Security News Feed

GitHub項目問題(Issue)的評論功能遭到濫用，駭客利用該功能傳播Lumma Stealer惡意程式，使用者應留意Github上的任何檔案與連結，若有不慎遭攻擊成功，應儘速更換帳號密碼，以確保個人電腦使用安全。 此次事件最早是由一位維護Rust函式庫:teloxide的人員在Reddit論壇上提出，發現其維護的函式庫中的評論出現偽裝修復程式，實際上為惡意程式的留言內容。 下圖為駭客散播惡意程式的評論範例，顯示民眾可透過bit.ly或 mediafire 連結來下載修復程式，且在目前觀察到的評論中，密碼皆使用changeme。 圖1  駭客散播惡意程式的評論，圖片取自 BleepingComputer 若點擊圖1的連結就會下載 fix.zip ，解壓縮後為圖2的內容，將其丟入 AnyRun 惡意程式分析沙箱平台，即能識別為Lumma Stealer 惡意程式。 圖2 含有 Lumma Stealer 惡意程式的檔案，圖片取自 BleepingComputer Lumma Stealer惡意程式是一種竊取資料的惡意程式，將竊取使用者的瀏覽器裡儲存的 Cookie、憑證、信用卡、密碼、瀏覽紀錄等，並將竊取的資料傳回饋予攻擊者，而後攻擊者可以利用這些資料進行下一階段的攻擊，或將其販賣於地下市場。 資安研究人員Nicholas Sherlock指出過去 3 天觀察到超過 29,000 個評論在 Github上散播Lumma Stealer惡意程式，Github管理人員亦表示已經有檢測到這些評論並將其刪除，但在Reddit仍持續有發現民眾留言表示遭受攻擊。 上個月Check Point研究人員發出一份報告，其有關駭客組織Stargazer Goblin 利用Github上有3,000多個假帳號遭利用來散播惡意程式，雖不確定是否跟此次事件有關，但使用者須小心謹慎對待Github上的任何檔案和連結，若有使用者有遭受此攻擊，應儘速更換所有帳號的密碼，來確保個人電腦使用安全。

GiveWP是一個WordPress 網站捐贈Plugin，可以讓網站輕鬆接受來自世界各地的捐贈，近期遭揭露重大資安漏洞(CVE-2024-5932)，可以讓駭客遠端執行任意程式碼且不需要任何身分認證，並能刪除所有檔案，建議使用者應更新至3.14.2版本。 WordPress此次的漏洞是出現在GiveWP Plugin，漏洞編號為CVE-2024-5932，此漏洞在通用漏洞評分系統（CVSS）的分數為10.0（滿分），代表了漏洞的嚴重性極高。 此漏洞為PHP物件注入(PHP Object Injection)，主要在 GiveWP Plugin 的 give_title 參數上，可透過注入特殊的PHP物件來觸發反序列化，而該物件跟 Plugin 裡面現有的POP 面向屬性編程鏈結合，成為遠端程式碼執行 (RCE)，也就是攻擊者可不經身份驗證，就可完全控制受漏洞影響的WordPress網站。 序列化是指可將複雜的資料轉換後做儲存，反序列化即是將序列化後的資料轉換回原本的模樣，如底下是一個 PHP 序列化資料的範例 a:2:{s:12:”productPrice”;s:5:”11111″;s:7:”price”;i:10;} PHP 程式碼基本都是物件導向的，其中程式碼被組成「類別」，類別為包含有變數(稱為屬性)和函數(稱為方法)的模板，程式透過類別來創建物件，從而產生可重複使用和維護的程式碼，若Plugin 在沒有清理乾淨的情況下，反序列化使用者輸入的資料，則可能讓攻擊者注入惡意的內容，使其在反序列化的時候變成 PHP 物件，若反序列化出來的物件存在魔法方法 (Magic Method)時，可能會導致惡意的攻擊行為。 魔法方法(Magic Method)是類別中的特殊函數，用以定義某些事件發生時要執行的行為，如不需要物件時要如何清理、創建物件時要初始化執行的事情等。 此漏洞為資安研究員 villu164 透過Wordfence Bug漏洞賞金計畫發現並提出研究報告，鑒於此Plugin是作為捐贈和募款平台性質使用，故而攻擊可能會曝露捐贈者的敏感資料，並影響使用該Plugin組織的聲譽，建議使用者/組織應儘速更新至3.14.2版，以避免受到影響。

