中秋假期间的资安威胁不容小觑，近期有多个攻击行动被揭露，其中两起消息值得留意，一是资安业者揭露中国黑客Earth Baxia今年7月曾针对台湾某个政府机关发动攻击，值得注意的是，该攻击利用GeoServer已知漏洞发动攻击，并植入后门程序EagleDoor；一是发现中国黑客锁定代管企业网站的IIS服务器入侵的情形，主要利用特定的网页应用程序服务来部署Web Shell，而其针对的目标是欧亚地区的企业网站。

●台湾政府机关遭中国黑客Earth Baxia攻击，资安业者指出是其手法是借由GeoServer已知漏洞发动攻击。
●中国黑客DragonRank攻击亚洲、欧洲IIS服务器，还会利用恶意程序PlugX、BadIIS来操纵搜索引擎的排名。
●恶意程序Amadey窃取帐密数据有新招，利用浏览器的Kiosk模式来提升凭证窃取的攻击成功率。
●杀毒业者Dr.Web惊传遭入侵，暂时切断所有服务器的连接。
●台美国防工业会议相关人士遭到锁定，资安业者Cyble揭露发现相关诱饵文件，是伪装PDF文件的Windows捷径档。

在漏洞消息方面，本周有多个漏洞利用状况，我们注意到前不久修补的IE漏洞CVE-2024-43461，出现新的变化——当时微软指出该漏洞并未被大规模利用，一星期后确认该漏洞在修补之前就被利用。
●微软本月修补的Windows MSHTML平台漏洞CVE-2024-43461，后续发现在修补前已遭Void Banshee黑客组织利用。
●Progress在8月底修补WhatsUp Gold的漏洞CVE-2024-6670，资安业者警告已出现实际攻击行动。
●Ivanti修补Cloud Services Appliance已遭利用的2个零时差漏洞：CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修补的漏洞CVE-2024-27348，最近发现遭积极利用。
●多个旧漏洞被美CISA列入已知漏洞利用清单，包括：微软SQL Server报告服务的漏洞（CVE-2020-0618）、Oracle ADF Faces的漏洞（CVE-2022-21445）、Oracle WebLogic Server的漏洞（CVE-2020-14644），以及Adobe Flash Player的漏洞（CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502）。

还有多个漏洞修补消息需尽速因应，包括：GitLab修补CVSS满分漏洞，以及OpenShift、VMware vCenter服务器、新兴AI系统AutoGPT、D-Link Wi-Fi路由器等的漏洞修补。

此外，本星期还有一类型资安新闻也成重要焦点，因为黑客攻击家用连网设备的消息不断，涵盖家用路由器与Android电视机上盒。

例如，僵尸网络Quad7最新一波攻击行动的揭露，继先前TP-Link路由器发现被锁定，如今攻击范围扩大，兆勤（Zyxel）、华硕、Ruckus等厂牌的路由器产品都成锁定目标；还有美司法部宣布破获中国黑客组织Flax Typhoon委由中国业者Integrity Technology Group创建的Raptor Train僵尸网络。

还有130万台Android电视机上盒的固件遭植入后门程序的揭露，研究人员指出这是在今年8月发现，受害设备多为知名度较低的品牌，但尚不清楚感染途径。

由于近年来黑客组织入侵家用路由器来创建自身的物联网僵尸网络，其态势是日益严峻，像是去年美国即拿下中国黑客Volt Typhoon使用的KV-botnet僵尸网络，因此如何持续缓解这方面的威胁，相当关键。

【9月16日】数发部公布亲俄黑客发动大规模DDoS攻击的影响范围

上周四（12日）中租控股、兆丰金控、彰化银行发布重大消息，证实公司部分网站遭遇DDoS攻击而面临服务中断的情况，台湾证券交易所同日也传出受害；亲俄黑客组织NoName057、RipperSec声称是他们所为，但究竟有多少企业组织受害？数位发展部周末召开记者会提出说明。

他们指出这波攻击行动在10日出现，总共至少有45起攻击，大部分受害的企业组织皆能快速应变，短时间就能恢复网站运作。

【9月18日】新兴AI系统AutoGPT漏洞恐波及44万软件代码项目

AI应用当红，这类应用系统的漏洞也随之引起关注。最近有研究人员针对新兴AI系统AutoGPT揭露漏洞CVE-2024-6091，这项漏洞源自于过滤可用的Shell命令机制，一旦被利用，攻击者就有机会运行任意命令。

值得留意的是，AutoGPT受到许多开发者关注，迄今已有超过44万个分叉AutoGPT的软件代码项目，这些项目很有可能也曝露于相关的资安风险。

【9月19日】FBI接管中国黑客架设的大型僵尸网络Raptor Train

针对中小企业、SOHO办公室、家用网络设备而来的僵尸网络，近期有越来越多的情况，继我们昨天报导僵尸网络Quad7最新一波的攻击行动之后，这几天美国政府采取取缔这类行为的行动，接管由中国黑客组织Flax Typhoon经营的僵尸网络Raptor Train。

值得留意的是，这个僵尸网络由超过20个厂牌的网络设备组成，类型涵盖相当广泛，包括：调制解调器、路由器、IP摄影机、网络存储设备等，遭到操控的连网设备数量也相当可观。

【9月20日】中国黑客Earth Baxia利用GeoServer已知漏洞，攻击台湾政府机关

针对地理位置信息服务器GeoServer的重大层级漏洞CVE-2024-36401，自6月得到修补后，隔月便出现相关攻击行动，并引起美国政府注意，将其列为已被利用的漏洞。

半个月前资安业者Fortinet揭露相关漏洞利用攻击的情况，推测黑客很有可能来自中国，本周另一家业者趋势科技也公布调查结果印证这项推测，值得留意的是，他们看到的攻击行动，发生在台湾公部门。

本星期漏洞利用状况一览表

零时差漏洞利用：4个

CVE-2024-38217 ／Windows MOTW保护机制失效漏洞
CVE-2024-38014 ／ Windows Installer不当权限管理漏洞
CVE-2024-43491 ／ Windows Update内存空间释放后利用漏洞
CVE-2024-38226 ／ Publisher保护机制失效漏洞

本星期已知漏洞遭利用：3个

CVE-2024-40766／SonicWall SonicOS的漏洞（8月23日公开，9月6日警告已遭利用）
CVE-2017-1000253／Linux Kernel PIE的漏洞（2017年10月公开，2024年9月9日警告已遭利用）
CVE-2016-3714／开源图像处理软件ImageMagick的漏洞（2016年5月公开，2024年9月9日警告已遭利用）

本星期资安事件重大消息一览表

世铠／上柜钢铁工业／9月9日发布／说明本公司发生网络资安事件
中租-KY／上市其他／9月12日发布／本公司公告官网遭受DDOS攻击事件说明
兆丰金／上市金融保险业／9月12日发布／本公司及证券、票券、投信子公司网站遭受DDOS攻击事件说明
彰银／上市金融保险业／9月12日发布／本行官网遭受网络DDoS攻击事件说明