上個月思科針對旗下防火牆用戶提出警告，指出這些設備的VPN服務遭到密碼潑灑攻擊，如今該公司提出新的發現，還有其他廠牌的設備也遭遇類似攻擊。

值得留意的是，不光是VPN系統成為攻擊目標，還有數個廠牌的網路設備也是對方下手的對象，他們透過SSH連線嘗試進行暴力破解攻擊。

【攻擊與威脅】

登入VPN遠端存取別再用簡單或共用密碼！7個廠牌的設備或服務遭到大規模暴力破解攻擊

3月26日思科揭露啟用遠端存取VPN服務（RAVPN）的設備遭遇密碼潑灑（Password Spray）攻擊，當時研究人員Aaron Martin指出其他VPN系統也被殭屍網路Brutus鎖定，最近思科終於證實這個情況。

該公司旗下的威脅情報團隊Talos指出，他們發現從3月18日開始，有人鎖定多個廠牌的VPN系統或SSH服務，從事大規模暴力破解攻擊，VPN系統的廠牌涵蓋思科、Check Point、Fortinet、SonicWall，此外，Miktrotik、居易（Draytek） 、Ubiquiti的設備也遭到鎖定。此外，他們也看到針對遠端桌面的網頁存取服務（RD Web Services）發動攻擊的情況。

不過，究竟Talos公布的資安事故，是否與當時研究人員Aaron Martin公布的殭屍網路攻擊行動有所關連？研究人員並未做出說明。

疑似XZ Utils的軟體供應鏈攻擊手法再度出現，這次是鎖定OpenJS的JavaScript專案而來

開源專案人力資源缺乏是常久以來的現象，若是有人願意出手協助處理臭蟲或是資安漏洞，照理來說，可說是求之不得。但在發生XZ Utils後門的供應鏈攻擊之後，開源界也開始擔憂，攻擊者有可能假借協助的名義成為專案的維護者，並打算等到時機成熟再暗中埋入惡意程式碼。

4月15日OpenJS基金會收到一系列的電子郵件，指出他們代管的熱門JavaScript專案存在危急（Critical）漏洞，要求該委員會採取行動，並指派他們成為該專案的維護者著手處理，但究竟這項專案存在的漏洞為何，對方並未進一步說明。他們懷疑對方企圖依循發動XZ及liblzma供應鏈攻擊模式，趁機混入專案維護團隊，待時機成熟才發動攻擊。對此，他們依循OpenJS專案的資安政策，並未授予這些用戶相關權限。

串流網路電視業者Roku遭遇帳號填充攻擊，57萬用戶恐受波及

4月12日Roku表示，他們近期持續監控可疑帳號的活動，結果發現大規模帳號填充（Credential Stuffing）攻擊行動，有57.6萬個帳號被駭。

該公司指出，他們並未發現系統遭到入侵，也並未發現攻擊者藉由他們的系統取得相關帳密，研判對方使用的帳密資料，很有可能來自使用者在其他服務設置的資料，且與Roku帳號共用密碼，而能得逞。Roku指出，其中有近400個帳號，攻擊者企圖利用帳號儲存的付款方式購買訂閱服務或是商品，但強調對方無法存取完整信用卡卡號等敏感資訊。

駭客組織TA558發動攻擊行動SteganoAmor，透過Office方程式編輯器漏洞散布惡意軟體

資安業者Positive Technologies揭露名為SteganoAmor的攻擊行動，TA558透過看似無害的Excel或Word檔案電子郵件附件啟動攻擊鏈，其共通點是利用微軟Office方程式編輯器漏洞CVE-2017-11882（CVSS風險評分為7.8）。

若是使用者的電腦沒有修補上述漏洞，攻擊者就會設法在這些裝置觸發漏洞、下載Visual Basic指令碼（VBS），該指令碼會抓取特定的JPG檔案，並透過埋藏於其中的PowerShell程式碼，下載經Base64編碼處理的惡意酬載並還原，這些惡意程式包括AgentTesla、FormBook、Remcos、LokiBot、Guloader、Snake Keylogger、XWorm。

值得留意的是，為了避免資安系統察覺異狀，攻擊者不光是將惡意酬載及相關指令碼存放於Google Drive或其他合法的雲端服務，他們也挾持FTP伺服器及SMTP伺服器，來充當C2伺服器，而且，駭客綁架的SMTP伺服器，也會用於發動網路釣魚攻擊。

其他攻擊與威脅

◆逾8萬臺Palo Alto Networks防火牆曝露於重大漏洞CVE-2024-3400

◆遭勒索軟體攻擊的健康保險服務業者UnitedHealth付出逾8億美元的代價

◆殭屍網路病毒藉由TP-Link路由器漏洞CVE-2023-1389散布

【漏洞與修補】

新型態漏洞LeakyCLI恐曝露AWS及Google Cloud帳密

資安業者Orca揭露名為LeakyCLI的漏洞，並指出該漏洞也出現在AWS及Google Cloud Platform（GCP）的CLI，涉及這些雲端平臺的自動化開發流程，一旦使用者將此種命令列介面搭配CI/CD管線流程使用，攻擊者就有機會繞過雲端服務業者設下封鎖機密資訊曝露的標籤，而有機會從事件記錄曝露帳密資料等環境變數。

對此，研究人員通報AWS及Google，但兩家公司皆認為，研究人員的發現符合自家系統的設計規畫，並未打算著手處理。研究人員表示，企業組織應避免將帳密等機密資訊存放於環境變數，而應該將由AWS Secrets Manager這類專屬服務保管，防止曝險。

PuTTY存在私鑰洩露漏洞

4月15日虛擬終端及網路檔案傳輸工具PuTTY發布資安公告，指出該軟體存在嚴重漏洞CVE-2024-31497，此為ECDSA私鑰生成漏洞，攻擊者一旦利用，就有機會恢復P521私鑰並偽造簽章，影響0.68至0.80版PuTTY，維護團隊呼籲，用戶應立即撤銷受影響的私鑰。

該漏洞之所以嚴重，是因為攻擊者不需要長期控制伺服器，或持續擁有存取權，只需短暫入侵使用該私鑰進行身分驗證的伺服器，或是暫時獲得儲存私鑰的Pageant工具存取權限，就有機會獲得簽章。也就是說，攻擊者只需要短暫存取伺服器，即可產生嚴重的後果。

對此，開發團隊發布0.81版修補上述漏洞，放棄過去產生k值的舊系統，針對所有DSA和ECDSA私鑰類型，改用RFC6979演算法來因應。此外，部分版本的FileZilla、WinSCP、TortoiseGit、TortoiseSVN，也採用含有漏洞的PuTTY，用戶應留意開發團隊相關更新公告。

其他漏洞與修補

◆Oracle發布2024年第2季例行更新，總共公布441個修補程式

◆Ivanti修補Avalanche行動裝置管理系統危急漏洞

近期資安日報

【4月16日】部分蘋果用戶遭中國駭客組織鎖定，利用間諜軟體LightSpy進行監控

【4月15日】XZ Utils供應鏈攻擊傳出有新災情

【4月12日】蘋果一口氣對92個國家發出間諜軟體攻擊警報，要求受影響用戶應儘速採取保護措施