Infoblox和Eclypsium的研究人員發現一種網域名稱劫持攻擊，取名為「Sitting Ducks」，有超過百萬個網域易遭受此攻擊，且目前觀察到有數十個與俄羅斯相關的攻擊者正在利用此種攻擊。 Infoblox 和 Eclypsium 的研究人員發現 DNS 存在一種攻擊媒介，且有十多個與俄羅斯有關的攻擊者正在利用此種媒介進行攻擊，這是一種網域名稱劫持，研究人員給其名稱：Sitting Ducks。網域名稱系統(Domain Name System, DNS)是用以將網域名稱與IP連結，網域名稱是為了讓人更好記憶網站，但電腦裝置之間的通訊是透過IP來傳輸，因此透過DNS將網域轉為IP位址，這樣瀏覽器才能載入網站。 過去存在很多種針對DNS進行網域劫持，可讓攻擊者去執行惡意軟體傳播、網路釣魚、品牌冒充及資料外洩，而從2019年以來至今，Eclypsium 的研究人員認為超過 3 萬個網域被 Sitting Ducks 攻擊劫持，且當前有超過百萬個網域都有遭受此攻擊的風險。 Sitting Ducks攻擊的特性為易於執行攻擊且難以偵測，但可以完全被預防。Sitting Ducks攻擊是攻擊者去劫持目前已經註冊的網域，這些網域註冊在公開具權威性的DNS服務供應商或網頁主機供應商，而一旦攻擊者劫持網域，就可以假藉合法者的身分來進行任何惡意活動，如散播惡意程式、寄送釣魚信等。 由於Sitting Ducks攻擊並不需要攻擊者註冊網域名稱，故而跟常見的 DNS 劫持攻擊有根本的不同。Sitting Ducks攻擊的核心是網域名稱註冊商的錯誤配置和DNS 提供者的預防不充分所造成。 以下幾種情況可能會發生Sitting Ducks攻擊： 註冊的網域解析使用其他家DNS供應商，也就是使用DNS委派(即DNS 伺服器將部分網域解析作業委託其他DNS 伺服器執行) DNS委派異常，意即接受委派的DNS伺服器上並沒有該註冊網域資料，因此無法提供DNS查詢。 DNS服務供應商設定錯誤，攻擊者可與DNS服務供應商聲明其擁有受害者網域名稱並設定DNS紀錄，而不需證明其為網域名稱註冊處的對應有效使用者。 故而促成此攻擊的主要因素就是DNS委派上的問題，同時DNS服務供應商存在錯誤的設置。 Infoblox研究人員表示其觀察約十幾個DNS服務供應商，發現此攻擊被廣泛利用，尤其以俄羅斯相關犯罪者最為常見，每天有數百個網域被劫持。 圖1說明Sitting Ducks攻擊的常見流程，主要攻擊過程為受害者跟網域供應商Registrar A 註冊網域 brand.com ，並交由DNS 服務供應商 Auth DNS B 做解析 而一段時間後，受害者暫時不再需要使用網域 brand.com，但仍透過Registrar A 保有網域的擁有權，但這時 Auth DNS B解析服務已過期，這時攻擊者跟 DNS 服務供應商 Auth DNS B 聲稱擁有網域 brand.com 的擁有權，並設置 DNS 解析紀錄，來將該網站解析到攻擊者的惡意網站，此時攻擊者就可以假冒受害者的身分來對其他人發送釣魚郵件或散播惡意程式，這時受害者嘗試跟DNS服務供應商Auth DNS B聲稱擁有網域 brand.com的擁有權，會遭到拒絕。 