回顧10月第四周的資安新聞，在資安防禦方面有兩大重要焦點，一是CMMC國防產業安全供應鏈的發展態勢，一是Passkey無密碼登入的最新進展。

（一）美國國防部在10月15日於聯邦公報正式公布研擬已久的CMMC規則，60天後將正式生效實施。這意味著，該國國防部將開始要求業者，必須取得新的CMMC相關認證，才能參與合約競標與履行，顯示該國逐步加強對國防承包商的網路安全要求。
（二）關於Passkey的新聞有兩大焦點，一是FIDO聯盟為了改善Passkey的用戶體驗，宣布將聚焦於安全憑證交換可攜的推動，新公布CXP與CXF這兩個規範草案；另一是Amazon宣布將擴大支援Passkey，不只去年導入於其購物平臺，明年將讓其他應用及服務也支援。

在資安事件方面有3則消息，其中卡西歐遭勒索軟體攻擊的事件最受關切，因為該公司遭攻擊後發生部份伺服器故障狀況，並導致多個系統停擺；臺灣有兩家上市公司揭露資安事件，巧合的是，友訊、神腦這兩家業者遭受攻擊的時間相近，且都屬通信網路業。

●卡西歐於10月11日於公司網站發布資安事故公告，指出在5日遭遇勒索軟體攻擊，已有Underground駭客組織宣稱犯案。
●友訊科技於10月15日說明資安事件的處理及因應，指出一臺外網伺服器遭受駭客攻擊。
●神腦國際於10月16日說明發生網路資安事件，指出外部伺服器遭受駭客攻擊。

還有一起值得我們警惕與留意的事件，奧丁丁被揭露Amazon S3 bucket因配置不當而曝露在網際網路上，由於曝險資料有9成均涉及臺灣旅客引發關注，該公司表示部分資料可能遭未經授權存取。

在威脅態勢上，以EDRSilencer紅隊演練工具遭濫用是主要焦點，有資安業者針對此情形示警，指出有利用該工具的攻擊行動，能干擾市面上16款EDR資安產品運作。值得注意的是，上月臺灣無人機製造商遭攻擊被揭露，亦曾提及攻擊者使用EDRSilencer的情形，顯示此類威脅已在臺灣實際發生。

●有駭客將紅隊演練工具EDRSilencer納入武器庫，資安業者呼籲防守方要提高警覺，因為該工具能影響16款EDR系統的運作。
●金融業注意，有資安研究人員揭露北韓駭客散布惡意軟體FASTCash，指出其意圖是洗劫提款機。
●新一波針對Python開源軟體生態系的攻擊被揭露，這次手法之所以受注意，是因為攻擊者濫用軟體套件管理系統中的Entry Point命令列工具機制。

在漏洞利用方面，有兩個已知漏洞遭利用的消息，一是SolarWinds在8月修補的Web Help Desk憑證寫死漏洞，近日發現有攻擊者正積極利用。

另一是微軟6月修補的Windows Kernel TOCTOU競爭條件漏洞CVE-2024-30088，如今發現伊朗駭客組織OilRig正鎖定利用，且近期目標是石油及天然氣的關鍵基礎設施。

在漏洞修補動向上，我們認為最要注意的是，Kubernetes資安回應團隊修補映像檔製作工具Image Builder的2項漏洞，該漏洞將讓攻擊者有機會以root權限存取虛擬機器。至於其他重要修補，包括：Spring Framework、Ubuntu身分驗證元件Authd，以及Apache Avro軟體開發套件的修補，還有GitHub、兆勤、Moxa、互動資通、趨勢科技、F5的產品漏洞修補。

【10月14日】Windows核心漏洞傳出遭伊朗駭客OilRig利用

上週末有數起攻擊行動引起資安圈高度關注，其中一起就是伊朗駭客OilRig對於阿拉伯聯合大公國（UAE）及周邊海灣地區攻擊升溫，而其中一種提升權限的方法，就是利用今年6月微軟公告的已知漏洞CVE-2024-30088。

值得留意的是，這些駭客向來針對石油及天然氣相關的關鍵基礎設施下手，一旦得逞，很有可能左右這些能源的供應。

【10月15日】北韓駭客針對支付處理系統散布惡意軟體

美國曾在2018、2020年警告北韓駭客利用名為FASTCash的惡意軟體，針對金融機構支付相關系統下手的情況，事隔4年，這些駭客擴大攻擊範圍，對於更多型態的支付系統開發專屬的FASTCash。

值得留意的是，這次他們鎖定的目標，是執行特定版本Ubuntu的支付處理系統，相當具有針對性。

【10月16日】臺灣區塊鏈旅宿平臺業者雲端儲存庫疑似因配置不當，而可能曝露旅客資料

雲端環境的配置不設防情況，不時有事故傳出，但過往公布曝露危險的多半是國外的企業組織，而在最近一起資安事故裡，有研究人員發現臺灣區塊鏈業者所有的資料庫。

值得留意的是，在此儲存桶曝露的個資當中，超過9成電話號碼都是臺灣用戶所有，實際影響情況有待後續觀察。

【10月17日】Kubernetes映像檔製作工具存在重大漏洞

最近幾年針對微服務管理平臺Kubernetes而來的攻擊行動，不時傳出相關事故，這樣的情況也使得不少研究人員調查這類系統的弱點，例如：出現在特定組態Azure Kubernetes服務（AKS）的權限提升漏洞WireServing，以及Google Kubernetes Engine（GKE）重大風險漏洞Sys:All，該漏洞能讓任何具有Google帳號的攻擊者接管配置不當的Kubernetes叢集。

本月Kubernetes修補映像檔建置工具（Image Builder）的漏洞也相當值得留意，因為這些弱點有機會讓攻擊者取得虛擬機器（VM）的root權限。

【10月18日】紅隊演練工具EDRSilence遭濫用，16種EDR系統可能因此被「噤聲」

過往駭客濫用防守方滲透測試工具的情況相當頻繁，最常見的是Cobalt Strike，利用Brute Ratel C4（BRC4）的情況不時傳出，但今年，出現駭客鎖定紅隊演練工具的現象。

繼上個月思科揭露有人使用名為MacroPack的紅隊演練框架打造惡意檔案，本週資安業者趨勢科技針對另一款工具EDRSilencer遭到濫用的情況提出警告，並指出已有駭客將其當作重要武器。