根據WordPress外掛安全服務業者Patchstack觀察，在2021年有29％含有重大安全漏洞的WordPress外掛，負責的開發者選擇忽略修補作業甚至直接下架了事
文/陳曉莉 | 2022-03-10發表

專門提供WordPress外掛程式安全服務的Patchstack，本周出版了WordPress安全狀態的年度報告，指出在2021年所發現的WordPress外掛程式重大安全漏洞中，有29%沒有被開發者修補，而且使用者可能渾然不覺。

開源的WordPress為全球最熱門的內容管理系統，去年全球大約有43.2%的網站採用WordPress建置，高於2020年的39.5%，這些WordPress網站使用了各式各樣的外掛程式來改善網站功能或呈現，也讓專門強化WordPress外掛程式安全性的資安公司應運而生，如Wordfence或Patchstack。根據Patchstack去年的分析，每個WordPress網站平均採用了18個不同的外掛程式或主題。

Patchstack的調查顯示，2020年在有關WordPress的安全漏洞中，3.78%出現在WordPress核心，卻有96.22%現身於外掛程式及主題，但到了2021年，外掛程式及主題的漏洞卻增加到99.42%，主題占了6.61%，外掛程式則是92.81%，WordPress核心漏洞降至0.58%。

這些漏洞以跨站指令碼（Cross Site Scripting，XSS）為首，總計占了49.82%，居次的是跨站請求偽造（CSRF）的11.18%，僅有0.94%屬於遠端程式攻擊漏洞。值得注意的是，在所有的WordPress網站中，有42%都安裝了至少1個含有安全漏洞的元件。

此外，在所有的漏洞中，有3.41%被列為重大等級，CVSS風險評分超過9，去年總計有35個WordPress外掛程式漏洞被列為重大等級，其中一個藏匿在All in One SEO plugin中，該外掛程式的安裝數量超過300萬，另一個出現在WP Fastest Cache plugin，安裝數量也超過100萬。

儘管上述兩個外掛程式開發者都已修補了漏洞，但也有高達29%的外掛程式重大漏洞並沒有被修補。Patchstack說，這些未修補的外掛程式有時只是簡單被WordPress、其它市集或開發者下架，並沒有警告既有的用戶，代表使用者必須手動檢查這些外掛程式的版本別或安全狀態，再加以移除或選擇其它的替代程式。

Patchstack的調查還曝露出另外一個問題，亦即儘管WordPress生態體系存在著許多安全漏洞，但WordPress網站並沒有太多的安全預算，例如有28%完全沒有安全預算，有27%每月的安全預算低於3美元，只有7%每月會編列50美元的安全預算。

資料來源：WordPress的外掛程式中，近3成的重大漏洞沒有被修補

微軟在1月17日釋出例外更新，以解決1月Patch Tuesday針對Windows Server及Windows釋出的安全更新在用戶端所引發的問題，連已終止支援的Windows 7、Server 2008也都在修補之列
文/林妍溱 | 2022-01-18發表

微軟昨（1/17）日釋出例外更新（out-of-band，OOB），以解決上周Windows及Windows Server更新引發的無限重開機、Hyper-V無法啟動以及Windows電腦無法執行VPN連線的問題，連已終止支援的Windows 7、Server 2008也都在修補之列。

微軟表示，這波OOB更新將分別解決和Windows網域控制器（Domain Controller）重開、虛擬機器啟動失敗、彈性檔案系統（ReFS）可移除媒體無法啟動相關的問題。

上周Patch Tuesday針對Windows Server及Windows釋出的安全更新，用戶下載安裝後陸續出現上述問題。微軟也分別提供說明。其中當網域控制器在強化安全性系統管理員環境（Enhanced Security Admin Environment，ESAE）環境下使用Shadow Principal物件，或是啟動Privileged Identity Management（PIM）的環境會發生不預期開機，導致許多用戶經歷Windows Server伺服器不斷重開機。

針對彈性檔案系統（ReFS）無法啟動，微軟解釋，是出於可移除媒體包括USB外部磁碟不支援這個檔案統格式。Hyper-V無法啟動VM的問題則發生在使用UEFI的系統裝置上。

至於VPN連線問題，微軟指出包含Vender ID的IPSEC連線、或使用第二層隧道協定（Layer 2 Tunneling Protocol，L2TP）及IPSEC網際網路金鑰交換（Internet Key Exchange）的VPN，在Windows PC安裝更新後都可能無法啟動。

雖然主要是現今主流的Server 2012R2、Server 2016、Server 2019、Windows Server 10 20H1、Server 20H2、Server 2022、及Windows 10（20H2、20H1、1909、1607、1507）、11（21H1）受影響，不過微軟這波例外更新的發布對象，也涵括微軟已終止支援的Windows 7 SP1、Windows Server 2008 SP2。