圖1 : Sitting Ducks 範例攻擊流程 圖片取自：https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ Sitting Ducks 攻擊是可以被預防的，透過上圖說明可知它的存在成因源自網域名稱和 DNS 紀錄管理上的缺陷，如果網域註冊商跟 DNS 服務供應商是同一家單位則不存在此問題，而如果是不同單位，只要確實做好管理就可以預防攻擊發生 過去也有這次的攻擊事件探討跟發生： 此次攻擊最早一次被提及是 2016 年由作者 Matthew Bryant 寫的文章「孤立的網路–透過 DNS 漏洞接管 12 萬個網域」 2019年時，攻擊者透過此攻擊濫用了 GoDaddy.com 的弱點發送大量的垃圾郵件 建議網域持有者可以執行以下操作： 檢查自己的網域註冊服務商跟DNS 服務供應商是否為同一個提供者，如果是的話則不會受此攻擊影響。 檢查自己的網域和子網域是否將網域名稱解析委派給已經過期或無效的服務供應商, 若是，請更新資訊以避免受此攻擊影響 諮詢自己的DNS服務供應商是否對此類攻擊已有緩解措施，如果 DNS 服務供應商已經有緩解措施則不必擔心此類攻擊。

美國網際安全暨基礎設施安全局（CISA）日前發布警告，指出由陞泰科技（Avetech Security）製造的網路攝影機存在高風險命令注入漏洞。由於該漏洞尚未修補，且已遭利用攻擊，CISA建議用戶立即採取相關防護措施，以確保系統安全。 該漏洞編號為CVE-2024-7029（CVSS 3.x分數為8.8），允許攻擊者在無需密碼或身份驗證的情況下，可以管理者身份遠端向攝影機注入並執行指令。受影響的設備包括特定韌體版本的AVM1203 IP攝影機。 陞泰科技近期針對本次漏洞發表聲明，指出AVM1230為停產近七年的產品，並表示後續將評估是否釋出修補軟體或提供替代方案。此外，該公司已對目前產品線進行全面檢測，確認目前銷售的機種已經採取相關處理措施與解決方案，確認銷售機種韌體不存在本次漏洞。 CISA指出，此漏洞由Akamai通報，並經第三方組織確認特定產品及韌體存在問題。Akamai研究人員在2024年3月就已發現針對該漏洞進行探測的紀錄，並在分析蜜罐日誌時確認本次漏洞。漏洞存在於文件 /cgi-bin/supervisor/Factory.cgi 的「亮度」功能中，利用此漏洞可使攻擊者在目標系統上遠端執行程式碼。目前，該漏洞已被用來傳播惡意軟體，該惡意軟體疑似是Mirai變種。 由於該漏洞的產品廣泛使用於全球，包括商業設施、醫療保健、金融服務和交通運輸等關鍵基礎設施領域。在廠商尚未釋出修復更新前，CISA建議用戶透過防火牆或相關防護設備限制網際網路的IP存取網路攝影機並與企業內部網路隔離，若有遠端存取的需求，僅開放VPN或特定IP來源等連線方式。

美國於2024年7月20日開始禁止資安軟體公司卡巴斯基（Kaspersky）在美國銷售網路安全產品及防毒軟體，此項禁令為美國商務部工業及安全局(Bureau of Industry and Security，BIS)於2024年6月20日宣布之裁決結果（Final Determination），主要原因為該公司產品影響美國國家安全，自2024年9月29日起，卡巴斯基也將被禁止提供相關產品更新，惟未涵蓋卡巴斯基所提供的威脅情報產品/服務、安全培訓產品/服務、顧問與諮詢服務。 卡巴斯基(Kaspersky)是一家全球知名的網絡安全公司，總部位於俄羅斯，成立於1997年。由尤金·卡巴斯基(Eugene Kaspersky)創立，該公司專注於提供全面的網路安全解決方案，包括防毒軟體、防火牆等。卡巴斯基的產品服務範圍涵蓋個人、小型企業、大型企業及政府機關，以其高效的威脅檢測和防護技術著稱。公司致力於保護用戶免受各種網路威脅，並在全球擁有廣大的客戶。 美國工業及安全局針對卡巴斯基軟體對於國家安全構成不當或不可接受的風險原則提出理由如下： 卡巴斯基受到俄羅斯政府的管轄、控制或指揮，可能導致利用卡巴斯基防毒軟體存取電子設備之敏感資訊。 