這種弱點潛在影響的範圍相當廣泛，不只老舊通訊協定，如：QOTD、Chargen、Echo會受到影響，DNS、NTP、TFTP等較新的通訊協定也無法倖免。值得留意的是，一旦觸發上述漏洞啟動循環回應，攻擊者也無法終止相關攻擊，研究人員估計，可能有30萬臺可透過網際網路存取的主機曝險。

雖然這種攻擊尚未實際出現，但研究人員警告，IT人員應儘速採取行動降低相關風險，因為，攻擊者利用上述漏洞的難度並不高。他們與卡內基美隆大學電腦緊急應變小組協調中心（CERT/CC）進行協調、披露，目前有5家廠商確認受到影響。

1. https://cispa.de/en/loop-dos
2. https://kb.cert.org/vuls/id/417980

Fortra公布去年修補的檔案傳輸工具FileCatalyst重大漏洞

3月13日資安業者Fortra發布公告，指出旗下的檔案傳輸系統FileCatalyst存在重大漏洞CVE-2024-25153，此弱點與資料夾穿越有關，出現在該系統的工作流程（Workflow）入口網站，一旦攻擊者發出特製的POST請求，就有機會從外部上傳檔案到特定資料夾，CVSS風險評分為9.8。

這項漏洞在去年8月發現，影響FileCatalyst 5.x版，當時該公司已推出5.1.6 Build 114版予以修補。但為何現在才發布公告？該公司表示，他們在去年12月取得CVE編號管理者（CVE Numbering Authority，CNA）資格，並因應通報該漏洞的威脅情報業者LRQA Nettitude的請求，將這個漏洞進行列管。LRQA Nettitude也於3月13日，公布該漏洞的細節及概念性驗證（PoC）程式碼。

1. https://www.fortra.com/security/advisory/fi-2024-002
2. https://labs.nettitude.com/blog/cve-2024-25153-remote-code-execution-in-fortra-filecatalyst/
3. https://github.com/nettitude/CVE-2024-25153

已終止維護的WordPress資安外掛程式存在漏洞，恐導致網站遭到挾持

資安業者Wordfence指出，他們在舉辦第2屆漏洞懸賞活動的過程中，收到miniOrange開發的WordPress外掛程式Malware Scanner權限提升漏洞通報，一旦攻擊者加以利用，就有機會在未經身分驗證的情況下，透過更新密碼的管道取得管理員權限，由於超過1萬個網站採用此外掛程式，影響範圍相當廣泛。

然而，該公司的威脅情資團隊對漏洞進行確認的過程中，發現這名開發者另一個外掛程式Web Application Firewall也有相同的漏洞。此漏洞被登記為CVE-2024-2172，影響上述兩款由miniOrange開發的外掛程式，CVSS風險評分達到9.8，3月5日Wordfence向開發者通報相關細節，對方決定停止提供這些外掛程式因應，對此，Wordfence呼籲網站管理者儘速移除，並尋找替代方案。

【資安產業動態】

Pwn2Own Vancouver 2024登場，參賽團隊首日抱走電動車與高額獎金

漏洞挖崛競賽Pwn2Own Vancouver 2024於3月20日、21日舉行，在第1天的賽程當中，參賽者總共找到19個零時差漏洞，贏得73萬美元的獎金。

其中最受到矚目的部分，是Synacktiv團隊針對特斯拉電子控制單元（ECU）進行的單一整數溢位漏洞攻擊，這項漏洞讓他們不僅進帳20萬美元獎金、20個大師積分，還有1輛特斯拉Model 3，而這是該團隊參與Pwn2Own競賽獲得的第2輛汽車。

程式碼儲存庫GitHub推出新工具，自動修補用戶部分程式碼的弱點

3月20日GitHub宣布向Advanced Security用戶提供程式碼自動掃描修復功能（Code Scanning Autofix），借助人工智慧工具GitHub Copilot、程式碼靜態掃描工具CodeQL的力量運作，該功能自動修復的範圍，可以涵蓋約90%的JavaScript、TypeScript、Java、Python程式碼的警告或問題。

此外，該修復工具可提供程式碼建議，讓開發者在幾乎不需要編輯程式碼的情況下，修復超過三分之二的漏洞。

【