在这一星期的漏洞利用消息中，最优先要关注的漏洞利用情形，是Cisco针对NX-OS零时差漏洞CVE-2024-20399提出警告，多款Nexus系列交换器与MDS 9000系列产品线受影响，虽然思科已发布新版修补程序，但也提醒该漏洞在今年4月已有被黑客用于攻击行动的迹象。通报这项漏洞的资安业者Sygnia同时揭露此攻击活动的调查结果，并指出是中国黑客组织Velvet Ant所为。

还有两个重要漏洞修补，需要特别关注，一是开源加密程序库OpenSSH的RCE漏洞，一是苹果应用程序相依性管理套件CocoaPods存在重大缺陷，揭露的不同研究人员均提醒应须尽速修补。

（一）7月1日OpenSSH修补RCE重大漏洞CVE-2024-6387（regreSSHion），Qualys指出这是OpenSSH首次出现可授予完全Root权限的未经授权RCE漏洞，研究人员发现至少70万个曝露于公开网络的OpenSSH实体含有这项漏洞。

（二）Swift和Objective-C项目的开源相依性管理套件CocoaPods被揭露存在3大漏洞，包括：CVE-2024-38366、CVE-2024-38367与CVE-2024-38368，都与验证服务器Trunk有关。特别的是，这些漏洞去年已修补，今年7月CVE编号才公开。

至于其他漏洞消息，包括：GitLab、Splunk、Juniper Networks发布漏洞修补，还有新型态Intel处理器漏洞Indirector的揭露。

在资安威胁态势方面，软件供应链攻击的状况再次出现，这一星期我们甚至看到国际间有两起这方面的消息，一是印度软件开发业者Conceptworld遭遇软件供应链攻击，攻击者在其产品安装档（便笺应用程序Notezilla、剪贴板管理程序RecentX、文件拷贝工具Copywhiz）植入窃资软件，一是韩国ERP系统更新服务器遭软件供应链攻击，当地资安业者AhnLab调查出后门程序Xctdoor，并指出攻击者是通过Regsvr32.exe的处理进程加载运行，推测为北韩黑客Andariel所为。

另一项政府与关键CI需重视的议题是网络间谍攻击，若遇到资安事故，不要以为这只是基于经济动机而来的勒索软件攻击。最近资安业者SentinelOne、Recorded Future联手调查的结果，指出现在针对全球政府机关及关键基础设施下手的网络间谍攻击行动，APT攻击者为了模糊焦点，因此通常会在最后阶段使用勒索软件加密攻击，来分散防守方的注意力，以误导事故调查方向并清除迹证，他们并以中国黑客组织ChamelGang的攻击行动为例来说明。特别的是，他们也感谢台湾资安业者TeamT5研究人员Still Hsu所提供的重要迹证，让他们能将CatB勒索软件、BeaconLoader与ChamelGang联系起来。

在其他资安事件与威胁揭露方面，台湾再度传出半导体业者遭网络攻击的情况，国际间也有Twilio、TeamViewer等的资安事故引发关注，我们整理如下：

●上柜的半导体公司骅讯7月3日发布资安事件重大消息，说明侦测到部份信息系统遭受黑客网络攻击。
●Authy用户注意！云端通信平台Twilio发布资安事故公告，说明他们发现有黑客可经由未经身分认证的节点，辨识出Authy用户的帐户数据，同时他们也要求所有用户尽速更新Authy App。
●远程桌面程序供应商TeamViewer发布资安公告，说明6月底侦测一名员工帐号遭未经授权人士存取，调查显示与APT 29（或称Midnight Blizzard）的俄罗斯黑客有关，7月4日他们再次更新消息，确认影响仅限于该公司内部企业IT环境。
●资安业者揭露有黑客为了散布窃资软件Vidar Stealer，其方法很特别，竟是借由蓄意打造IT技术支持网站，假借提供PowerShell脚本「解决」Windows更新错误，欺骗用户下载恶意程序加载工具并被植入窃资软件。

此外，先前发生的重大资安事件，现在有更多后续消息传出，包括：前一星期传出的Polyfill供应链攻击事故，已有多个资安业者示警受害规模扩大；去年底俄罗斯黑客Midnight Blizzard入侵微软邮件系统事件也延烧至今，近期传出微软正通知一些美国政府机构，说明可能部分数据遭窃，包括美国国际媒体署、美政府资助的和平部队，以及维吉尼亚州，都受到该次事件的影响。

【7月1日】远程桌面连接解决方案业者TeamViewer传出遭俄罗斯黑客APT29入侵，该公司强调旗下产品未受影响

上周北美汽车经销商软件服务业者CDK Global因网络攻击而导致相关服务停摆的情况，多家汽车经销商随之业务受到影响，客户被迫向其他经销商购车而造成营业损失，如今出现新的进展。

根据多家媒体报导，攻击者的身分疑为勒索软件黑客组织BlackSuit，而且，这些黑客还假冒CDK Global客服打给汽车经销商，使得情况更加严重。

【7月2日】研究人员揭露polyfill供应链攻击事故最新发现，黑客同时运用多个网域犯案，保守估计超过30万个网站受害

中国黑客锁定今年台湾总统大选的网络攻击，已有数家资安业者公布他们观察到的攻击行动，但最近研究人员揭露的最新发现，攻击者从事相关活动的期间，从去年11月到今年4月，也就是自总统选举的2个月前，到新任总统即将上任前夕，时间接近半年。

值得留意的是，这些黑客不仅针对外交经济和社会运动团体而来，也锁定高科技产业，企图偷取相关机密。

【7月3日】巴基斯坦黑客假借提供安卓应用程序发动攻击，意图散布恶意软件CapraRAT，目的是为了监控特定用户

身为资安业者却遭到黑客入侵的情况，最近传出新的资安事故。例如，有许多研究人员使用的云端恶意软件沙箱Any.Run，其服务供应商传出遭到网络攻击，公司所有的员工都收到来自内部人士寄送的钓鱼邮件。

这起事故可追溯到一个月前有员工上当，虽然他尝试利用沙箱环境检查恶意链接，但并未做好相关设置，且依照对方指示提供自己的帐号密码，导致帐号遭到对方挟持。

【7月4日】欧洲最大云端服务供应商揭露DDoS攻击规模与日俱增的现象，并指出大多恶意流量来自MikroTik路由器

锁定网站而来的供应链攻击频传，在昨天我们报导有人对上架到WordPress.org市集的插件程序植入恶意代码后，有另一款热门的网站程序库Polyfill.io，也传出更换经营团队后，被植入恶意内容。

值得留意的是，这个程序库在辗转交给中国一家内容传递网络（CDN）业者经营后，该业者就开始随意窜改回传用户端的文件，使得研究人员呼吁网站管理者应尽速移除，并寻求替代方案。

【7月5日】微软年初遭俄罗斯黑客APT29入侵事故有新的进展，美国地方政府、军事单位传出受到波及

知名的网站功能兼容性程序库polyfill.io本周传出供应链攻击，研究人员提出警告，他们发现代码在中国CDN业者今年初接手后，就开始植入恶意程序，由于采用这款程序库的网站众多，且不乏许多知名企业组织与政府单位，所以，这起供应链攻击引发软件开发与资安领域的密集关注，如今出现新的进展。

有研究人员发现，在Namecheap注销polyfill.io之后，经营者通过新的polyfill[.]com提供服务，并声称相关服务通过Cloudflare缓存未含供应链风险。