卡巴斯基可透過提供網路安全和防毒軟體，對客戶資訊擁有廣泛的存取與管理權限，因此卡巴斯基的員工可能將美國客戶的資料轉移至俄羅斯。 卡巴斯基可藉由安裝產品在美國客戶設備上之名義，安裝惡意軟體或阻止關鍵更新，使美國客戶和關鍵基礎設施容易受到惡意軟體利用和威脅。 卡巴斯基的軟體產品可透過轉售，將其網路安全或防毒軟體整合到其他第三方產品，將會導致第三方交易中，因軟體原始碼未知而增加卡巴斯基軟體無意間被引入用戶的設備或網路。 此次禁令導致卡巴斯基多項產品受到影響，美國政府允許企業和用戶有一段時間可以尋找替代方案，在2024年9月29日之前仍可更新卡巴斯基的軟體服務。 值得注意的是，該禁令並未涵蓋卡巴斯基所提供的威脅情報產品/服務、安全培訓產品/服務、顧問與諮詢服務。因此，美國組織仍可與卡巴斯基進行教育性質的服務。

資安業者 Group-IB Threat Intelligence 發現了一款基於Golang的勒索軟體-Eldorado，勒索軟體專門針對大型企業進行攻擊，並且具有跨平台攻擊能力，可攻擊 VMware ESXi、Windows 和 Linux 等多種系統。Eldorado 屬於勒索軟體即服務(Ransomware-as-a-Service,RaaS)，利用先進的方式加密金鑰及目標檔案，以SMB協定進行橫向擴散，並刪除特定檔案抹除加密痕跡及避免加密檔案被還原。   隨著科技的進步，攻擊者不斷探索新的攻擊方式，勒索軟體即服務已經演變成類似於大型企業的運作模式，這些勒索軟體組織持續在暗網論壇招募新的合作夥伴，並讓不同夥伴在團隊中執行特定任務。Eldorado 的相關訊息最初出現在俄羅斯的地下勒索軟體論壇 RAMP，當企業受駭後，Eldorado會透過暗網Onion 網域的聊天平台與受駭者聯繫。截至 2024 年 6 月，全球已有 16 家公司遭到 Eldorado 攻擊，其中大部分位於美國，受影響的行業包括房地產、教育、專業服務、醫療保健和製造業等。   為了支援跨平台功能，Eldorado 使用 Golang 程式語言開發，讓其程式可在Windows與Linux的32bit及64bit系統中執行。此勒索軟體使用 Chacha20 演算法快速加密檔案，以Rivest Shamir Adleman-Optimal Asymmetric Encryption Padding(RSA-OAEP)加密金鑰，被加密的檔案其副檔名會被改為”.00000001”，並在「文件」和「桌面」的目錄中建立名為「HOW_RETURN_YOUR_DATA.TXT」的文字檔案，裡面含有攻擊者的聯絡資訊。另Eldorado會透過 SMB 協定（SMB2/3）方式加密共用網路上的文件，且在加密完檔案後，使用 PowerShell 的命令，先以隨機位元的方式覆蓋加密器(encryptor)再刪除該檔案，以抹除相關加密的痕跡，最後也在系統中刪除windows的陰影複製(shadow copy)備份資料，防止受害電腦透過此機制復原被加密的檔案。   整體而言，儘管企業的網路安全意識不斷提高，但總有新形式的網路攻擊在不斷精進和發展。Group-IB 建議採取以下防禦措施： 採多重身份驗證（Multi-factor authentication,MFA） 建置端點偵測和回應（Endpoint Detection and Response,EDR），以協助識別勒索軟體的活動跡象 定期進行資料備份 使用人工智慧進行即時偵測入侵 定期更新系統並執行安全性修補 安排教育訓練，以幫助員工識別網路攻擊(如:釣魚郵件) 每年針對系統進行技術稽核或安全性評估 永遠不要支付贖金 受到攻擊時，尋求專家協助 Group-IB 強調，企業必須在網路安全工作中保持警覺和主動，以減輕這些不斷演變的威脅所帶來的風險。

