今年5月總統賴清德走馬上任不久，23日有名自稱已服役14年的飛官表明決定退伍，不想再賭5年，要將時間留個家人，隔日有另一名飛行員向總統陳情，並指出隊上10個人就有9個想要離開，由於這兩篇Dcard文章都是匿名發文，時間又發生在總統就職之後，引發外界猜測文章的真實性，6月初台灣事實查核中心指出這些貼文的諸多疑點，例如根據發文者帳號的學校資訊，空軍查無此人，也沒有飛官選擇在服役13年賠錢提前退伍。但在這段期間，除了空軍出面澄清這些文章都是不實訊息，政府並未出面進一步說明。

事隔3個月，本週調查局發布公告，證實這是境外勢力對臺灣認知作戰，並警告這次手法出現重大變化，駭客先是入侵臺灣網路設備，從而竊得社群網站帳號，然後用來散布不實訊息詆毀國軍，再由駭客控制的中國臉書粉絲專頁、人頭帳號轉載，企圖重創國軍士氣，並嚴重危害國家安全。

其他攻擊與威脅

◆PTT驚傳遭到入侵，駭客聲稱取得3.5萬筆資料

◆安卓惡意軟體NGate濫用NFC晶片竊取信用卡資料

◆勒索軟體Qilin改變攻擊標的，竊取Chrome帳密資料

【漏洞與修補】

協作平臺Slack遭揭露AI功能有漏洞，可能導致私人頻道機密資料外流

過往已有數起資料外洩事故駭客鎖定企業組織的協作平臺Slack下手而得逞，攻擊者往往藉由社交工程手段，成功存取機密內容，但如今有研究人員發現，該系統後來加入的人工智慧系統存在漏洞，恐加劇相關威脅，因為攻擊者在不需得到相關權限的情況下，可藉此竊取機密資料。

資安業者PromptArmor指出，提供使用者透過自然語言查詢Slack訊息的AI功能存在缺陷，使得攻擊者有機會透過操縱用來生成內容的語言模型，竊取使用者輸入私人頻道的任意內容。

針對這項問題的核心，該資安業者表示此為間接提示注入（Indirect Prompt Injection）弱點，原因是對於開發人員產生的系統提示，以及查詢的內容，大型語言模型（LLM）無法正確區分，一旦Slack的AI機器人透過查詢的訊息取得惡意指令，很有可能會認為惡意指令才是必須處理的內容，但不一定會處理使用者的查詢。

SolarWinds發布服務臺系統WHD更新，修補寫死密碼漏洞

本週SolarWinds針對服務臺系統Web Help Desk（WHD）發布資安公告，指出該系統存在寫死帳密漏洞CVE-2024-28987，未經身分驗證的攻擊者有機會遠端存取內部功能或是竄改資料，CVSS風險評分為9.1，該公司發布12.8.3 HF2版予以修補。

值得留意的是，IT人員若要套用修補程式，必須將服務臺系統更新至12.8.3.1813或12.8.3 HF1版，才能部署。

而這已是本月SolarWinds二度對WHD發布資安公告，一週前他們修補另一項遠端程式碼執行漏洞CVE-2024-28986，CVSS風險評分為9.8。

其他漏洞與修補

◆K8s外部存取控制器Ingress-nginx存在身分驗證繞過漏洞

◆應用程式存取控制框架Spring Security存在漏洞，恐導致未經授權存取

【資安產業動態】

HITCON Community 2024在今明兩天舉行

台灣駭客年會社群場HITCON Community 2024這兩天於中央研究院人文社會科學館舉辦，今年將以20 Years Of HITCON：Mind Meld Hacker Spirit From Human To AI為主題，探討技術本質與駭客攻擊手法及思維，並安排超過50個首度公開的零時差漏洞研究議程，其中逾半數為國外講者，突顯這項會議已走向國際化。

值得一提的是，本次適逢台灣駭客年會成立20週年，與會者可見證這個世界級資安研究重要會議的發展，以及智慧型裝置、雲端運算、網路戰爭的出現，大會也強調駭客精神的本質及初衷始終不變，將會引領社群持續前進。

近期資安日報

【8月22日】企業自訂AI副手功能的工具Copilot Studio存在SSRF漏洞

【8月21日】PHP重大漏洞出現攻擊行動，駭客已藉此在臺灣的一間大學院校植入後門

【8月20日】駭客散播可呈現仿造OS更新畫面的執行檔，背後卻是在電腦偷資料