網釣工具包橫行，近期有不少研究人員公布駭客打造的新工具，但也有駭客更換名稱持續活動的情況。資安業者Trustwave揭露的Rockstar 2FA網釣工具包，就是典型的例子，這個工具包的前身，其實是去年5月出沒的DadSec，而到了去年底，駭客先後更名為Phoenix、Rockstar 2FA，然後持續從事攻擊行動。

研究人員在今年8月看到使用此網釣工具包的大規模網釣攻擊，駭客組織Storm-1575發動對手中間人（AiTM）攻擊，從而攔截受害者的帳密資料，以及連線階段（Session）的cookie，而有機會繞過多因素驗證機制，進而挾持Microsoft 365帳號。

根據他們的觀察，這次對方的主要目標，很可能是想要瀏覽與汽車有關網站的使用者，研究人員從5月開始，發現逾5千個與車輛相關的網域名稱。

一年前揭露的UEFI漏洞LogoFAIL遭到利用，駭客企圖在Linux電腦植入Bootkitty

資安業者ESET揭露第一個針對Linux電腦的UEFI Bootkit「Bootkitty」，但不久後有人結合已知的UEFI韌體漏洞，打造具有實際破壞性的惡意程式。

11月29日專精韌體安全的資安業者Binarly指出，他們近日發現名為logofail.bmp的圖檔，大小為16MB，一旦傳送給Linux電腦，就會在圖片解析過程注入Shell Code，並在UEFI韌體的MokList變數注入惡意帳密，從而套用新的GRUB組態檔案。此檔案能成功繞過安全開機（Secure Boot）防護機制，並將後門程式植入受害電腦。

值得留意的是，這支惡意程式針對具有特定漏洞LogoFAIL（CVE-2023-40238）的韌體而來，若是IT人員並未套用新版韌體，就有可能曝險。

配置臭蟲釀禍，Cloudflare遺失逾半數客戶事件記錄檔案

提供內容傳遞網路及安全服務的Cloudflare坦承，在11月14日因為內部系統一連串的臭蟲，在短短5分鐘的錯誤配置中，遺失了55%客戶事件記錄。

在11月14日，為了支援新的資料集以處理額外的事件記錄類型，Cloudflare更新Logpush的配置，系統需要將此配置傳送給Logfwdr，但配置系統傳送給Logfwdr的檔案卻是空白的，因而觸發了Logfwdr內部的「故障開放」（Fail Open）機制。

儘管Cloudflare很快就發現此事，並在5分鐘內恢復了該變更，但Logfwdr已根據Fail Open發送事件記錄給大量客戶，而Buftee原本有防護機制，卻因配置問題而未被正確啟用，導致Buftee所管理的事件記錄緩衝區數量，很快就從一百多萬個快速增加到4,000萬個。

其他攻擊與威脅

◆德國針對兆勤防火牆漏洞提出警告，證實至少有5家企業受害

◆駭客組織MUT-8694同時針對NPM、PyPI開發者下手，意圖向Windows用戶散布竊資軟體

◆惡意NPM套件鎖定Linux開發人員，偽裝熱門套件散布後門程式

◆犯下Snowflake大規模勒索案的主嫌疑為美國軍人

【漏洞與修補】

研華工控無線基地臺存在重大漏洞，若不修補恐被用於繞過身分驗證、執行任意程式碼

資安業者Nozomi揭露研華科技（Advantech）旗下EKI工控無線基地臺20個漏洞，一旦遭到利用，有可能導致攻擊者在未經身分驗證的情況下，使用root權限遠端執行任意程式碼，從而影響網路設備的機密性、完整性、可用性。

這些漏洞影響EKI-6333AC-2G、EKI-6333AC-2GD、EKI-6333AC-1GPO等3款機型，對此研華針對EKI-6333AC-2G、EKI-6333AC-2GD發布1.6.5版韌體，以及針對EKI-6333AC-1GPO發布1.2.2版韌體，修補相關漏洞。

根據漏洞嚴重程度來看，有6個被評為重大層級，其餘多為高風險層級，僅有1個為中度風險等級。其中，CVE-2024-50370、CVE-2024-50371、CVE-2024-50372、CVE-2024-50373、CVE-2024-50374、CVE-2024-50375皆為CVSS評分達到9.8的危險漏洞，除了CVE-2024-50375與重要功能缺乏身分驗證有關，其他漏洞的成因，則是涉及作業系統命令當中，特定元素的處理不正確。

其他漏洞與修補

◆微軟修補AI、雲端服務、ERP漏洞，已有部分出現攻擊行動

近期資安日報

【11月29日】駭客利用CleverSoar惡意程式於中國、越南電腦散布多種惡意軟體

【11月28日】第一款針對Linux主機的UEFI Bootkit現身

【11月27日】攻擊者串連Firefox與Windows的零時差漏洞，能在使用者毫無察覺的狀況下植入惡意程式