2024年7月19日資安公司CrowdStrike的Falcon Sensor更新程式出現故障，導致全球各地Windows電腦出現藍色畫面當機(BSOD)​狀況，全球企業和政府機關產生影響，包括航空公司、醫院、運輸機構及媒體公司等，許品Falcon Sensor市佔率為前幾名，因此這次更新問題導致大量Windows電腦多機構的運營受到嚴重干擾。CrowdStrike是知名的網路安全公司，其端點防護產陷入當機及系統重啟的循環，使得用戶無法正常使用電腦。 此次事件是由於Crowdstrike的Falcon平台派送有缺陷的更新所引起，導致已安裝該產品的某些版本Windows系統大範圍崩潰。許多企業反映其Windows電腦會自動重新啟動，並不斷循環地進入藍色當機畫面，其影響巨大，使全球的關鍵基礎設施營運產生嚴重衝擊，包含德國、日本、印度和美國的企業都出現類似問題。在台灣，許多公私立機關和企業也受到了影響，多家銀行、醫療機構及科技公司在事件發生後紛紛發現其系統無法正常運作，部分機構的業務運營因此中斷超過1小時。 CrowdStrike在發現問題後迅速做出了反應，發布了修補程式及解決方案。該公司表示這不是網路攻擊，問題的根源是某個Falcon Sensor更新檔案未經充分檢查所致。CrowdStrike已經刪除錯誤更新檔案並發布了修補程式，用戶可透過官方網站提供的步驟回復系統(可參考相關連結)。 此外，微軟針對此當機狀況提出2個復修方式，分別是「從WinPE復原」及「從安全模式復原」。若選擇從「從WinPE復原」，可以快速並直接復原系統，不需要系統管理者的權限，但系統已透過BitLocker或第三方軟體加密時，需先解除加密狀況才能修復受影響的系統。若選擇「從安全模式復原」，則需使用本地管理者權限的使用者登入後進行修復。需要注意的是，在復修之前需先下載已簽署的Microsoft Recovery Tool，並透過工具中的powershell檔案建立USB開機碟。 全球資訊科技研究顧問公司 Gartner 指出，企業即使在此次事件未受影響，以安全性的角度來看，仍需關注其帶來的影響，以防範未來類似事件的發生。Gartner 同時建議企業應重視資安事件的應變措施，資安事件發生時的相關處理措施如下： 立即採取行動（第一到七天）： 【事件應變與危機管理】 通知危機管理團隊，讓其參與並協助應處 通過有效的危機溝通通知所有利害關係人 驗證資訊來源以避免遭受二次網路攻擊 動員危機管理團隊以防止使用者操作失誤 指派專門的溝通團隊進行內部利害關係人的協調 讓安全運營團隊參與監控和應對新威脅 【技術修復】 讓 IT 專業人員幫助使用者解決問題 建立分類流程，以對資產進行分類並確定設備修復的優先順序 利用資產管理工具識別並列出已離線的設備 避免過度反應，例如完全停用或替換CrowdStrike 中期行動（第1到2週）： 【評估影響與安全】 與 SOC 團隊一起檢視異常情況，以降低未檢測到的攻擊風險 參與營運衝擊分析會議，一同討論潛在的安全風險 向公司中高階領導報告設備的狀況，並持續提供穩定的環境 盡量讓端點保護工具在佈署更新檔時能先行測試，減少更新失敗的狀況 可透過輪班或其它方式，以減輕員工的壓力及倦怠感 長期行動（第8 至 12 週） 【韌性和準備】 重新審視公司在發生大規模主機當機時的預防、回應和支援程序 檢查並更新停機程序，並根據需要修訂危機溝通計劃、事件反應流程及災害復原和持續營運計畫 確保關鍵員工有能力並參與測試企業系統 CrowdStrike 的停機事件強調了專注於韌性的必要性，必需建立全面性的策略目標 部署安全產品前評估其效益，選擇合適的工具以改善現有的防護機制

