网钓工具包横行，近期有不少研究人员公布黑客打造的新工具，但也有黑客更换名称持续活动的情况。资安业者Trustwave揭露的Rockstar 2FA网钓工具包，就是典型的例子，这个工具包的前身，其实是去年5月出没的DadSec，而到了去年底，黑客先后更名为Phoenix、Rockstar 2FA，然后持续从事攻击行动。

研究人员在今年8月看到使用此网钓工具包的大规模网钓攻击，黑客组织Storm-1575发动对手中间人（AiTM）攻击，从而拦截受害者的帐密数据，以及连接阶段（Session）的cookie，而有机会绕过多因素验证机制，进而挟持Microsoft 365帐号。

根据他们的观察，这次对方的主要目标，很可能是想要浏览与汽车有关网站的用户，研究人员从5月开始，发现逾5千个与车辆相关的网域名称。

一年前揭露的UEFI漏洞LogoFAIL遭到利用，黑客企图在Linux电脑植入Bootkitty

资安业者ESET揭露第一个针对Linux电脑的UEFI Bootkit「Bootkitty」，但不久后有人结合已知的UEFI固件漏洞，打造具有实际破坏性的恶意程序。

11月29日专精固件安全的资安业者Binarly指出，他们近日发现名为logofail.bmp的图档，大小为16MB，一旦发送给Linux电脑，就会在图片解析过程注入Shell Code，并在UEFI固件的MokList变量注入恶意帐密，从而套用新的GRUB组态文件。此文件能成功绕过安全开机（Secure Boot）防护机制，并将后门程序植入受害电脑。

值得留意的是，这支恶意程序针对具有特定漏洞LogoFAIL（CVE-2023-40238）的固件而来，若是IT人员并未套用新版固件，就有可能曝险。

配置臭虫酿祸，Cloudflare遗失逾半数客户事件记录文件

提供内容传递网络及安全服务的Cloudflare坦承，在11月14日因为内部系统一连串的臭虫，在短短5分钟的错误配置中，遗失了55%客户事件记录。

在11月14日，为了支持新的数据集以处理额外的事件记录类型，Cloudflare更新Logpush的配置，系统需要将此配置发送给Logfwdr，但配置系统发送给Logfwdr的文件却是空白的，因而触发了Logfwdr内部的「故障开放」（Fail Open）机制。

尽管Cloudflare很快就发现此事，并在5分钟内恢复了该变更，但Logfwdr已根据Fail Open发送事件记录给大量客户，而Buftee原本有防护机制，却因配置问题而未被正确激活，导致Buftee所管理的事件记录缓冲区数量，很快就从一百多万个快速增加到4,000万个。

其他攻击与威胁

◆德国针对兆勤防火墙漏洞提出警告，证实至少有5家企业受害

◆黑客组织MUT-8694同时针对NPM、PyPI开发者下手，意图向Windows用户散布窃资软件

◆恶意NPM套件锁定Linux开发人员，伪装热门套件散布后门程序

◆犯下Snowflake大规模勒索案的主嫌疑为美国军人

【漏洞与修补】

研华工控无线基地台存在重大漏洞，若不修补恐被用于绕过身分验证、运行任意代码

资安业者Nozomi揭露研华科技（Advantech）旗下EKI工控无线基地台20个漏洞，一旦遭到利用，有可能导致攻击者在未经身分验证的情况下，使用root权限远程运行任意代码，从而影响网络设备的机密性、完整性、可用性。

这些漏洞影响EKI-6333AC-2G、EKI-6333AC-2GD、EKI-6333AC-1GPO等3款机型，对此研华针对EKI-6333AC-2G、EKI-6333AC-2GD发布1.6.5版固件，以及针对EKI-6333AC-1GPO发布1.2.2版固件，修补相关漏洞。

根据漏洞严重程度来看，有6个被评为重大层级，其余多为高风险层级，仅有1个为中度风险等级。其中，CVE-2024-50370、CVE-2024-50371、CVE-2024-50372、CVE-2024-50373、CVE-2024-50374、CVE-2024-50375皆为CVSS评分达到9.8的危险漏洞，除了CVE-2024-50375与重要功能缺乏身分验证有关，其他漏洞的成因，则是涉及操作系统命令当中，特定元素的处理不正确。

其他漏洞与修补

◆微软修补AI、云端服务、ERP漏洞，已有部分出现攻击行动

近期资安日报

【11月29日】黑客利用CleverSoar恶意程序于中国、越南电脑散布多种恶意软件

【11月28日】第一款针对Linux主机的UEFI Bootkit现身

【11月27日】攻击者串连Firefox与Windows的零时差漏洞，能在用户毫无察觉的状况下植入恶意程序