擊 一、 摘要          惡意外掛程式 WordPress Cache Addons已注入WordPress / WooCommerce電子商務網站，創建並隱藏管理員用戶帳號，並注入惡意 JavaScript 程式碼來竊取信用卡資訊。 二 、存在風險         資安業者Sucuri揭露針對WordPress電商網站的Magecart攻擊行動，駭客尋找網站外掛程式的漏洞，目的是部署名為WordPress Cache Addons的惡意外掛程式，將其植入mu-plugins(./wp-content/mu-plugins/wp_services_.php)，以便在WordPress主控臺將其隱藏，網站管理員只能透過FTP檔案傳輸程式或是特定的外掛程式（如Advanced File Manager），才有機會將其清除。 含惡意程式碼 wp_services_.php [圖片來源：sucuri]         同時駭客篡改了網站外掛程式的主要文件(./wp-content/plugins/woocommerce-gateway-authorize-net-cim/wc-authorize-net-cim.php)並注入惡意代碼，從用戶那裡竊取付款信息，透過假結帳網頁，竊取客戶的信用卡資料。 竊取信用卡資料JavaScript 程式碼[圖片來源：sucuri]      這個假網頁還能顯示信用卡發卡機構，意圖降低使用者的警覺。此外，駭客為了能夠持續控制受害網站，他們也建立了管理員帳號，但這個帳號無法在WordPress主控臺看到。 IOCs: fbplx [.] com  lin-cdn [.] com   194[.]165[.]59 [.]200             建議改善措施： 檢視 mu-plugins 是否有包含非預期使用之外掛程式。 網站管理者應開放最小權限為原則，管理員用戶僅允許特定來源進行登入。 將惡意網域加入防火牆中進行聯防作業。 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。         情資報告連結： https://blog.sucuri.net/2023/12/magecart-wordpress-plugin-injects

駭客集團UAC-0099鎖定烏克蘭組織，利用WinRAR漏洞植入惡意程式LonePage 一、 摘要          駭客組織  UAC-0099 針對烏克蘭的持續攻擊，利用 WinRAR存在安全漏洞(CVE-2023-38831)，允許攻擊者遠端執行任意程式碼，進而 植入 惡意軟體   LonePage  。 二 、存在風險          駭客在攻擊行動中可能會利用法院傳票的名義，向收信人寄送 包含HTA、RAR 和LNK 檔案附件的網路釣魚郵件 ，收信人若是依照指示執行，就有可能觸發偽裝成DOCX文件檔案的捷徑檔（LNK），然後執行帶有惡意內容的PowerShell程式碼。 該程式碼對2個以Base64編碼的大型雙位元物件（BLOB）進行解碼，並將輸出結果寫入特定的VBS及DOCX檔案，接著此程式碼會開啟DOCX檔案當作誘餌，並建立排程工作：每隔3分鐘啟動VBS惡意程式LonePage。此惡意程式向C2伺服器發出請求，並下載鍵盤記錄程式、竊資軟體和螢幕截圖工具，以便在受害電腦進一步發動攻擊。 若是收信人使用WinRAR打開ZIP檔附件，就會觸發該壓縮軟體的漏洞CVE-2023-38831（CVSS風險評分為7.8）。 UAC-0099 攻擊方式[圖片來自：deepinstinct]         IoC： 147.78.46[.]40 196.196.156[.]2 2.59.222[.]98 CVE Payload 54458ebfbe56bc932e75d6d0a5c1222286218a8ef26face40f2a0c0ec2517584 f5f269cf469bf9c9703fe0903cda100acbb4b3e13dbfef6b6ee87a907e5fcd1b CVE-2023-38831 ZIP 986694cad425c8f566e4e12c104811d4e8b30ce6c4c4d38f919b617b1aa66b05 87291b918218e01cac58ea55472d809d8cdd79266c372aebe9ee593c0f4e3b77 Decoy 2c2fa6b9fbb6aa270ba0f49ebb361ebf7d36258e1bdfd825bc2faeb738c487ed 53812d7bdaf5e8e5c1b99b4b9