2024年7月8日俄羅斯資安公司 Solar 的網路威脅情資中心(4RAYS)資安人員揭露一個親烏克蘭APT 組織：Lifting Zmiy 對俄羅斯政府和私人公司進行一系列的攻擊活動。 攻擊活動追蹤時間為 2023 年 9 月至 2024 年 6 月發生的4 起攻擊事件作分析，目標為俄羅斯工控自動化公司Tekon-Avtomatika 的可程式化邏輯控制器(Programmable Logic Controller，PLC) 設備，型號為 KUN-IP8，並在設備上部署中繼站，進而以此攻擊其他目標，研究人員分析發現受害者遍及各個行業，Linux 和 Windows 系統均無法幸免。 此次威脅研究足以表明，過往大多認為營運科技(Operation Technology, OT)網路攻擊是透過入侵資訊科技(Informatiom Technology, IT)系統做為跳板，進而滲透至OT環境，而本次的攻擊則是先透過入侵OT環境後，轉攻擊IT。此次問題的原因在於PLC設備使用了預設的憑證資訊。 資安人員Jose Bertin 在2022年3月研究指出存在大量使用預設最高管理員憑證的PLC設備，而這些憑證資訊當時公開在 Tekon-Avtomatika 公司的官方網站上，儘管該公司隨後即刪除預設最高管理員憑證，但仍有不少設備並未更改，而APT組織 Lifting Zmiy 即利用這些資訊入侵PLC設備，並將其作為中繼站。此外，這些中繼站IP的供應商為 Starlink Services LLC ，其為SpaceX的一個部門，SpaceX在全世界各地提供衛星網路服務，駭客透過SpaceX的 Starlink 基礎設施來隱蔽其行蹤，且受益於動態IP，以規避物理位置的檢測分析，為駭客提供一個難以被追蹤和監控的攻擊平台。 然而，在此之前已有資安人員對OT環境安全感到憂心，BlackHat USA 2015 演講：INTERNET-FACING PLCS-A NEW BACK ORIFICE 和BlackHat Asia 2016演講：PLC-Blaster:A Worm Living Solely in the PLC共同探討透過感染 PLC 作為中繼站的展示，此次研究是歷史上首個公開研究針對攻擊 PLC 作為 中繼站跳板的攻擊，研究人員寫了一個概念性驗證程式，給其名字為：PLC-Blaster，他是研究人員為了測試而開發的概念性驗證的蠕蟲(一種惡意程式類型)。攻擊對像為西門子所開發的PLC設備，型號為 S7-1200，研究人員是透過將惡意程式寫入至PLC，使PLC作為跳板執行命令作攻擊行為。 此次研究站在防禦的角度上，過往工控資安防禦主要為對HMI和PLC之間的流量建立Baseline來偵測異常，並實施白名單管制，從Purdue Model角度來看，關注的安全防護主要是垂直的。垂直的意思是HMI和PLC之間的通訊，也就是Purdue Model裡面Level 2 和Level 1之間的網路流量，而鮮少探討水平之間的流量檢測，水平的意思就是Purdue Model裡面Level 1和Level 1之間的通訊流量，且過往白名單會去信任PLC，所以透過PLC發出的流量會無條件被信賴，此次研究則利用此問題，透過控制 PLC 作為跳板進行攻擊以規避防禦產品偵測 近期2022 年由工控資安公司Claroty的Team82 研究團隊曾發布白皮書：EVIL PLC ATTACK: WEAPONIZING PLCS，內容研究的攻擊名字取名為：Evil PLC，主要是透過感染 PLC 讓其武器化可以執行命令。 研究人員撰寫了概念性驗證程式並對 7 家工控廠商(洛克威爾公司、施耐德電氣公司、通用電氣公司、貝加萊公司、信捷電氣公司、英國奧威公司、艾默生電氣公司)的PLC設備進行測試，顯示過往PLC多為攻擊的目標，如歷史出現過的資安事件：Stuxnet,Incontroller/Pipedream等，但此研究是將 PLC作為攻擊使用的武器，來進一步對其他系統作攻擊，雖然非真實的案件，但也證明這樣的攻擊情境是值得關注的。 總結來說，過往針對工控的安全大多會無條件去信任PLC，且一般已知攻擊主要都是透過感染IT系統之後擴散攻擊至OT 環境。 而從目前越來越多研究表明存在以PLC做為入侵端點，攻擊其他資訊系統，因此，在OT環境設置上，不能再無條件信任PLC發送的資料，同時也需要做好網路分段，避免所有人機介面(Human-Machine Interface,HMI)都可以跟 PLC 做連接，從而增加 PLC 被寫入惡意程式的可能性，也要盡量即時更新 OT 軟體，已避免存在已知漏洞能直接對 PLC 做寫入。