管理員或用戶可以在Update Catalog手動下載更新。部份版本可經由Windows Update自動下載安裝。

資料來源：微軟緊急修補Windows Server、Windows桌機版 1月安全更新問題

根據Google Project Zero的分析，Forcedentry是個零點擊攻擊程式，駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要與使用者互動
文/陳曉莉 | 2021-12-16發表

公民實驗室（Citizen Lab）日前揭露以色列資安業者NSO Group以Forcedentry攻擊程式駭進iPhone，再於受害者手機上植入Pegasus間諜程式，Google Project Zero團隊向公民實驗室取得了Forcedentry樣本，於本周公布該攻擊程式的細節，並說這是該團隊所見過的最精細的攻擊程式之一，證明了過去原本以為只有少數國家所具備的能力，其實也能由NSO Group提供給其它的國家。

Forcedentry所開採的是位於蘋果作業系統圖像渲染函式庫CoreGraphics的CVE-2021-30860漏洞，它是一個整數溢位漏洞，在處理惡意的PDF檔案時，將允許駭客執行任意程式。蘋果已於今年9月13日修補該漏洞。

根據Google Project Zero團隊的分析，Forcedentry是個零點擊攻擊程式，在駭客透過iMessage傳送假GIF檔案時，iMessage在手機顯示這些圖像時就已先行進行解析，而成為駭客的切入點，代表駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊，完全不需要使用者的任何互動。

至於CVE-2021-30860漏洞具體的位置則在於CoreGraphics的PDF解析器，駭客利用PDF內建之影像壓縮標準JBIG2的漏洞展開攻擊，儘管JBIG2本身並未具備編寫腳本的能力，但結合漏洞之後卻能在任何記憶體上模擬任何邏輯閘電路，等於可建置自己的電腦架構及腳本程式，而這就是Forcedentry的功能，它的速度並不如Javascript，但在運算能力上卻是相當的。

Google Project Zero團隊指出，Forcedentry便運作在這個邏輯電路上，而整個攻擊環境則是由JBIG2串流的單一解壓縮所造就的，這非常的不可思議，也極為可怕。

NSO Group不僅能駭入蘋果裝置，也能駭入Android裝置，Google則說，他們知道NSO Group也銷售鎖定Android的零點擊攻擊程式，歡迎握有樣本的組織或個人與其接洽。

資料來源：Google公布NSO Group用來駭進蘋果iMessage的Forcedentry攻擊程式細節

向微軟通報本地權限升級（LPE）漏洞CVE-2021-34484的研究人員指出，8月釋出的官方修補只解決了問題表面，攻擊者仍可在已修補的Windows系統中擴大權限，執行管理員指令 
文/林妍溱 | 2021-11-02發表

一名研究人員發現微軟8月修補的一項Windows漏洞並未修補完全，使攻擊者可在已修補的Windows系統中擴大權限，執行管理員指令。

問題出在研究人員Abdelhamid Naceri今年稍早發現、並通報的Windows使用者設定檔服務（Windows User Profile Service）中的本地權限升級（Local Privilege Elevation，LPE）漏洞。它被列為CVE-2021-34484追蹤，屬CVSS 3.1風險值7.8的漏洞。這項漏洞已於8月間由微軟修補。

但是Naceri檢視了微軟的修補程式後，認為並未修補完全。他說明該漏洞能允許與原帳戶不同密碼的使用者帳號執行程式，甚至不知道其他人的密碼也可以。

他還在GitHub公布了新的PoC，成功存取受害系統後以系統管理員身份執行shell指令。

研究人員對媒體指出，微軟並未根據他最早的通報報告來修補，只解決了第1次PoC的效果，即刪除目錄，也就是只解決了表面徵兆，但並未解決根本原因，這使其第2次PoC依然成功將一般用戶權限提升到管理員權限。

這個漏洞影響所有Windows伺服器及桌機版本，包括最新的Windows 11及Server 2022。

微軟表示正在調查此事，以確保用戶安全。

這是Windows最新一個被懷疑是修補不全的漏洞。今年7月微軟緩衝列印多工服務（Print Spooler）的CVE-2021-34527 LPE和RCE（遠端程式碼執行）漏洞，被研究人員懷疑修補不完整，以致於PoC仍然可執行作用。不過微軟後來證實是新的漏洞，而非修補不完全。

資料來源：Windows LPE漏洞修補不全，影響所有版本

9月23日釋出的iOS 12.5.5以及2021-006 Catalina，分別修補3個以及1個已遭駭客開採的安全漏洞 
文/陳曉莉 | 2021-09-24發表