    Microsoft Edge 遠端執行程式碼漏洞   一、 摘要 於 Microsoft Edge 發現一個漏洞。遠端攻擊者可利用這個漏洞，於目標系統觸發遠端執行任意程式碼。 二 、存在風險           於 Microsoft Edge 發現一個漏洞。遠端攻擊者可利用這個漏洞，於目標系統觸發遠端執行任意程式碼 ， 其影響系統或版本如下 ：   Microsoft Edge (Stable) 120.0.2210.91 之前的版本 建議改善措施：安裝軟件供應商提供的修補程式，並更新至 Microsoft Edge (Stable) 120.0.2210.91 或之後版本           情資報告連結： https://www.hkcert.org/tc/security-bulletin/microsoft-edge-remote-code-execution-vulnerability_20231222

  蘋果產品存在多個漏洞 一、 摘要          於蘋果產品發現一個漏洞，遠端攻擊者可利用這個漏洞，於目標系統觸發資料洩露。 二 、存在風險          於蘋果產品發現一個漏洞，遠端攻擊者可利用這個漏洞，於目標系統觸發資料洩露。 其影響系統或版本如下 ： macOS Sonoma 14.2.1 以前的版本           建議改善措施：請更新至最新版本。           情資報告連結： https://www.hkcert.org/tc/security-bulletin/apple-product-information-disclosure-vulnerability_20231221

  Google Chrome 存在遠端執行程式碼漏洞 一、 摘要            Google Chrome 存在漏洞 ，遠端攻擊者可利用這個漏洞，於目標系統觸發遠端執行任意程式碼。 二 、存在風險               Google Chrome 存在漏洞， 遠端攻擊者可利用這個漏洞，於目標系統觸發遠端執行任意程式碼 ， 其影響系統或版本如下 ： Google Chrome 120.0.6099.129 (Linux) 之前的版本 Google Chrome 120.0.6099.129 (Mac) 之前的版本 Google Chrome 120.0.6099.129/130 (Windows) 之前的版本           建議改善措施： 更新至 120.0.6099.129 (Linux) 或之後版本 更新至 120.0.6099.129 (Mac) 或之後版本 更新至 120.0.6099.129/130 (Windows) 或之後版本                     情資報告連結： https://www.hkcert.org/tc/security-bulletin/google-chrome-remote-code-execution-vulnerability_20231221

    Mozilla 產品多個漏洞 一、摘要： 於 Mozilla 產品發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、彷冒、遠端執行任意程式碼、洩露敏感資料及繞過認證機制。 二、受影響之版本： Firefox ESR 115.6 Firefox 121 Thunderbird 115.6 三、建議改善措施： 在安裝軟體之前，請先瀏覽供應商之官方網站，以獲得更多詳細資料。 更新至版本: Firefox ESR 115.6 Firefox 121 Thunderbird 115.6 情資報告連結： https://www.hkcert.org/tc/security-bulletin/mozilla-products-multiple-vulnerabilities_20231220  

   Zimbra多個漏洞 一、摘要： 於 Zimbra 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發跨網站指令碼、繞過認證機制、篡改及洩露敏感資料。 二、存在風險：  於 Zimbra 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發跨網站指令碼、繞過認證機制、篡改及洩露敏感資料 ， 其影響系統或版本如下 ： Zimbra Collaboration Joule 8.8.15 Patch 45 GA 之前的版本 Zimbra Collaboration Kepler 9.0.0 Patch 38 GA 之前的版本 Zimbra Collaboration Daffodil 10.0.6 之前的版本 三、建議改善措施： 安裝軟件供應商提供的修補程式： https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P45 https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P38 https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.6 情資報告連結： https://www.hkcert.org/tc/security-bulletin/zimbra-multiple-vulnerabilities_20231219    

  OpenSSH 繞過認證機制 一、摘要： 於 OpenSSH 中發現一個漏洞。遠端攻擊者可利用這個漏洞，於目標系統觸發繞過認證機制。 二、受影響之版本： OpenSSH 9.5版本 三、建議改善措施： 安裝供應商提供的修補程式： https://www.openssh.com/txt/release-9.6 情資報告連結： https://www.hkcert.org/tc/security-bulletin/openssh-security-restriction-bypass-vulnerability_20231219        

                                                                                                 慶捷星 CWS 協同開發平台存在多個漏洞 一、 摘要           凱發科技 WebITR 差勤系統存在Hard-coded Cryptographic Key、Error Message Leakage、Arbitrary File Upload和SQL Injection這四種漏洞，該漏洞遭到利用後，允許攻擊者注入任意 SQL 查詢指令以讀取資料庫內容、取得系統內資料與執行相關流程、上傳任意檔案、任意程式碼或中斷系統服務。

