今年5月总统赖清德走马上任不久，23日有名自称已服役14年的飞官表明决定退伍，不想再赌5年，要将时间留个家人，隔日有另一名飞行员向总统陈情，并指出队上10个人就有9个想要离开，由于这两篇Dcard文章都是匿名发文，时间又发生在总统就职之后，引发外界猜测文章的真实性，6月初台湾事实查核中心指出这些贴文的诸多疑点，例如根据发文者帐号的学校信息，空军查无此人，也没有飞官选择在服役13年赔钱提前退伍。但在这段期间，除了空军出面澄清这些文章都是不实消息，政府并未出面进一步说明。

事隔3个月，本周调查局发布公告，证实这是境外势力对台湾认知作战，并警告这次手法出现重大变化，黑客先是入侵台湾网络设备，从而窃得社群网站帐号，然后用来散布不实消息诋毁国军，再由黑客控制的中国脸书粉丝专页、人头帐号转载，企图重创国军士气，并严重危害国家安全。

其他攻击与威胁

◆PTT惊传遭到入侵，黑客声称取得3.5万笔数据

◆安卓恶意软件NGate滥用NFC芯片窃取信用卡数据

◆勒索软件Qilin改变攻击标的，窃取Chrome帐密数据

【漏洞与修补】

协作平台Slack遭揭露AI功能有漏洞，可能导致私人频道机密数据外流

过往已有数起数据外泄事故黑客锁定企业组织的协作平台Slack下手而得逞，攻击者往往借由社交工程手段，成功存取机密内容，但如今有研究人员发现，该系统后来加入的人工智能系统存在漏洞，恐加剧相关威胁，因为攻击者在不需得到相关权限的情况下，可借此窃取机密数据。

资安业者PromptArmor指出，提供用户通过自然语言查找Slack消息的AI功能存在缺陷，使得攻击者有机会通过操纵用来生成内容的语言模型，窃取用户输入私人频道的任意内容。

针对这项问题的核心，该资安业者表示此为间接提示注入（Indirect Prompt Injection）弱点，原因是对于开发人员产生的系统提示，以及查找的内容，大型语言模型（LLM）无法正确区分，一旦Slack的AI机器人通过查找的消息取得恶意指令，很有可能会认为恶意指令才是必须处理的内容，但不一定会处理用户的查找。

SolarWinds发布服务台系统WHD更新，修补写死密码漏洞

本周SolarWinds针对服务台系统Web Help Desk（WHD）发布资安公告，指出该系统存在写死帐密漏洞CVE-2024-28987，未经身分验证的攻击者有机会远程存取内部功能或是窜改数据，CVSS风险评分为9.1，该公司发布12.8.3 HF2版予以修补。

值得留意的是，IT人员若要套用修补程序，必须将服务台系统更新至12.8.3.1813或12.8.3 HF1版，才能部署。

而这已是本月SolarWinds二度对WHD发布资安公告，一周前他们修补另一项远程代码运行漏洞CVE-2024-28986，CVSS风险评分为9.8。

其他漏洞与修补

◆K8s外部存取控制器Ingress-nginx存在身分验证绕过漏洞

◆应用程序存取控制框架Spring Security存在漏洞，恐导致未经授权存取

【资安产业动态】

HITCON Community 2024在今明两天举行

台湾黑客年会社群场HITCON Community 2024这两天于中央研究院人文社会科学馆举办，今年将以20 Years Of HITCON：Mind Meld Hacker Spirit From Human To AI为主题，探讨技术本质与黑客攻击手法及思维，并安排超过50个首度公开的零时差漏洞研究议程，其中逾半数为国外讲者，突显这项会议已走向国际化。

值得一提的是，本次适逢台湾黑客年会成立20周年，与会者可见证这个世界级资安研究重要会议的发展，以及智能型设备、云端运算、网络战争的出现，大会也强调黑客精神的本质及初衷始终不变，将会引领社群持续前进。

近期资安日报

【8月22日】企业自订AI副手功能的工具Copilot Studio存在SSRF漏洞

【8月21日】PHP重大漏洞出现攻击行动，黑客已借此在台湾的一间大学院校植入后门

【8月20日】黑客散播可呈现仿造OS更新画面的运行档，背后却是在电脑偷数据