圖片來源:  蘋果

蘋果在9月23日更新了舊版的iOS 12與macOS Catalina，修補已遭駭客開採的3個安全漏洞，其中的兩個是蘋果在9月中旬，先行針對新裝置所修補的CVE-2021-30860及CVE-2021-30858，另有一個是最近才被發現的CVE-2021-30869。

新的CVE-2021-30869漏洞存在於蘋果作業系統所使用的XNU核心，是由Google的研究人員所發現，為一類型混淆漏洞，允許惡意程式以核心權限執行任意程式，而且坊間已有鎖定該漏洞的攻擊程式。

兩個舊漏洞分別是CVE-2021-30860與CVE-2021-30858。前者出現在蘋果圖像渲染函式庫CoreGraphics，為一整數溢位漏洞，當它處理一個惡意的PDF檔案時，可能允許駭客執行任意程式，後者則藏匿在WebKit，它是個釋放後使用漏洞，在處理惡意的網頁內容時可能造成任意程式執行。

上述3個漏洞都已被開採，蘋果率先修補新裝置的CVE-2021-30860與CVE-2021-30858漏洞，此次才修補舊裝置的相關漏洞，以及CVE-2021-30869。

23日釋出的iOS 12.5.5適用於iPhone 5s/6/6 Plus，iPad Air、iPad mini 2/3與第六代的iPod touch，同時修補了3個漏洞。新版的2021-006 Catalina則僅修補CVE-2021-30869。

資料來源： 蘋果修補舊款裝置的零時差攻擊漏洞

資安業者Palo Alto Networks在7月，發現鎖定VMware ESXi的勒索軟體HelloKitty，受害者遍及義大利、澳洲、德國、荷蘭，以及美國，攻擊者至少得到148萬美元 
文/周峻佑 | 2021-08-27發表

今年2月，製作電玩《電馭叛客2077》（Cyberpunk 2077）開發商的CD Projekt，驚傳遭到勒索軟體攻擊，後來有資安業者指出，攻擊的勒索軟體名為HelloKitty。但資安業者Palo Alto Networks指出，目前這款勒索軟體發展出Linux版本，自今年3月開始鎖定伺服器虛擬化平臺VMware ESXi，且已有受害組織並支付贖金。

HelloKitty最早大約是自2020年底開始出現，主要鎖定Windows作業系統，根據資安公司FireEye的發現，它是從另一款稱做DeathRansom的勒索軟體衍生而來的變種，為了避免受害者透過備份資料復原，HelloKitty會刪除Windows電腦的磁碟區陰影複製（Volume Shadow Copy）內容。

在今年7月中旬，資安研究組織MalwareHunterTeam就發現了數個鎖定VMware ESXi的HelloKitty勒索軟體，自3月開始發動攻擊，使用ESXi命令列工具（esxcli）關閉虛擬機器（VM），但並未提及受害規模。

而對於這款勒索軟體的近況，Palo Alto提出了更多的發現。該公司指出，這款勒索軟體發展可說是相當迅速，近期的版本更是透過Go語言編譯，而且只會在記憶體內載入、執行，這麼做的目的，很可能是為了迴避資安防護系統的偵測。

Palo Alto表示，他們在2021年7月，發現檔案名稱為funny_linux.elf的勒索軟體，其中的勒索訊息，措辭與Windows版的HelloKitty相符，他們進一步追查發現， Linux版的HelloKitty，最早約從2020年10月開始發展，並在2021年3月開始攻擊VMware ESXi，研究人員觀察到有6個受影響的組織。

這些組織分別是：義大利與荷蘭製藥組織、德國製造商、澳洲工業自動化解決方案業者，以及位於美國的醫療辦公室與股票經紀人。

研究人員發現，攻擊者疑似依據受害組織的規模，而開出不同的贖金價碼，他們看到駭客收取的是門羅幣，金額最高的是1千萬美元，最低的則是95萬美元，落差相當大。除了門羅幣，這些駭客也接受以比特幣支付的贖金，但Palo Alto表示，受害組織若是使用比特幣付贖金，攻擊者會收取較高的金額。而研究人員根據駭客提供的比特幣錢包位址進行追蹤，駭客收到3筆款項，總計1,477,872.41美元。

而對於攻擊者向受害組織勒索的方式，Palo Alto也從勒索訊息中看到不同的內容，在不同受害組織的HelloKitty軟體裡，駭客留下的聯絡方式，同時具備洋蔥網路（Tor）的網址，以及針對受害單位的Protonmail電子郵件信箱，研究人員依據這個現象研判，可能有多組攻擊者使用相同的惡意軟體程式碼基礎（Codebase）。不過，其中一個受害組織收到的勒索訊息裡，駭客沒有留下聯絡資訊。

資料來源： 3月勒索軟體HelloKitty鎖定VMware ESXi發動攻擊，Palo Alto揭露目前災情與受害範圍