                                                                                                慶捷星 CWS 協同開發平台存在多個漏洞 一、 摘要           慶捷星資訊 CWS 協同開發平台存在Broken Access Control、Arbitrary File Upload和Use of Hard-coded Credentials這三種漏洞，該漏洞遭到利用後，允許攻擊者執行任意程式碼或中斷系統服務、執行該登入帳號之權限。

                                                                                                華鼎電通 EasyLog Web+ 數位電話錄音系統存在多個漏洞 一、 摘要           EasyLog Web+ 數位電話錄音系統存在Command Injection、Use of Hard-coded Password和Path Traversal這三種漏洞，該漏洞遭到利用後，允許攻擊者取得遠端主機的管理存取權、讀取網站主機任意系統檔案、執行系統任意指令 。

                                                                                                中華數位科技 Mail SQR Expert存在多個漏洞 一、 摘要           中華數位科技 Mail SQR Expert存在Path Traversal、Command Injection、Side Request Forgey (SSRF)、Local File Inclusion 這四種漏洞，該漏洞遭到利用後，允許攻擊者讀取任意檔案、任意操作、中斷服務或可取得與修改部分系統資訊。

                                                                                               沛盛資訊 OMICARD EDM行銷發送系統存在多個漏洞 一、 摘要           沛盛資訊 OMICARD EDM行銷發送系統存在SQL Injection、Arbitrary File Upload和Path Traversal這三種漏洞，該漏洞遭到利用後，允許攻擊者注入任意SQL語法讀取、修改、刪除資料庫、執行任意程式碼、中斷系統服務或讀取任意檔案。

                                                                                              RedHat Linux 核心存在多個漏洞 一、 摘要           RedHat Linux核心產品發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發遠端執行任意程式碼、洩露敏感資料及權限提升。

                                                                                               ManageEngine Password Manager Pro 存在多個漏洞 一、 摘要           ManageEngine Password Manager Pro 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發資料篡改、跨網站指令碼及洩露敏感資。

                                                                                              Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發遠端執行任意程式碼及繞過保安限制。

                                                                                             Google Chrome 存在多個漏洞 一、 摘要           Google Chrome 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發遠端執行任意程式碼及阻斷服務狀況。

                                                                                            SUSE Linux 存在內核多個漏洞 一、 摘要           SUSE Linux 內核存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料及資料篡改。

                                                                                           蘋果產品存在多個漏洞 一、 摘要           蘋果產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、彷冒、遠端執行任意程式碼及資料洩露。

                                                                                           QNAP釋出QTS 和 QuTS hero的漏洞更新 一、 摘要          QNAP於近期釋出QTS和QuTS hero的漏洞更新，其修補影響多個版本的兩個緩衝區複製漏洞以及cross-site scripting (XSS)漏洞， 緩衝區複製漏洞起因是未檢查輸入的緩衝區大小，進而導致取得管理者授權的攻擊者可以執行任意代碼 。 cross-site scripting (XSS)漏洞則允許遠端攻擊者於易受影響之系統進行注入攻擊。

                                                                                          Apache Struts 存在遠端執行程式碼漏洞 一、 摘要           Apache Struts 存在漏洞，允許遠端使用者利用此漏洞，於目標系統觸發遠端執行任意程式碼。

                                                                                           ChromeOS 存在多個漏洞 一、 摘要           ChromeOS 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況及遠端執行任意程式碼。

                                                                                         Microsoft Edge 存在多個漏洞 一、 摘要           Microsoft Edge 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發遠端阻斷服務狀況、權限提升、執行任意程式碼及敏感資料洩露。

                                                                                    駭客假借WordPress名義，向受害者發送惡意郵件 一、 摘要            WordPress資安顧問Wordfence和PatchStack 揭露近期發現的惡意行動，攻擊者虛構WordPress安全通報的電子郵件，藉以引誘使用者安裝惡意程式，導致網站遭到感染。

                                                                                   資料分析系統Qlik Sense重大漏洞遭到勒索軟體Cactus攻擊 一、 摘要             資安業者Arctic Wolf揭露近期的勒索軟體Cactus攻擊行動，駭客鎖定資料分析系統Qlik Sense的漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365（CVSS風險評分介於8.2至9.9），於目標系統執行程式碼，以及利用PowerShell和背景智慧型傳送服務（BITS）下載其他作案工具，並進行遠端控制。

