这一星期的漏洞消息中，GitLab在1月初修补的已知漏洞CVE-2023-7028最要留意，因为近期确定了攻击者正开始锁定利用的情况。

还有WordPress Automatic Plugin在两个月前修补CVSS风险评分9.9分的漏洞CVE-2024-27956，由于近期发现攻击者正试图积极利用这项漏洞接管网站，也引发研究人员示警。

关于其他重要漏洞修补，包括：HPE Aruba Networking的4月资安公告中修补了4个重大漏洞，Brocade修补SAN管理软体多个漏洞，以及程式语言R开发团队修补高风险漏洞CVE-2024-27322。

在资安事件方面，这一星期有多起资安事故成为焦点，不只Dropbox向美国证交所（SEC）通报重大资安事故受关注，还有加拿大、瑞典药局与物流业者遭勒索攻击，导致服务或供应中断的事件。
●Dropbox揭露旗下Dropbox Sign数位签章方案（原为HelloSign）遭骇，有部分用户的金钥及MFA验证资讯遭存取，曾接收签章文件的电子邮件信箱恐也外泄。
●加拿大连锁药局London Drugs遭遇网路攻击，导致门市被迫暂停营业。当地80多家门市受影响，并在关闭6天后正逐步开放重新营业。
●瑞典物流业者Skanlog传出遭遇勒索软体攻击，由于该物流与当地国营酒类专卖局Systembolaget合作，因此冲击到当地酒品的供应，预估影响15%销售额。
●福斯汽车传出资料外泄，骇客疑似窃得逾1.9万份涉及智慧财产权的机密资料。

在威胁态势上，我们认为有2项消息需要特别重视，当中涉及了关键CI的攻击态势，以及网钓威胁的现况。我们整理如下：

（一）前几个月美国各地不时传出水力设施等关键CI遭攻击的情况，最近美、加、英等7国网路安全机构联手发布这方面的警告，当中说明骇客使用3种技术手法以远端存取HMI，并对底层OT进行更改，例如：透过VNC通讯协定，滥用VNC的RFB远端框架缓冲协定登入，以及利用5900埠的VNC。另也呼吁这些关键CI组织，应限制OT系统曝光于网际网路，并对所有存取OT网路的途径实施MFA。

（二）近期有资安业者揭露，近半年来假冒美国邮局的诈骗简讯不断，他们进而盘查仿冒美国邮件的网站，有68万个网站带有USPS字样，显然是为了混淆用户而来，他们并从用户的DNS查询量发现，竟有49%都被导向钓鱼网站，这突显了网域名称抢注、网钓攻击仍泛滥的现象。

另一值得注意的是，思科一个多月前指出，发现7个厂牌的设备或服务遭大规模暴力破解攻击，如今Okta也表示，发现针对客户的帐号填充（Credential Stuffing）攻击在4月底呈现大幅增加的情况，并且都是滥用基于合法装置而成的代理伺服器来发起攻击。

至于其他最新恶意活动的揭露，本星期的焦点还包括：僵尸网路Goldoon持续锁定老旧无线路由器，恶意程式Cuttlefish锁定小型路由器并具备零点击攻击能力，以及攻击者滥用Docker Hub映像档储存库出现新手法。

在资安防护方面，国际间有一个重要新闻，英国产品安全暨电信基础设施法PSTI Act于4月29日正式施行，当中明订消费性IoT产品在出厂时，不得采用弱密码或常见预设密码，此举也使英国成为全球首个强制在全国境内推动这项要求的国家。

国内也有两则消息，分别是：GiCS寻找资安女婕思的资安竞赛活动今年第四度举办，以及金管会宣布对于设置资安长的要求将扩及电支机构，预计街口支付、一卡通、全支付、悠游卡这4大业者将在首波范围之内。

至于技术层面，诱饵档案的应用也越来越常见于资安防护，最近也有储存系统厂商宣布，针对勒索软体保护功能新增诱饵档案（Decoy files）方式，以侦测攻击者的非法存取行为。

 

【4月29日】互动式BI系统Qlik Sense危急漏洞遭到锁定，对方利用勒索软体Cactus发动攻击

去年互动式BI系统Qlik Sense修补多个已知漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365，事隔2个月传出骇客组织锁定尚未修补的伺服器下手，对其植入勒索软体Cactus加密档案。事隔5个月，这波攻击的态势并未趋缓，但仍有不少伺服器仍未套用更新软体而曝险。

资安业者Fox-IT指出，截至今年4月17日，曝露于网际网路上的Qlik Sense伺服器超过6成存在前述漏洞，且已有超过100台伺服器遭到入侵。

【4月30日】安卓金融木马Brokewell透过冒牌Chrome更新网页散布

锁定手机的金融木马攻击不时传出，最近研究人员揭露名为Brokewell的恶意程式，并指出该恶意程式能绕过Android 13的防护机制，进而透过侧载的方式执行其他作案工具。

值得留意的是，Brokewell并非首款能绕过上述防护机制的安卓恶意软体，但研究人员认为，攻击者未来应该会透过租赁服务提供其他网路犯罪份子利用，使得该恶意软体危害范围进一步扩大。

【5月2日】Docker Hub遭滥用，被用来散播恶意程式与架设钓鱼网站的映像储存库比例高达2成

在针对Kubernetes环境的攻击行动当中，骇客最常用来传送恶意程式的方式，就是借由映像档储存库Docker Hub，透过拉取恶意Docker映像档来进行，但如今有另一批人马透过完全不同的角度来滥用此映像档储存库。

资安业者JFrog揭露最新一波攻击行动，并指出其共通点，就是骇客建立的储存库都没有Docker映像档。

【5月3日】僵尸网路Goldoon锁定D-Link家用路由器DIR-645老旧漏洞发动攻击

一般而言，僵尸网路攻击行动，往往针对多种类型的设备而来，或是对于多个漏洞发动攻击，但最近资安业者Fortinet揭露的攻击行动，骇客竟只针对单一型号的路由器，以及完成修补的已知漏洞下手。

 

这起攻击行动的特殊之处，在于对方专门对于家用路由器DIR-645而来，且利用已知漏洞CVE-2015-2051发动攻击，而这个漏洞早在9年前就被修补，由此可见，仍有不少该型号设备尚未套用新版韧体而曝险。