近期针对浏览器的零时差漏洞攻击不时传出，其中又以锁定市占率最高的Chrome较为常见，今年已出现9个零时差漏洞，由于采用其排版引擎开发的浏览器也相当多，这些漏洞也同样波及Edge、Brave、Vivaldi等应用程序，因而受到高度关注。

相较之下，利用Firefox未公开漏洞的情况较为少见。最近Mozilla基金会的资安公告引起外界的注意，原因是他们近期修补的一项重大漏洞，已出现实际利用的情况。

【攻击与威胁】

Veeam备份软件漏洞遭勒索软件Akira、Fog滥用，至少发动4起攻击行动

9月初备份与数据保护软件厂商Veeam修补旗下备份软件Backup & Replication漏洞CVE-2024-40711，问题在于，系统对数据的可信度未进行验证，就进行反串行化处理，攻击者可在未经授权的情况下，借由恶意酬载远程运行代码（RCE），CVSS风险评分达到9.8，当时通报此事的资安业者Code White呼吁企业要尽速修补，并认为接下来该漏洞很有可能会遭到勒索软件黑客利用，如今有研究人员证实这项推论已经成真。

资安业者Sophos指出，他们过去1个月追踪利用这项已知漏洞的攻击行动，黑客借由外流的帐密与该漏洞，尝试创建帐号并部署勒索软件Akira、Fog。

勒索软件黑客利用Backup & Replication已知漏洞的情况已非首例，例如：今年7月，资安业者Group-IB指出有人利用去年3月修补的CVE-2023-27532，企图部署勒索软件Estate。

今年初修补的Fortinet资安系统RCE漏洞被用于实际攻击行动，并得到CISA证实

美国网络安全暨基础架构安全管理局（Cybersecurity and Infrastructure Security Agency，CISA）本周公告，Fortinet在8个月前修补的重大风险漏洞已发生滥用事件，要求联邦机构于10月30日前完成修补。

遭到滥用的漏洞为CVE-2024-23113，为FortiOS防火墙操作系统fgfmd程序的格式化字符串漏洞，攻击者可通过操弄输入的消息格式触发，而在未经授权情况下在FortiOS运行任意代码或指令，本漏洞风险值达9.8，Fortinet已在今年2月修补。

值得留意的是，CVE-2024-23113影响Fortinet多项产品，包括防火墙FortiGate、网页安全闸道FortiProxy、特权存取管理FortiPAM、交换器集中管理平台FortiSwitch Manager。

富达投资被骇，7.7万客户数据外泄

跨国金融业者富达投资（Fidelity Investments）本月稍早通报州主管机关，公司系统遭黑客存取，致使大约7.7万名客户个资外泄。

富达投资已在本周以电子邮件通知受影响消费者。根据该公司提供给官方的文档，在今年8月17到19日之间，外部组织利用2名客户添加的帐号非授权存取了公司系统，并取得客户数据。该公司立即采取行动切断了存取管道。

富达提供给另一个州政府的文档中，透露这次外泄的客户个资包含社会安全号码、驾照号码、银行帐号，这是最近1年富达第5起数据外泄事故。

Internet Archive遭骇，逾3,100万笔帐号外泄

互联网文件馆（Internet Archive，IA）周三（10月9日）遭到黑客入侵，黑客涂改了该平台的首页，宣称其安全性弱不禁风，而且已与Have I Been Pwned（HIBP）分享了所盗走的逾3,100万笔帐号。

1996年成立的IA为一非营利组织，定位为数位图书馆，宗旨为让所有的知识普遍化，于是该站搜集了各式各样的数位内容，包括网页、软件、游戏、音乐、视频及数百万本图书，最有名的工具之一是「时光机」（Wayback Machine），允许人们存取特定时间、或许已经消失的网页。

Internet Archive创办人Brewster Kahle证实确有此事，表示该网站遭到分布式服务阻断（DDoS）攻击，黑客借由JS程序库进行污染，外泄了用户名、电子邮件，以及经加盐处理的密码。该平台紧急关闭JS函数库，全面清理系统，同时升级安全机制因应。

其他攻击与威胁

◆黑客滥用万国码在电商网站埋藏侧录工具Mongolian Skimmer

◆俄罗斯黑客APT29锁定Zimbra、TeamCity服务器下手

◆卡西欧传出遭到网络攻击

【漏洞与修补】

Mozilla发布Firefox更新，修补已遭利用的零时差漏洞

10月9日Mozilla基金会发布资安公告，紧急修补Firefox重大层级的零时差漏洞CVE-2024-9680，这项漏洞由资安业者ESET通报，存在于Animation组件的时间轴，为内存释放后再存取使用（Use After Free）漏洞，CVSS风险评分达到9.8（满分10分），该基金会发布Firefox 131.0.2，以及长期支持版（ESR）128.3.1、115.16.1修补。值得留意的是，已有攻击者试图利用这项漏洞。

针对这项漏洞带来的影响，Mozilla基金会指出，攻击者若是触发漏洞，就有机会借由Animation组件的时间轴，引发内存释放后再存取使用的现象，而能在特定处理进程运行代码。

他们特别提及，已接获漏洞被实际利用的通报。究竟黑客如何利用漏洞？该基金会并未进一步说明。

Palo Alto Networks修补产品转移工具重大漏洞

资安业者Palo Alto Networks发布安全公告，修补平台转移工具Palo Alto Networks Expedition的重大风险漏洞，这些弱点可能用于远程代码运行、密码外泄与钓鱼攻击。

这批修补的漏洞包括编号CVE-2024-9463到CVE-2024-9467的7项漏洞，皆与防火墙组态转移工具Expedition有关。根据CVSS风险评分，其中，以操作系统命令注入漏洞CVE-2024-9463及CVE-2024-9464最为严重，资安风险各为9.9分与9.4分，能让攻击者以root权限运行任意指令，滥用漏洞皆能导致运行PAN-OS操作系统的防火墙的用户名、明文存储的密码、设备配置和设备API泄露。

另一个被列为重大层级的是SQL注入漏洞CVE-2024-9465，滥用的结果可导致未经授权的攻击者外泄Expedition数据库内容，导致密码散列值、用户名称、设备配置和设备API曝光，攻击者还可利用这些信息在Expedition系统读取和添加任意文件。该漏洞风险值为9.2。

其他漏洞与修补

◆GitLab发布17.4.2新版，修补任意分支管道运行漏洞

◆Adobe修补电子商务平台重大层级漏洞

【资安产业动态】

Gogolook揭露并购ScamAdviser的后续发展

随着防诈需求持续成长，台湾厂商的发展动向与成长情形，也成各界关切焦点。以阻挡恶意电话与短信Whoscall闻名的Gogolook（走着瞧-创），去年在创新板挂牌上市、今年5月则宣布并购荷兰数位防诈服务商ScamAdviser。

在并购案宣布4个月后，该公司于9月24日首度公布最新的全球发展策略，当中宣布一项重大转变，未来将以ScamAdviser为品牌，加速拓展全球企业防诈市场，希望从东亚切入更广泛的国际市场。

在这次改变下，企业端防诈领域的ScamAdviser将成为Gogolook的三大事业体之一，其他事业体则是消费防诈领域的Whoscall，以及金融科技领域的袋鼠金融。

近期资安日报

【10月9日】零信任之父第一手导读零信任架构

【10月8日】美国水力关键基础设施再传遭遇网络攻击

【10月7日】亲俄黑客传出再度发动DDoS攻击，多家上市柜公司网站受到影响