根据资安业者趋势科技的监控，有人利用名为EDRSilencer的红队演练工具从事攻击行动，此工具利用窗口操作系统内置的Windows筛选平台（Windows Filtering Platform，WFP），号称能干扰市面上16款常见的端点侦测与回应（EDR）系统运作。

究竟该红队演练工具如何运作？主要是借由动态识别的方式，找出正在运行的EDR处理进程，接着，攻击者创建WFP过滤器，以此封锁EDR系统的IPv4、IPv6对外流量，使得端点代理程序无法对主控台发送遥测数据及警示消息。

2023年被用来攻击的漏洞，高达70%为零日漏洞

Google麾下的资安业者Mandiant本周公布了2023年的漏洞分析报告，指出去年遭到利用的138个安全漏洞中，有97个属于零日漏洞（Zero-day），41个为N日漏洞（N-day），尽管先前即曾预测黑客对零日漏洞的利用会愈来愈多，但现况比他们原本评估要严重许多。

研究人员评估N日漏洞威胁态势，通常会统计漏洞公开到利用的时间（Time-to-exploit，TTE）作为评估的依据，结果发现，黑客利用漏洞的时间逐年缩短，例如2018至2019年的TTE为63天，2020到2021年是44天，2021到2022再减少至32天，然而，去年的TTE降幅是史上最大，平均只有5天。

根据Mandiant的统计，过去几年零日漏洞的比例大致占6成，但去年一举增加至7成，研究人员不排除这可能是威胁态势重要的转折点。

其他攻击与威胁

◆恶意程序HORUS Protector号称无法被资安系统侦测，吸引打手用于攻击行动

◆攻击者挟持360杀毒软件散布恶意程序SSLoad

【攻击与威胁】

Spring框架存在路径穿越漏洞，恐对网页应用程序造成资安风险

10月17日Spring开发团队发布资安公告，指出Spring Framework存在路径穿越漏洞CVE-2024-38819，该漏洞影响6.1.13、6.0.24、5.3.40及以下版本，他们推出6.1.14、6.0.25、5.3.41版进行修补。

针对这项漏洞出现的原因，该公司表示，应用程序借由网页框架WebMvc.fn或WebFlux.fn提供静态资源的过程中，容易受到路径穿越攻击，攻击者只要发送恶意HTTP请求，就有机会借由正在运作的Spring应用程序处理进程，取得文件系统的任意文件。

SolarWinds的IT服务台系统存在重大漏洞，疑似已出现未经授权的攻击行动

本周SolarWinds针对旗下的IT服务台系统Web Help Desk发布资安公告，指出该系统存在重大层级的CVE-2024-28988，这项漏洞涉及Java的去串行化处理，攻击者有机会远程运行代码（RCE），影响12.8.3 HF2版以前的系统，CVSS风险评为9.8分，该公司推出12.8.3 HF3修补，并呼吁用户尽速套用。

SolarWind之所以发现这项漏洞，是因为接获趋势科技漏洞悬赏项目Zero Day Initiative（ZDI）的通报，值得留意的是，ZDI在调查漏洞的过程，观察到未经授权的攻击行动，这代表该漏洞可能已被黑客掌握，并实际尝试利用的现象。

趋势科技资安闸道系统Cloud Edge修补命令注入漏洞

10月15日趋势科技针对旗下的资安防护设备Cloud Edge发布资安公告，指出该设备存在重大层级的命令注入漏洞CVE-2024-48904，影响运行5.6SP2、7.0版固件的设备，CVSS风险评为9.8分，该公司已发布更新修补。

而对于该漏洞带来的影响，趋势科技表示，攻击者能够远程于设备上运行任意代码（RCE），但除此之外并未对于漏洞形成的原因进一步说明。

其他漏洞与修补

◆F5 BIG-IP存在高风险存取控制绕过漏洞

◆Apache基金会修补Solr身分验证绕过漏洞

【资安产业动态】

美国防部公布CMMC规则，认证等级从原先五级简化为三级

经过长期的研拟，美国国防部于今年8月15日公布专注政府采购进程和合约要求的48 CFR草案；到10月15日这天，则将32 CFR最终版（Final Rule）公布在联邦公报（Federal Register）上，并于60天后（12月14日）正式生效实施。

美国国防部（DoD）将国防工业产业（Defense Industrial Base，DIB）的业者，区分为一线供应商（承包商）和二线以下的供应商（分包商），这些国防供应链的业者若面临需要处理、传输和存储与联邦合约信息（Federal Contract Information，FCI），以及受控未分类信息（Controlled unclassified information，CUI）时，都需要依据保护相关数据所面临的网络安全风险，取得「网络安全成熟度模型认证（Cybersecurity Maturity Model Certification）」，简称CMMC认证。

目前推动美国国防供应链业者取得的CMMC规则（CMMC Rule）的认证，其主要目的就是，要评估美国国防部相关承包商与供应链业者的网络安全防护能力，而CMMC规则的修订，不只是希望确保承包商能够遵循最佳实务做法，以保护网络上的敏感信息，同时也使中小型业者更容易遵守这些规范。

Google着手推送Android 15，主打设备防盗能力

本周二（10月15日）Google宣布，已开始向Pixel设备部署Android 15。新一代操作系统强化防盗保护，并允许用户创建私人应用程序区域（Private Space），存放具有敏感数据的应用程序。

该公司平均每年发布一次安卓大改版，并根据技术的演进添增新功能，例如近来即开始利用AI来强化防盗功能，包括Theft Detection Lock及Remote Lock等，并适用于大多数Android 10以上的设备。

至于Android 15提供了额外的防盗功能，会针对某些设置添增身分验证要求，例如要移除SIM卡或是关闭Find My Device功能时，也会在侦测到多次变更程序与设置的失败后直接锁定设备。

其他资安产业动态

◆微软宣布弃用Windows Server的PPTP、L2TP VPN通信协定

近期资安日报

【10月17日】Kubernetes映像档制作工具存在重大漏洞

【10月16日】台湾区块链旅宿平台业者云存储库疑似因配置不当，而可能曝露旅客数据

【10月15日】北韩黑客针对支付处理系统散布恶意软件