最近几年，黑客针对UEFI开机系统打造恶意启动工具（UEFI Bootkit）的情况，约自2020年开始已有数起事故传出，攻击者利用这种工具窜改电脑的安全启动机制，从而突破Windows操作系统的安全防护，甚至是停用杀毒软件与EDR系统。但如今，这类工具也出现专门针对Linux操作系统下手的情形。

资安业者ESET指出，他们近期看到有人在VirusTotal上传未知的UEFI应用程序，文件名是bootkit.efi，经过分析确认是恶意UEFI启动工具，研究人员将其命名为Bootkitty，并指出与过往同类工具最大的不同，在于它是针对Ubuntu操作系统特定版本而开发。

根据分析结果，研究人员认为Bootkitty很可能在早期开发阶段，只是进行概念性验证（PoC），而非积极活动的黑客用来作案的工具，仅管可能没有实际的危害能力，但这代表运行Linux的电脑又多了一个可被侵入的管道，并显示攻击者正积极锁定这类电脑开发相关工具。

文件共享服务器ProjectSend存在重大漏洞，已被用于实际攻击行动

本周资安业者VulnCheck针对文件共享平台ProjectSend重大漏洞CVE-2024-11680提出警告，并指出该漏洞虽然前几天才正式登记CVE编号，但其实是去年就被发现、修补，而且，已有黑客将其用于攻击行动。

ProjectSend是开源文件共享应用程序，该项目在GitHub得到1,500颗星，根据Censys威胁情报平台的分析数据，全球约有超过4千套ProjectSend系统。但资安业者VulnCheck发现，大部分的服务器仍在运行存在漏洞的旧版ProjectSend。

对于漏洞出现实际攻击行动的情况，VulnCheck留意到从互联网存取的ProjectSend服务器约有208台，自9月开始遭到窜改，门户网站的标题变成一长串的随机字符串，而这些字符串的规则，正好与Nuclei与Metasploit加入的漏洞测试规则雷同，换言之，攻击者很可能利用这些规则窜改服务器。

美国证实Array Networks旗下SSL VPN系统重大漏洞已出现攻击行动

1月25日美国网络安全暨基础设施安全局（CISA）发布公告，他们将去年一项重大层级的已知漏洞CVE-2023-28461新列入已遭利用漏洞（KEV）清单，要求联邦机构必须在12月16日完成修补。

这项漏洞存在于安瑞科技（Array Networks）Array AG系列SSL VPN设备，以及虚拟化版本vxAG，原因是重要功能缺乏身分验证机制造成，攻击者有机会利用漏洞读取SSL VPN闸道的本机文件，或是运行任意代码，CVSS风险达到9.8，影响9.4.0.481以前版本的操作系统。安瑞于去年3月9日公布这项漏洞，并于同月17日提供修补程序。

虽然CISA并未透露攻击者如何利用这项漏洞，不过这项资安公告发布的前几天，趋势科技公布中国黑客组织Earth Kasha的最新一波攻击行动里，其中一项用来取得初始入侵管道的SSL VPN漏洞，就是CVE-2023-28461。

其他攻击与威胁

◆黑客组织APT-C-60锁定StatCounter、Bitbucket服务器，意图散布恶意软件SpyGlace

◆恶意程序GodLoader回避侦测出现新手法，黑客滥用游戏引擎感染1.7万台电脑

◆越南黑客通过企业脸书帐号散布窃资软件VietCredCare、DuckTail

◆针对传出遭遇中国黑客入侵，T-Mobile公布最新调查结果

【漏洞与修补】

已终止维护的D-Link调制解调器存在重大漏洞，近6万台设备曝险

11月11日台湾电脑网络危机处理暨协调中心（TWCERT/CC）发布公告，指出D-Link调制解调器DSL-6740C存在一系列漏洞，由于该设备今年初已达到终止支持（EoS）阶段，D-Link将不会进行修补，呼吁用户应汰换设备。由于使用这款设备的用户绝大多数都位于台湾，宽带网络的用户应特别提高警觉。

对此，12日D-Link也发布公告证实此事，并指出这款设备在今年1月15日已经结束支持，强烈建议用户停止使用。

这些漏洞分别是特权API不正确使用漏洞CVE-2024-1108、路径穿越漏洞CVE-2024-11067，以及操作系统命令注入漏洞CVE-2024-11062、CVE-2024-11063、CVE-2024-11064、CVE-2024-11065、CVE-2024-11066，CVSS风险评分介于7.2至9.8。

其他漏洞与修补

◆Palo Alto Networks、SonicWall旗下SSL VPN系统存在新型态漏洞NachoVPN，攻击者有机会为用户端安装恶意更新

【资安产业动态】

重塑对企业资安联防的沟通模式，TWCERT/CC将逐步从传统事件通报提升到关键情资共享

为了提升台湾民间企业的资安能力，不仅依赖个资法对全体企业的规范，以及金管会对上市柜公司提出的各项要求，政府在协助企业提升资安能力方面，台湾电脑网络危机处理暨协调中心（TWCERT/CC）扮演着重要角色。

随着2024年元旦资通安全研究院（资安院）接手TWCERT/CC，各界都关心他们后续如何进一步协助民间企业。4月他们公布发展计划，预告将持续推广共同参与，拉拢更多企业加入TWCERT/CC免费会员，时隔超过半年的此刻，资安院在2024台湾资安通报应变年会，揭露目前最新相关进展。

关于深化情资分享的具体做法，TWCERT/CC最近更是有了全新的策略，强调将以情资为主的沟通，扭转大家对于通报的刻板印象。

「零信任博士」的实践观察，揭示零信任挑战与应用未来

零信任架构（ZTA）在美国政府的推动下，已经成为全球政府与企业积极推动的网络安全架构，台湾从政府到企业也非常认同零信任架构。在这个理论推动的过程中，除了有零信任架构的提出者、现任Illumio传道士John Kindervag，各界称之为「零信任之父」外，另外也有被誉为「零信任博士」（Dr. Zero Trust）的Dr. Chase Cunningham。

Chase Cunningham日前来台参加「零信任架构实践高峰论坛」的媒体专访时表示，零信任架构的核心原则是「永不信任，始终验证」（Never Trust、Always Verify），这一原则彻底颠覆了传统网络安全模型中对内部边界的信任假设。他指出，随着数位化转型、云端技术的普及以及第三方供应商的依赖，对传统的「信任边界」模式已经不再适用，企业需要重新定义网络安全的基石。

近期资安日报

【11月27日】攻击者串连Firefox与Windows的零时差漏洞，能在用户毫无察觉的状况下植入恶意程序

【11月26日】软件供应链业者Blue Yonder遭遇勒索软件攻击，客户受到波及

【11月25日】俄罗斯黑客在军事行动前夕，借由跳版入侵目标组织的无线网络环境