10月初这一周的新闻，以强台来袭前即影响全台最受关注，但资安新闻中也有不少重要消息需要我们重视。

台湾资安政策发展就是主要焦点之一。随着7月行政院将《资安法》修正草案送交立法院，现阶段已通过一读，由于这是实施超过五年来的大修法，iThome本月封面故事特别进行最新现况报导，帮助大家掌握修法重点，例如，《资安法》修订中最受关注的议题之一，莫过于「禁用危害国家资通安全产品」的条文，其他还包括扩大稽核范围、资安人员的适任性查核等。另一方面，对于这次修法有法律专家提出建言，指出应要打破官民分治的架构，才能更好提升整体国家的资通安全管理能力。

在资安威胁与事件方面，有两起事件值得大家重视，一是Rackspace遭遇资安事故并说明发生原因，是因为内部使用的第三方平台监控系统ScienceLogic EM7存在零时差漏洞所导致，由于ScienceLogic是台湾的飞立德科技，其后续应对与回应值得追踪与关注；另一事有黑客利用提供AI裸照生成器DeepNude的服务，当作吸引受害者上当的手段之一。

●云端运算平台Rackspace内部系统遭骇，已通知其用户可能信息外泄，并指出问题出在他们使用的第三方应用程序ScienceLogic。
●资安业者有资安业者发现属于俄罗斯黑客组织FIN7的大量网域，当中所属7个网域是利用DeepNude来吸引与诱骗受害者。
●黑客组织Storm-0501最新一波攻击行动锁定美国多个政府部门与制造业，微软公开其手法聚焦破坏混合云环境的Entra ID。
●第一商业银行公告第e个网遭受网络DDoS攻击事件
●乐天信用卡遭黑客攻击未紧急应变，金管会列6大缺失、罚250万。

在漏洞利用方面，本星期有6个漏洞利用状况，一是企业级协同办公套件Zimbra Collaboration Suite（ZCS）在9月初修补的重大漏洞CVE-2024-45519，资安业者Proofpoint在10月1日示警，指出自9月28日观察到有黑客锁定未修补用户的攻击活动，另一是Ivanti5月修补Ivanti Endpoint Manager的漏洞CVE-2024-29824 ，该公司近期更新公告，确认遭利用且有限数量的客户已成为目标。

另外4个近期确认有攻击行动锁定的老旧漏洞，则包括：D-Link DIR-820路由器的漏洞（CVE-2023-25280 ）、DrayTek多款Vigor Routers的漏洞（CVE-2020-15415）、Motion Spell的GPAC软件的漏洞（CVE-2021-4043 ），以及SAP Commerce Cloud的漏洞（CVE-2019-0344）

在资安漏洞修补与揭露方面，本星期这方面的报导相当多，最优先要注意的是Unix通用打印系统（CUPS）一系列漏洞的修补，因为这广泛影响Linux及Unix操作系统。此外，还有多家业者的产品安全公告发布，包括：居易、HPE Aruba、WatchGuard、Progress的WhatsUp Gold等，特别的是，在TWCERT/CC的台湾漏洞揭露平台（TVN）上，新公开了普莱德科技旗下交换器大量漏洞，而普莱德也已针对市售机种发布新版固件修补。

在车用资安方面的消息，更是引发不少人忧心，因为汽车大厂Kia网站被发现有漏洞可让攻击者骇入并控制车子，2013年以后车款都受影响，所幸知名白帽黑客Sam Curry先发现这样的问题，Kia也已在接获通报后于8月修补。

其他还有云端、BMC基版的漏洞消息，需要不同产业的关切。例如，Nvidia Container Toolkit的漏洞（CVE-2024-0132）修补，由于全球有3成云端环境都安装有该函数库，研究人员呼吁尽速因应；另一是7月Supermicro修补了由Nvidia通报的BMC重大漏洞（CVE-2024-36435），9月底资安业者Binarly揭露更多研究发现，强调这是今年最严重的BMC漏洞。

【9月30日】Unix与Linux普遍内置的打印系统CUPS存在重大漏洞

最近几天有许多漏洞相关的消息揭露，其中有一起引起资安圈的高度关注，原因是透露此事的研究人员指出，漏洞的CVSS风险评分达到了9.9，而且，这样的漏洞存在于Unix与Linux普遍内置的打印系统CUPS当中，可能有数十万台设备曝险。

这样的情况，一度有人认为可能会造成类似Log4Shell的危机，而使得资安圈不敢掉以轻心。

【10月1日】黑客组织Storm-0501将攻击范围延伸到云端环境

为了让攻击行动带来更大的危害，不少黑客将范围从受害组织的内部网络环境，延伸到云端环境。最近微软揭露黑客组织Storm-0501的攻击行动，就是典型的例子。

研究人员特别提及这些黑客作案手法与过往最大的不同之处，在于他们对云端身分管理服务Entra ID、Entra Connect等组件进行渗透，得逞后于云端环境植入后门程序，以便存取受害组织的内部网络环境。

【10月4日】黑客假借提供AI脱衣程序为诱饵，企图散布恶意软件

生成式AI应用越来越广泛，其中部分存在道德及法律争议，而最常见的一种便是所谓的脱衣程序。

如今有黑客假借提供这种非法工具的名义，引诱用户上当，他们架设钓鱼网站展示效果，并诱惑用户下载「应用程序」，一旦依照指示下载、安装，电脑就会被植入恶意软件。