这一星期的资安威胁态势，有多起新闻是聚焦在伪冒、配置错误这两大议题，成为不可忽视的风险热点，突显企业、个人在网络安全上的潜在薄弱环节。

以伪冒事件而言，有3则消息，其中一起伪冒情境相当独特，是让用户误以为电脑更新进行中，但实际是利用远程存取窃取数据。

●黑客伪造WinRAR网站，创建与正牌官网（win-rar.com）一字之差的伪冒网站（win-rar.co），虽然此做法并不新奇，但涉及热门软件而受关注。
●恶意广告运用动态关键字插入技术，锁定特定公司或产品线并假冒其名义，例如假冒Google的行动中，还会利用Google Looker Studio制作图片来假冒搜索页面，并通过图片内嵌恶意链接引导至假冒的技术支持页面。
●黑客组织先利用社交工程手法，并通过远程连接请求发送假的Windows Update的运行档，特别的是，该程序的作用仅是伪冒出Windows更新的画面，背后则是利用远程存取窃取受害者的网络共享文件夹，再留下勒索消息。

以配置错误而言，本星期有3则新闻值得关注，下列第一则已有攻击行动需特别注意，研究人员指出，有11万个网域成为攻击者可锁定的对象，第二则有数千个公开的SuiteCommerce受影响，并且研究人员已经揭露这样的问题，用户需在攻击者关注此攻击面下，尽速对相关组态进行检查。

●近出现一波向企业勒索的攻击行动，是攻击者锁定在AWS公开曝险的bucket，并利用企业的云端应用环境设置不当，进而得以窃取包含像是验证凭证的环境变项档（.env）档窃取重要数据，并向受害组织勒索。
●针对Oracle旗下的云端ERP平台NetSuite，研究人员指出存在用户配置错误情况相当广泛，原因在于名为SuiteCommerce电商网站组件中一项CRT的存取控制错误组态造成，提醒相关用户应加强这方面的管理，以避免数据外泄。
●航班追踪平台FlightAware发布资安事件公告，指出在7月底发现因配置错误问题，发生外泄该平台用户个资的事故。

在资安事件方面，有5则重要新闻，当中以台湾大学院校遭遇后门程序Msupedge攻击的揭露最受关注，而且，值得警惕的是，入侵原因是未修补今年6月PHP编程语言修补重大漏洞；台湾最大台湾电子布告栏（BBS）PTT传出数据外泄的消息也引发关注，对此消息，批踢踢实业坊（Ptt.cc）已在隔日发布声明，传闻中所称取得的数据，应系自公开看板上所抓取的文章，并未发现有任何机密信息受到危害。

●国内有大学院校遭遇后门程序Msupedge的攻击行动
●中国对台认知作战升级，盗取飞官社群网站帐号抵毁国军。
●PTT惊传遭到入侵，黑客声称取得3.5万笔数据。
●美国半导体制造商Microchip传出遭遇网络攻击，造成工厂产能降低的影响。
●丰田美国分公司遭公布24GB公司数据，黑客表示是从其备份服务器窃取。

至于这一星期的漏洞利用消息，有1个零时差漏洞利用情形，Versa Networks旗下可简化SASE服务的Versa Director平台的漏洞CVE-2024-39717，美国CISA警告已获知有主动利用的证据。

还有5个漏洞利用要留意，包括：今年1月修补的 Jenkins CLI漏洞（CVE-2024-23897），以及前几年多个已知漏洞，微软Exchange Server漏洞（CVE-2021-31196），Linux Kernel漏洞（CVE-2022-0185 ），大华IP摄影机漏洞（CVE-2021-33044、CVE-2021-33045）。

【8月19日】Google Pixel惊传内置具有高度权限的第三方组件

过往我们探讨手机软件供应链安全的事故，主要是出现在中国品牌的手机上，有人在制造过程中埋入恶意程序，导致用户受害。但如今，类似的问题竟然出现在Google的「亲儿子」Pixel系列手机。

有资安业者通过EDR系统在客户列管的手机当中，发现不寻常的弱点，经过调查，这些手机都被预载不安全的应用程序Showcase，攻击者有机会借此取得高权限，从而远程运行代码、安装恶意程序。

【8月20日】黑客散播可呈现仿造OS更新画面的运行档，背后却是在电脑偷数据

对于Windows用户而言，每个月都会遇到的操作系统更新，已是相当熟悉，尤其是过程中往往必须重开机而无法使用，有黑客看上这点，制造电脑正在进行系统更新的假象，从容地从事攻击行动，待完成后才留下勒索消息，要胁若不依照指示付钱，将会面临GDPR罚款。

这项攻击行动的特别之处在于，黑客利用1支无攻击特征的程序制造这种假象，导致大多数的杀毒软件都不会将其视为有害。

【8月21日】PHP重大漏洞出现攻击行动，黑客已借此在台湾的一间大学院校植入后门

两个月前台湾资安业者戴夫寇尔揭露的PHP漏洞CVE-2024-4577，当时提到使用正体中文、简体中文、日文语系的窗口操作系统用户会受到影响，如今传出实际资安事故，本周有资安公司指出台湾有大学因为这个漏洞未修补而遭到攻击，被黑客植入后门程序。

值得注意的是，他们发现有多组人马尝试找寻下手目标的情况，这代表相关攻击行动将会接连出现。

【8月22日】企业自订AI副手功能的工具Copilot Studio存在SSRF漏洞

随着人工智能应用系统越来越普及，相关漏洞影响可能极为深远，相当值得关注。本周资安业者Tenable公布Copilot Studio服务器请求伪造（SSRF）漏洞CVE-2024-38206细节，并指出这项漏洞能影响该系统的基础设施，攻击者一旦利用，就有可能同时影响多个用户。

这项漏洞在他们通报后，微软已进行修补，并将其列为重大风险漏洞列管。

【8月23日】协作平台Slack搭载的AI功能有漏洞，恐曝露私人频道机密数据

与人工智能交互、协作已是许多民众日常不可或缺的部分，许多企业的应用系统也开始纳入相关功能，然而一旦这类机制若是存在弱点，同样可能成为黑客大肆利用的对象。

最近研究人员公布协作平台Slack的AI机器人漏洞，就是这样的例子，攻击者可在无须取得相关权限的情况下，得到私人频道的内容，从而达到窃取机密的目的。

本星期漏洞利用状况一览表

零时差漏洞利用：1个

CVE-2024-39717 ／ Versa Director漏洞

本星期已知漏洞遭利用：5个

CVE-2024-23897 ／ Jenkins CLI漏洞（1月24日公开，8月20日警告已遭利用）
CVE-2021-31196 ／ 微软Exchange Server漏洞（2021年7月14日公开，2024年8月22日警告已遭利用）
CVE-2022-0185 ／ Linux Kernel漏洞（2022年2月11日公开，2024年8月23日警告已遭利用）
CVE-2021-33045 ／ Dahua IP Cameral漏洞（2021年9月15日公开，2024年8月21日警告已遭利用）
CVE-2022-33044 ／ Dahua IP Camera漏洞（2021年9月15日公开，2024年8月21日警告已遭利用）