專精蘋果裝置管理的資安業者Jamf指出，他們在10月下旬，在上傳到惡意程式分析平臺VirusTotal的檔案裡，發現北韓駭客企圖利用跨平臺應用程式框架Flutter做為散佈macOS惡意軟體的管道，由於採用這款框架打造的應用程式會導致其程式碼變得更加複雜，而有可能讓攻擊者藉此逃過各式資安防護機制的偵測。

研究人員發現這些惡意程式檔案存在攻擊意圖，但所有防毒引擎皆將其視為無害，而且，這些惡意軟體還帶有簽章，並通過蘋果的公證程式。對於駭客的意圖，他們表示目前仍不得而知，無法確定是否已被用於實際攻擊行動，或是攻擊者正在打造、測試新的惡意程式。

雖然無從得知攻擊者是正在進行測試，還是已經準備投入攻擊活動，但研究人員指出，這是他們首度看到有人利用Flutter掩人耳目，並且企圖以此對macOS用戶發動攻擊的情形。

Amazon坦承員工資料在MOVEit相關資安事件中外洩

網路電商及平臺大廠Amazon坦承，他們受到去年5月的MOVEit漏洞事件波及，公司員工的資料已經外洩。該公司獲報，一家物產管理廠商的資安事件影響包括Amazon在內的客戶。外流資料主要是員工聯絡資訊，像是公司電子郵件、室內電話、大樓地址。這家電商龍頭強調，Amazon和AWS的系統都沒有被駭。此外，Amazon透露，這「第三方廠商」無法存取更為敏感的個資，像是社會安全號碼或財務資訊。

該公司坦承資料外洩的原因，是使用Nam3L3ss為ID的人士於駭客論壇當中，聲稱握有包含Amazon等超過20家知名企業的資料，而Amazon遭到公佈的280萬行資料，來自該公司使用的MOVEit Transfer檔案傳輸系統。

其他攻擊與威脅

◆伊朗駭客發起Dream Job攻擊行動，鎖定航太產業散佈惡意軟體SnailResin

◆惡意工具GoIssue聲稱可對GitHub用戶大規模從事網釣攻擊，開發者號召打手採用

【漏洞與修補】

微軟發布11月例行更新，修補4個零時差漏洞，其中2個已被用於實際攻擊

11月12日微軟發布本月份例行更新（Patch Tuesday），總共修補89個漏洞，其中有26個權限提升漏洞、2個安全功能繞過漏洞、52個遠端程式碼執行（RCE）漏洞、1個資訊洩露漏洞、4個阻斷服務（DoS）漏洞，以及3個能被用於欺騙的漏洞。值得留意的是，本次有4個是零時差漏洞，這裡麵有2個已出現實際利用的狀況。

4個零時差漏洞分別是：NTLM雜湊值洩露欺騙漏洞CVE-2024-43451、AD憑證服務（ADCS）權限提升漏洞CVE-2024-49019、Windows工作排程器權限提升漏洞CVE-2024-49039、Exchange伺服器欺騙漏洞CVE-2024-49040。其中，CVE-2024-43451、CVE-2024-49039已出現實際攻擊行動；在此同時，除了CVE-2024-49039是現在揭露，其餘3個漏洞資訊皆已遭到公開。

Adobe發布11月例行更新，修補旗下6款應用程式重大漏洞

11月12日Adobe發布資安公告，針對旗下Adobe Bridge、Adobe Commerce、After Effects、Audition、InDesign、Illustrator、Photoshop、Substance 3D Painter等多項產品發布安全性更新，總共修補48個漏洞，值得留意的是，這次超過半數為重大漏洞，再者，除了Audition、Bridge，其餘6項應用程式皆存在重大漏洞。

單就重大漏洞數量來看，Adobe為Substance 3D Painter修補16個漏洞居冠，這些都有可能讓攻擊者執行任意程式碼，CVSS風險評分皆為7.8。而且，這些漏洞類型大部分屬於越界寫入（Out-of-bounds Write，OBW），總共有11個，其次有3個為記憶體緩衝區溢位漏洞，另有2個分別為記憶體重複釋放（Double Free）漏洞、不受信任的搜尋路徑漏洞。

SAP針對Web Dispatcher修補高風險XSS漏洞

11月SAP發布8個資安公告，並更新其中2個已公開的漏洞資訊，其中最受到注意的部分，是CVSS風險評分最高的CVE-2024-47590，影響的產品是應用程式負載平衡系統Web Dispatcher，屬於跨網站指令碼（XSS）弱點，危險程度為8.8分。

針對這項漏洞帶來的危險，SAP指出未經身分驗證的攻擊者能製作能公開存取的惡意連結，一旦有通過身分驗證的使用者點選，網頁便會在使用者的瀏覽器以輸入資料產生內容，進行跨網站指令碼攻擊，或是將這些資料傳送到其他伺服器，進行伺服器請求偽造（SSRF）攻擊，導致攻擊者能夠執行任意程式碼，從而影響伺服器的機密性、完整性、可用性。

其他漏洞與修補

◆Citrix修補NetScaler設備高風險的記憶體安全漏洞

◆施耐德電機針對Modicon控制器漏洞提出警告

◆西門子遠端監控系統TeleControl Server Basic存在風險滿分漏洞，未經身分驗證的攻擊者可執行任意程式碼

【資安產業動態】

思科產品功能整合大進化，涵蓋網路、AI、資安，同時發表首款企業級Wi-Fi 7基地臺

【澳洲墨爾本現場報導】以網路設備起家的思科，近年來不斷拓展其技術版圖，不僅資安產品涵蓋的面向越來越廣，去年他們更是併購Splunk、推出了Cisco AI Assistant，持續引發業界關注，也讓外界對其發展感到更加期待。

今年的思科亞太區年度用戶大會Cisco Live!，於11月12日在澳洲墨爾本市召開，該公司亞太、日本和大中華區總經理Dave West在第一天活動主題演講，談到思科的重要轉變，他說：「要成為一家成功的網路公司，必須具備頂尖的資安實力；而要成為領先的資安公司，則需要強大的AI能力，而為了成為AI公司，有賴於成為一流的資料公司。」

於此同時，思科也在本次大會上，發表了全新世代的無線網路設備──首款Wi-Fi 7基地臺。雖然，這看起來只是無線網路規格的升級，但我們注意到思科在相關整合上的顯著進步，涵蓋無線網路解決方案本身，以及AI、資安，以及思科各種網路產品的相關整合。

近期資安日報

【11月12日】多組駭客透過SEO下毒手法，將使用者導向冒牌電子商務網站

【11月11日】6.1萬臺D-Link網路儲存設備存在重大層級命令注入漏洞

【11月8日】德國提出刑法修正草案，確立資安漏洞研究的合法地位