近日全球廣泛使用的開源地理位置資訊伺服器GeoServer被發現存在嚴重的安全漏洞（CVE-2024-36401）。該漏洞源於GeoServer處理XPath表達式的方式，使得未經身份驗證的遠端攻擊者能夠利用這個漏洞在受影響的伺服器上執行任意代碼，從而獲取伺服器權限，近期已經發現有駭客利用漏洞進行攻擊，建議使用者儘速完成更新。 GeoServer是一個開源的地理空間資訊伺服器，允許用戶使用各種開放地理空間聯盟(Open Geospatial Consortium,OGC)標準發布和管理地理空間數據。GeoServer的功能強大且靈活，廣泛應用於政府、企業和學術機構。 CVE-2024-36401主要涉及GeoServer與GeoTools函式庫API之間參數傳送的內容，GeoServer在傳遞元素類型屬性名稱給commons-jxpath函式庫時存在不安全的操作，允許未經身份驗證的攻擊者注入特製的XPath表達式，導致可以執行任意程式碼。XPath是一種用於在XML文檔中選擇節點的語言，GeoServer使用的commons-jxpath函式庫，允許在Java中使用XPath表達式。這些技術的結合使GeoServer可以靈活地處理和查詢地理空間數據，但同時也引入了潛在的安全風險。GeoServer中XPath表達式評估的設計用途，原本應該只用於複雜特徵類型(如應用模式數據存儲)的 XPath 表達式評估，現在錯誤地被應用於簡單特徵類型，導致所有 GeoServer 實例都受到這個漏洞的影響。 在GeoServer中，WFS(Web Feature Service)是OGC定義的一個標準，用於在 Web 上共享地理空間資訊的標準化服務，它允許使用者通過 Web 服務查詢和擷取地理特徵的屬性資訊。在此漏洞中，WFS為攻擊者利用漏洞的一個入口點，攻擊者可以利用特製的請求觸發漏洞。 WFS功能中的WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 均存在漏洞，未經身份驗證的遠端使用者可透過特製的輸入內容在預設的 GeoServer 中執行遠端程式碼(RCE)。 根據研究報告，GeoServer及GetTools影響的版本如下： GeoServer •GeoServer< 2.23.6 •2.24.0 <= GeoServer < 2.24.4 •2.25.0 <= GeoServer < 2.25.2 GeoTools •GeoTools< 29.6 •31.0 <= GeoTools < 31.2 程式碼執行 •30.0 <= GeoTools < 30.4   為了減輕CVE-2024-36401漏洞帶來的風險，可依下列方式修補GeoServer和GeoTools： •刪除 gt-complex-x.y.jar 檔案：從 GeoServer 中刪除 gt-complex-x.y.jar 檔案，其中 x.y 為 GeoTools 版本(例如，如果運行 GeoServer 2.25.1，則刪除 gt-complex-31.1.jar)。此方法雖可提供臨時保護，但可能會影響 GeoServer 的某些功能。 •更新受影響的 JAR 檔案：修補版本已發布，用戶可以從 GeoServer 發布頁面下載受影響版本的 gt-app-schema、gt-complex 和 gt-xsd-core JAR 檔案。下載完畢後，只需用修補版本的檔案取代原始檔案即可。

