昨（6月11日）微软发布本月份例行更新，一共修补49个漏洞，相较于上个月公布多达60个漏洞，已减少一些，而且，稍微值得庆幸的是，这次公布的漏洞尚未发现遭到骇客利用的迹象。

但这次揭露还是有零时差漏洞，因为该漏洞的细节已在数个月前被公布，而这项漏洞与DNSSEC验证机制有关，影响范围可能会相当广泛。

 

【攻击与威胁】

勒索软体骇客TellYouThePass锁定近期公布的PHP重大漏洞

上周台湾资安业者戴夫寇尔针对他们向PHP通报的重大层级漏洞CVE-2024-4577提出警告，呼吁网站管理者尽速套用新版PHP程式，或是采取缓解措施，由于全球有近八成网站采用PHP，这项漏洞很快就有骇客将其用于攻击行动。

在PHP于6日发布新版软体修补上述漏洞，隔日Shadowserver基金会就发现密罐陷阱出现漏洞尝试利用的情况。接著在6月8日，资安业者Imperva发现勒索软体骇客组织TellYouThePass利用这项漏洞从事攻击，他们看到对方成功触发漏洞后，于受害伺服器上执行PHP程式码，利用名为system的功能进行寄生攻击，透过执行档mshta.exe执行攻击者网页伺服器上的HTML应用程式档案，从而部署勒索软体并加密档案。

华邦电发布重讯说明疑似发生资料外泄，起因是合作厂商遭骇

记忆体大厂华邦电子在6月6日傍晚发布资安事件重大讯息，说明他们合作厂商的资讯系统遭不明人士入侵，导致该公司疑似发生资料外泄的状况。

根据华邦电子公告指出，这次事件主要是合作厂商资讯系统遭不明人士入侵，由于合作厂商向他们通报，指出与华邦电合作相关资料有外泄疑虑的状况，因此，华邦电针对这样的情况发布重讯说明。不过，他们并未明确指出是哪家合作厂商的资讯系统遭入侵。

其他攻击与威胁

◆荷兰指出中国骇客锁定全球Fortinet防火墙漏洞从事的网路间谍活动受害规模扩大，逾2万台防火墙遭到破坏

◆中国骇客组织SecShow在全球进行大规模DNS探测行动

◆日本影音共享平台Niconico传出遭到网路攻击，被迫暂停相关服务

 

【漏洞与修补】

微软发布6月例行更新，修补已被公布细节的DNSSEC零时差漏洞

微软于6月11日发布本月例行更新（Patch Tuesday），总共修补49个漏洞，其中有一个零时差漏洞，而引起关注。

此为网域名称系统安全扩充程式（DNSSEC）的设计缺陷漏洞CVE-2023-50868，存在于DNSSEC验证机制当中，假如DNS解析器使用NSEC3回应请求，攻击者可借由要求来自DNSSEC签章区域的回应，就有机会让实作DNSSEC验证机制的解析器耗尽处理器的运算资源，CVSS风险评为7.5分，微软为Windows Server 2012至2022版，发布相关的修补程式。

这个漏洞有几个特别的地方，首先，这项漏洞CVE编号并非微软自行登记，而是由资安团体MITRE所为，而且，登记的时间在今年2月13日，距微软发布修补程式间隔达4个月。

整合开发环境IntelliJ存在重大漏洞，恐曝露GitHub存取凭证

6月11日软体开发业者JetBrains发布资安公告，指出他们在5月29日接获通报，存在整合开发环境（IDE）IntelliJ平台的漏洞CVE-2024-37051，有可能会影响拉取请求而被用于攻击行动，CVSS风险评为9.3分。

该公司指出，这项弱点影响IntelliJ平台所有2023.1以上版本的IDE，只要开发者同时启用他们提供的GitHub外挂程式，就有可能曝险。他们提供新版IDE及外挂程式修补漏洞，并呼吁开发者若曾透过这套IDE拉取GitHub专案，应注销外挂程式所用的Token。

其他漏洞与修补

◆SAP修补Financial Consolidation、NetWeaver高风险漏洞

◆开源机器学习程式库PyTorch存在重大漏洞，恐导致敏感的AI资料遭窃

 

【资安产业动态】

AWS云端安全会议强调资安文化，揭露多项幕后资安利器

「追根究底，资安文化是一切的根源。」AWS资安长Chris Betz在6月11日于美国费城举办的云端安全会议re:Inforce 2024中强调资安文化的重要性。他指出，高阶主管对资安的重视程度是建立文化的重要关键，AWS执行长与资安主管固定每周五与各部门总经理、产品经理与开发人员面对面讨论资安问题，由执行长固定拨出时间讨论资安，足以传达高阶主管对资安的重视程度。

而为了让资安落实能扩及全组织，AWS也透过资安守护者计划，将资安团队的资安专家派驻在各个部门，一起参与软体开发流程，从Spring冲刺规画会议、站立会议到资安审核，提供资安观点的建议，既协助开发安全的软体，也将资安最佳作法传播到全公司上下。

同时，AWS也推动员工自主决策的文化，任何同仁发现资安问题时，都有权力自主判断将资安问题立即升级至必要的等级。Chris Betz指出，在他过往任职的经验中，资安问题等级的提升往往代表负面意涵，然而在AWS的资安文化中，反而是要奖励能及早意识到问题严重性，从而让组织可以更快速采取行动的同仁。

 

【资安关键人物】

社群发展要有意识进行传承，更应提供舞台并让参与者有收获

资安社群在台湾资安产业的发展过程中，扮演重要的关键角色。台湾骇客协会理事长、也是资安公司戴夫寇尔执行长翁浩正表示，早期资安社群的领导者，因为对资安有高度热情并具备理想性，透过分享知识与组织活动为目标，成功凝聚志同道合的人。

由于资安社群拥有独特的文化，例如各种次文化和迷因梗图，翁浩正认为，这些文化元素为社群的参与者，提供归属感和向心力。此外，定期举办的活动也吸引了许多外界的人参与和投入。为了保持社群的发展和存续，翁浩正也意识到，社群的领导者必须开始进行有意识的传承和管理，提供机会给新成员参与组织和活动，鼓励他们发挥创造力和领导能力，这都有助于社群的持续发展。

 

近期资安日报

【6月11日】纽约时报证实内部资料流入地下论坛，程式码储存库帐密资料外流酿祸

【6月7日】勒索软体骇客RansomHub声称入侵老牌笔电制造厂蓝天电脑，引起国际资安媒体高度关注

【6月6日】病理学暨诊断服务供应商Synnovis遭到勒索软体攻击导致伦敦医院服务中断，传出是骇客组织Qilin所为