近期針對瀏覽器的零時差漏洞攻擊不時傳出，其中又以鎖定市占率最高的Chrome較為常見，今年已出現9個零時差漏洞，由於採用其排版引擎開發的瀏覽器也相當多，這些漏洞也同樣波及Edge、Brave、Vivaldi等應用程式，因而受到高度關注。

相較之下，利用Firefox未公開漏洞的情況較為少見。最近Mozilla基金會的資安公告引起外界的注意，原因是他們近期修補的一項重大漏洞，已出現實際利用的情況。

【攻擊與威脅】

Veeam備份軟體漏洞遭勒索軟體Akira、Fog濫用，至少發動4起攻擊行動

9月初備份與資料保護軟體廠商Veeam修補旗下備份軟體Backup & Replication漏洞CVE-2024-40711，問題在於，系統對資料的可信度未進行驗證，就進行反序列化處理，攻擊者可在未經授權的情況下，藉由惡意酬載遠端執行程式碼（RCE），CVSS風險評分達到9.8，當時通報此事的資安業者Code White呼籲企業要儘速修補，並認為接下來該漏洞很有可能會遭到勒索軟體駭客利用，如今有研究人員證實這項推論已經成真。

資安業者Sophos指出，他們過去1個月追蹤利用這項已知漏洞的攻擊行動，駭客藉由外流的帳密與該漏洞，嘗試建立帳號並部署勒索軟體Akira、Fog。

勒索軟體駭客利用Backup & Replication已知漏洞的情況已非首例，例如：今年7月，資安業者Group-IB指出有人利用去年3月修補的CVE-2023-27532，企圖部署勒索軟體Estate。

今年初修補的Fortinet資安系統RCE漏洞被用於實際攻擊行動，並得到CISA證實

美國網路安全暨基礎架構安全管理局（Cybersecurity and Infrastructure Security Agency，CISA）本周公告，Fortinet在8個月前修補的重大風險漏洞已發生濫用事件，要求聯邦機構於10月30日前完成修補。

遭到濫用的漏洞為CVE-2024-23113，為FortiOS防火牆作業系統fgfmd程式的格式化字串漏洞，攻擊者可透過操弄輸入的訊息格式觸發，而在未經授權情況下在FortiOS執行任意程式碼或指令，本漏洞風險值達9.8，Fortinet已在今年2月修補。

值得留意的是，CVE-2024-23113影響Fortinet多項產品，包括防火牆FortiGate、網頁安全閘道FortiProxy、特權存取管理FortiPAM、交換器集中管理平臺FortiSwitch Manager。

富達投資被駭，7.7萬客戶資料外洩

跨國金融業者富達投資（Fidelity Investments）本月稍早通報州主管機關，公司系統遭駭客存取，致使大約7.7萬名客戶個資外洩。

富達投資已在本周以電子郵件通知受影響消費者。根據該公司提供給官方的文件，在今年8月17到19日之間，外部組織利用2名客戶新增的帳號非授權存取了公司系統，並取得客戶資料。該公司立即採取行動切斷了存取管道。

富達提供給另一個州政府的文件中，透露這次外洩的客戶個資包含社會安全號碼、駕照號碼、銀行帳號，這是最近1年富達第5起資料外洩事故。

Internet Archive遭駭，逾3,100萬筆帳號外洩

網際網路檔案館（Internet Archive，IA）周三（10月9日）遭到駭客入侵，駭客塗改了該平臺的首頁，宣稱其安全性弱不禁風，而且已與Have I Been Pwned（HIBP）分享了所盜走的逾3,100萬筆帳號。

1996年成立的IA為一非營利組織，定位為數位圖書館，宗旨為讓所有的知識普遍化，於是該站搜集了各式各樣的數位內容，包括網頁、軟體、遊戲、音樂、影片及數百萬本圖書，最有名的工具之一是「時光機」（Wayback Machine），允許人們存取特定時間、或許已經消失的網頁。