OpenSSH 從1995 年問世以來，這是第一次出現遠端執行任意程式碼(RCE)漏洞(regreSSHion)，可以用最高管理員權限來遠端執行指令對系統控制，研究人員將它稱為regreSSHion。 OpenSSH 是一個基於 SSH 協定的開源軟體，常見於 Linux 中使用，作為遠端登入系統管理，也可進行遠端檔案傳輸，此次漏洞在2024 年 5 月被資安公司 Qualys 發現並將其命為regreSSHion(漏洞編號：CVE-2024-6387)，漏洞問題出現在檔案 sshd中，可以讓未經授權的攻擊者以 root 身分執行任意程式。 sshd 是 OpenSSH Server 的設定檔案，其存在一個變數 LoginGraceTime ，若沒有更改這個變數值，預設是 120 秒，它是代表給予使用者進行身分驗證的時間，所以當使用者使用 ssh 連接時，超過 LoginGraceTime 設定的時間 (預設 120 秒) 沒有完成身分驗證，則 sshd 會去呼叫 SIGALRM 信號處理，並會呼叫不安全的非同步函數做處理，而攻擊者可以在此時利用競爭情況(race condition) 以最高管理員權限執行任意程式碼。 競爭情況 (race condition) 常見於多執行緒的系統，當多個執行緒同時存取或修改共享的資料時就會發生這個問題。 在 sshd 處理 SIGALRM 信號時，就有可能觸發競爭情況，而這就可能導致未預期的行為。 經過研究人員的調查，此漏洞實際上是CVE-2006-5051 的回歸，CVE-2006-5051 是在 2006 年由 Mark Dowd 發現，他跟此次漏洞一樣都是信號處理競爭情況的漏洞，可以讓攻擊者造成阻斷服務攻擊。 稱之為回歸是因為在 2020 年 10 月 OpenSSH 版本 8.5p1 的更新(commit 編號：752250c)，把 OpenSSH 裡面 sshd 程式的 SIGALRM 信號處理函數 sigdie() ，刪除其中一行程式碼#ifdef DO_LOG_SAFE_IN_SIGHAND，而這也造成了： OpenSSH 版本小於 4.4p1 會遭受漏洞影響，這是對 CVE-2006-5051 的錯誤修補 4.4p1 <= OpenSSH 版本 < 8.5p1 並無受此漏洞影響，因為 CVE-2006-5051 有添加 #ifdef DO_LOG_SAFE_IN_SIGHAND 8.5p1 <= OpenSSH 版本 < 9.8p1 再次容易受到威脅影響，因為 #ifdef DO_LOG_SAFE_IN_SIGHAND 意外被刪除了 Qualys 研究人員指出雖然漏洞影響很大，但要實際攻擊成功並不容易，在他們的測試實驗上，平均測試連線 1 萬次才成功一次做到攻擊。 研究人員用兩個不同的作業系統做測試，以 ubuntu-6.06.1-server-i386.iso 這個 Ubuntu 版本測試，平均成功攻擊一次約需要 1 ~ 2 天，而用 debian-12.5.0-i386-DVD-1.iso (這是目前 Debian 穩定版)，平均攻擊成功一次約需要 6 ~ 8 小時。 目前研究人員透過 Shodan 和 Censys 對全世界網路進行掃描，有超過 1400 萬台的 OpenSSH Server 暴露在網路上。 而 Qualys 研究人員表示裡面存在 70 萬個 OpenSSH Server 處在易受攻擊的狀態。 受影響的軟體版本： OpenSSH 版本 < 4.4p1 8.5p1 <= OpenSSH版本 < 9.8p1 為了避免被攻擊，建議使用者： 升級 OpenSSH 到最新的版本 9.8p1 來修復此漏洞 如果暫時不能更新 OpenSSH ，則可以更改 sshd 的變數 LoginGraceTime ，將其設定為 0 ，惟可能會遭受阻斷服務攻擊