而對於本次調查結果，研究人員推測有以下因素造成，其中之一是影子IT（Shadow IT）的問題，未被企業IT列管、卻被員工在工作場合私自使用的IT系統，很有可能被駭客拿來做為社交工程攻擊的媒介；另一個因素則是近年來快速發展的生成式人工智慧（GenAI），雖然ChatGPT能讓企業增加生產力，但駭客也同時拿來用於社交工程攻擊，企圖藉此讓員工帳密流入暗網。

但為何影子IT是導致帳密外洩的主要原因？研究人員並未進一步說明。但我們認為，員工使用影子IT的裝置或服務，企業IT並不知情，無法對其進行管理或是控制，再加上歷經3年的COVID-19疫情後，這種現象變得更加難以管控，而讓帳密曝險的情況惡化。

【漏洞與修補】

混合實境裝置Vision Pro上市在即，蘋果為其修補WebKit零時差漏洞

1月8日蘋果發表Vision Pro，預計2月2日上市，但在此之前，該公司對其進行修補。

31日蘋果對此裝置搭載的作業系統visionOS發布1.0.2版更新，當中修補了已被用於攻擊行動的零時差漏洞CVE-2024-23222，此漏洞存在於瀏覽器排版引擎WebKit，為類型混淆弱點。

但Vision Pro並非唯一曝險的蘋果產品，一週前蘋果也發布iOS 17.3、iPadOS 17.3、macOS 14.3、tvOS 17.3，修補行動裝置、Mac電腦、Apple TV上的漏洞。

Ivanti針對已出現攻擊行動的零時差漏洞著手調查，SSL VPN、NAC產品線又有新漏洞

3週前Ivanti公布零時差漏洞CVE-2024-21887、CVE-2023-46805，該公司SSL VPN系統Connect Secure（ICS）、Policy Secure（IPS）均受到影響，他們針對此事著手進行調查，結果發現了新的漏洞CVE-2024-21888、CVE-2024-21893。

其中，CVSS風險評分較高的是權限提升漏洞CVE-2024-21888，存在於Web元件，攻擊者一旦利用，就有可能取得管理員權限，風險評分為8.8；另一個是伺服器請求偽造（SSRF）漏洞CVE-2024-21893，存在於SAML元件，攻擊者能在無需身分驗證的情況下，用來存取受到管制的資源，CVSS風險評分為8.2。

值得留意的是，該公司指出已有部分客戶受到CVE-2024-21893攻擊，而且，該漏洞不光影響ICS、IPS產品線，也波及零信任閘道系統Ivanti Neurons for ZTA。

【