Internet Archive創辦人Brewster Kahle證實確有此事，表示該網站遭到分散式服務阻斷（DDoS）攻擊，駭客藉由JS程式庫進行汙染，外洩了使用者名稱、電子郵件，以及經加鹽處理的密碼。該平臺緊急關閉JS函式庫，全面清理系統，同時升級安全機制因應。

其他攻擊與威脅

◆駭客濫用萬國碼在電商網站埋藏側錄工具Mongolian Skimmer

◆俄羅斯駭客APT29鎖定Zimbra、TeamCity伺服器下手

◆卡西歐傳出遭到網路攻擊

【漏洞與修補】

Mozilla發布Firefox更新，修補已遭利用的零時差漏洞

10月9日Mozilla基金會發布資安公告，緊急修補Firefox重大層級的零時差漏洞CVE-2024-9680，這項漏洞由資安業者ESET通報，存在於Animation元件的時間軸，為記憶體釋放後再存取使用（Use After Free）漏洞，CVSS風險評分達到9.8（滿分10分），該基金會發布Firefox 131.0.2，以及長期支援版（ESR）128.3.1、115.16.1修補。值得留意的是，已有攻擊者試圖利用這項漏洞。

針對這項漏洞帶來的影響，Mozilla基金會指出，攻擊者若是觸發漏洞，就有機會藉由Animation元件的時間軸，引發記憶體釋放後再存取使用的現象，而能在特定處理程序執行程式碼。

他們特別提及，已接獲漏洞被實際利用的通報。究竟駭客如何利用漏洞？該基金會並未進一步說明。

Palo Alto Networks修補產品轉移工具重大漏洞

資安業者Palo Alto Networks發布安全公告，修補平臺轉移工具Palo Alto Networks Expedition的重大風險漏洞，這些弱點可能用於遠端程式碼執行、密碼外洩與釣魚攻擊。

這批修補的漏洞包括編號CVE-2024-9463到CVE-2024-9467的7項漏洞，皆與防火牆組態轉移工具Expedition有關。根據CVSS風險評分，其中，以作業系統命令注入漏洞CVE-2024-9463及CVE-2024-9464最為嚴重，資安風險各為9.9分與9.4分，能讓攻擊者以root權限執行任意指令，濫用漏洞皆能導致執行PAN-OS作業系統的防火牆的使用者名稱、明文儲存的密碼、裝置配置和裝置API洩露。

另一個被列為重大層級的是SQL注入漏洞CVE-2024-9465，濫用的結果可導致未經授權的攻擊者外洩Expedition資料庫內容，導致密碼雜湊值、用戶名稱、裝置配置和裝置API曝光，攻擊者還可利用這些資訊在Expedition系統讀取和新增任意檔案。該漏洞風險值為9.2。

其他漏洞與修補

◆GitLab發布17.4.2新版，修補任意分支管道執行漏洞

◆Adobe修補電子商務平臺重大層級漏洞

【資安產業動態】

Gogolook揭露併購ScamAdviser的後續發展

隨著防詐需求持續成長，臺灣廠商的發展動向與成長情形，也成各界關切焦點。以阻擋惡意電話與簡訊Whoscall聞名的Gogolook（走著瞧-創），去年在創新板掛牌上市、今年5月則宣布併購荷蘭數位防詐服務商ScamAdviser。

在併購案宣布4個月後，該公司於9月24日首度公布最新的全球發展策略，當中宣布一項重大轉變，未來將以ScamAdviser為品牌，加速拓展全球企業防詐市場，希望從東亞切入更廣泛的國際市場。

在這次改變下，企業端防詐領域的ScamAdviser將成為Gogolook的三大事業體之一，其他事業體則是消費防詐領域的Whoscall，以及金融科技領域的袋鼠金融。

近期資安日報

【10月9日】零信任之父第一手導讀零信任架構

【10月8日】美國水力關鍵基礎設施再傳遭遇網路攻擊

【10月7日】親俄駭客傳出再度發動DDoS攻擊，多家上市櫃公司網站受到影響