【資安日報】2022年11月7日，製藥廠AstraZeneca傳伺服器帳密不慎暴露，中國漏洞揭露政策導致國家級駭客先行濫用日益明顯

有資安業者發現知名製藥廠AstraZeneca的伺服器帳密，居然在程式碼儲存庫GitHub被公開，而使得部分用戶的資料可能曝光。該製藥廠已證實此事，但不願說明這些資料為何會被用於開發測試環境。

中國在去年立法要求研究人員必須向政府通報漏洞，此舉讓外界認為當局很可能會將這些漏洞提供給國家級駭客運用。如今微軟的資安研究團隊提出相關的證據，並指出多項重大漏洞都是中國資助的駭客第一個用於攻擊行動。

商用大數據搜尋與分析軟體廠商Splunk上週修補9個漏洞，其中4個被評為高風險等級。若不修補，這些漏洞可被用於執行遠端命令（RCE）、XML外部實體注入（XXE）、反射式跨網站指令碼（Reflected XSS）攻擊。

【攻擊與威脅】

資安業者SpiderSilk向新聞網站TechChruch透露，有個開發者不慎在程式碼儲存庫GitHub上，曝露製藥廠AstraZeneca內部伺服器的帳密，一旦取得這些帳號資料，就能夠存取該公司的Salesforce客戶關係管理平臺，在這套CRM系統當中，存放了一些病人的資料，以及藥物處方費用儲蓄系統AZ&ME應用程式的部分資料。TechChruch向該製藥廠通報後，對方已關閉該儲存庫。

AstraZeneca表示，此起事故是使用者錯誤造成，導致有人能夠透過開發者平臺能夠暫時存取到部分資料記錄，他們已在收到通報後，立即停用這些資料的存取，目前正著手調查根本原因，以及探究法規遵循層面的責任，然而，該公司並不願透露為何會將病人資料存放在開發測試環境裡，以及這些資料是否遭到異常存取。

中國政府，要求發現網路系統安全漏洞的研究人員與組織，必須在2日內先向該國工業和信息化部通報，且不得將相關資訊透露給境外人士。這樣的政策，使得中國政府撐腰的駭客很可能會利用這些零時差漏洞發動攻擊，如今外界的疑慮也被證實。

微軟於11月4日發布2022年數位防禦報告，當中提及在中國政府在實行上述的漏洞揭露法律後，有許多重大漏洞都是中國的國家級駭客首先利用，這些漏洞包含了檔案共享系統SolarWinds Serv-U的漏洞CVE-2021-35211、AD自助管理平臺Zoho ManageEngine ADSelfService Plus的CVE-2021-40539、服務臺Zoho ManageEngine ServiceDesk Plus的漏洞CVE-2021-44077、郵件伺服器系統Exchange的反序列化漏洞CVE-2021-42321，以及Atlassian Confluence漏洞CVE-2022-26134等。

根據資安新聞網站The Record的報導，波音旗下的日本子公司Jeppesen於11月3日於網站上公告，表示該公司提供的部分產品及服務面臨技術問題，客戶若需要協助，可透過網站聯繫，電話支援暫不提供。該公司亦指出，這起事故亦影響通知飛行員（Notice To Airmen，NOTAM）的服務。

波音公司向The Record透露這是網路安全事故，正在復原相關服務的運作。旅遊專家Matthew Klint取得知情人士的說法，此起事件很可能是勒索軟體攻擊。

根據資安新聞網站Security Affair的報導，10月29日，專為丹麥鐵路經營者提供資產管理的業者Supeo遭到網路攻擊，導致當天早上該國各地的火車停止行駛，直到約下午1時才恢復。駭客針對此業者架設的Digital Backpack 2系統發動攻擊，這是提供火車司機以行動裝置存取重要訊息的系統。有專家推測這可能是勒索軟體攻擊。

大型火車營運業者DSB則表示，Supeo向他們透露，駭客入侵了測試環境而引發這起事故。

【漏洞與修補】

Splunk於11月2日發布資安通告，表示他們針對Splunk Enterprise修補了9個漏洞，當中包含4個CVSS風險評分達8.8分的高風險漏洞，這些漏洞可被用於執行遠端命令（RCE）、XML外部實體注入（XXE）、反射式跨網站指令碼（Reflected XSS）等攻擊手法。

其中，CVE-2022-43571、CVE-2022-43567為RCE漏洞，攻擊者一旦通過身分驗證，可能藉由儀表板產生PDF的元件，或是該系統發送警示訊息至行動裝置App的功能，以偽造請求來進行攻擊；CVE-2022-43570為XXE漏洞，一旦遭到利用，可導致Splunk Web嵌入不正確的文件檔案而出錯；CVE-2022-43568是反射式跨網站指令碼漏洞，存在於啟用Splunk Web功能的Splunk Enterprise，攻擊者可發送含有特定搜尋參數的JSON檔案來利用。因應這些資安問題，Splunk推出9.0.2、8.2.9、8.1.12版Splunk Enterprise，供用戶進行修補。

思科於11月2日針對旗下多項產品發布資安通告，其中最為嚴重的漏洞為CVE-2022-20961，屬跨網站偽造請求（CSRF）弱點，出現在網路安全存取管理解決方案Identity Services Engine（ISE），未經身分驗證的攻擊者可用於遠端執行任意行動，起因是ISE的網頁管理介面的CSRF保護不足，CVSS風險評分為8.8分。

想在住家的頂樓裝太陽光電聽說可發揮隔熱功效一線

推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機。

回頭車貨運收費標準，宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等，多角化經營並具有國際觀的永續理念。

綠能、環保無空污,成為台中電動車最新代名詞，目前市場使用率逐漸普及化

台中景泰電動車行只是一個單純的理由，將來台灣的環境，出門可以自由放心的深呼吸，讓空氣回歸自然的乾淨，減少污染，留給我們下一代有好品質無空污的優質環境

電動車補助

Google地圖已可更新顯示潭子電動車充電站設置地點!!

日本、大陸，發現這些先進的國家已經早就讓電動車優先上路，而且先進國家空氣品質相當好，電動車節能減碳可以減少空污

南投搬家公司費用需注意的眉眉角角，別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務

好山好水露營車漫遊體驗

露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

南投搬家公司費用需注意的眉眉角角，別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務

回頭車貨運收費標準，宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念

該公司同日亦公告其他資安產品的漏洞修補，範圍包括：郵件安全閘道Email Security Appliance、上網安全閘道Secure Web Appliance，以及Secure Email and Web Manager，修補的弱點為CVE-2022-20868、CVE-2022-20868。

【資安產業動態】

大學甄選入學委員會於11月4日發布112學年度的大學「繁星推薦」與「申請入學」招生簡章，但與過往招生最為不同之處在於，教育部在申請入學的部分首度增加了「資安組」，共有16個校系、招生68人，報名者在第一階段將會使用「大學程式設計先修檢測（APCS）」做為評比的依據。

【資安防禦措施】

為因應勒索軟體威脅，美國白宮今年於10月31日至11月1日，，共有37國、13家企業參與，各國代表最後達成一項共識，為了遏止勒索軟體犯罪，會將加密貨幣的生態系統列為重點項目，各國政府也支持共享用於洗錢的加密貨幣錢包情資，並聯手阻止駭客透過加密貨幣的生態系統取得贖金。此外，CRI亦打算制訂共通的框架和指南來預防及因應勒索軟體。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/154071