                                                           SONICWALL SSL-VPN SMA100 VERSION 10.X存在多個漏洞 一、 摘要            SONICWALL SSL-VPN SMA100 存在CVE-2023-44221和CVE-2023-5970漏洞，其 允許遠端攻擊者利用這些漏洞，並在取得授權後，於目標系統觸發遠端執行任意程式碼、繞過MAF及建立帳號。

                                                                                        Google Chrome 存在多個漏洞 一、 摘要           Google Chrome 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發遠端執行任意程式碼及阻斷服務狀況。

                                                                                       三星產品多個漏洞 一、 摘要           三星產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發繞過保安限制、權限提升、遠端執行程式碼、篡改及洩露敏感資料。

                                                                                  攻擊者冒充金融服務業者的名義向使用者寄送惡意電子郵件 一、 摘要             資安業者Perception Point揭露竊資軟體Lumma的攻擊行動，攻擊者冒充金融服務業者的名義，宣稱提供發票並向使用者寄送電子郵件，一旦使用者依照指示點選「檢視及下載發票的按鈕」，便會連線到「網頁無法使用」的網站，使用者被迫回到電子郵件點選另一個URL。研究人員指出，攻擊者的目的就是為了避免第一個按鈕觸發防毒軟體的警報。然而看似無害的網站，只要使用者有點選，就會被重新導向到第二個URL自動啟動 JavaScript指令碼，從而下載包含惡意 酬載在內的多個檔案。 註：  酬載 ：此指檔案包殼，躲避資安設備、防毒軟體及端點的檢測並運送到目的主機的代碼。

                                                                                      Android存在多個漏洞 一、 摘要           Android 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行程式碼及洩露敏感資料。

                                            合勤科技釋出NAS產品的漏洞更新 一、 摘要             Zyxel於近期已釋出NAS產品的漏洞更新，其中三個漏洞可能導致身份驗證繞過和命令注入，CVSS評分高達9.8。

  Okta 資料 洩露擴大影響所有客戶支持系統用戶 一、 摘要            身 分存取管理供應商 Okta 10月遭受駭客攻擊導致資料外洩事件進行調查後發布更新表示，受影響範圍擴大，存取該公司客戶支援系統的用戶皆受影響。 二 、存在風險        11月29日Okta指出，他們確認駭客下載的資料當中，包含所有客戶支援系統用戶的姓名、電子郵件信箱，研判所有Workforce Identity Cloud（WIC）、Customer Identity Solution（CIS）的使用者都可能曝險，但不包含使用FedRamp High、DoD IL4環境的用戶，原因是這些環境採用獨立的支援系統，駭客無從存取。此外，Auth0、CIC的支援案件管理系統也不受影響。 該公司指出，雖然駭客取得的資料多達15種欄位，但不含帳密或敏感個資，且大部分（99.6%）使用者僅有提供姓名和電子郵件信箱，因此影響有限。Okta亦尚未察覺這些資料遭到濫用的跡象。 Okta的合作夥伴BeyondTrust 和 Cloudflare 這兩家客戶已確認在最新的支援系統攻擊中成為目標。Cloudflare表示，攻擊者從Cloudflare員工在Okta支援系統中建立的資料劫持了session token，並利用該tokens，攻擊者於 10 月 18 日訪問了 Cloudflare 系統。  主要有以下幾個風險： 駭客利用網路釣魚攻擊，向受害者發送含有惡意連結的電子郵件或簡訊。 當受害者點擊惡意連結時，將會讓駭客獲得更多詳細信息，以利後續入侵行動。 建議改善措施： 實施MFA進行管理員訪問，最好使用防網路釣魚方法，例如Okta Verify FastPass，FIDO2 WebAuthn或PIV / CAC 。 啟用管理員session綁定，要求從新IP登入需重新驗證管理員session。 根據NIST準則，將session逾時設定為最多12小時，閒置時間為15分鐘。 對網絡釣魚信件提高警覺，不要隨意點擊來自不明來源的電子郵件中的連結或附件。         情資報告連結： https://sec.okta.com/articles/2023/10/tracking-unauthorized-access-oktas-support-system https://sec.okta.co

                                                                                     Ubuntu Linux 核心存在多個漏洞 一、 摘要           Ubuntu 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、權限提升及敏感資料洩露。

                                                                                    蘋果產品多個漏洞 一、 摘要           蘋果產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發遠端執行任意程式碼及資料洩露。