在这一星期IT界与资安界最重大的新闻，就是有开发人员意外发现了XZ/liblzma被植入后门的事件，红帽也公布了XZ相关漏洞CVE-2024–3094，本期有多篇新闻与此事件有关。

所幸的是，这次能够及早揪出了这个潜藏的后门，目前只有部分Liunx版本受影响，影响层面还不是太广，然而，这起针对开源软体的供应链攻击事件，正持续受到调查与探讨，

不只是意外发现的过程，后门植入的手法，更让各界吃惊的是，涉及此事件提交的GitHub帐号，竟是从2021、2022年就开设帐号，并逐渐取得原始XZ维护者的信任，这样的潜伏历程备受瞩目，也再次引发各界对于开源软体安全议题的探讨。

还有两个Linux漏洞的揭露值得关注，一是名为Flipping Pages、涉及netfilter元件的漏洞，一是名为WallEscape、涉及util-linux 套件的漏洞。这两个漏洞的修补，分别在今年1月底与3月底释出，近期研究人员各自揭露漏洞细节与并利用场景，同时呼吁尚未因应的用户尽速更新。

在其他漏洞利用消息方面，使用AI框架Ray的企业组织需特别留意，去年11月底Anyscale揭露5个漏洞，唯有CVE-2023-48022漏洞没有修补，甚至认定这并非漏洞，但如今有资安业者揭露名为ShadowRay的攻击行动，并指出该漏洞已被用于攻击行动。

Google Pixel手机用户也要当心，在Android的4月安全更新公告中，有两个Pixel的资讯洩漏漏洞已有迹象受到针对性利用，分别CVE-2024-29745、CVE-2024-29748，本期资安日报尚未提及，在此补上。

在最近的资安事件中，还有2则新闻我们认为值得重视，分别发生在美国网路安全暨基础设施安全局（CISA），以及非营利组织OWASP基金会。我们整理如下：●美国CISA亦受到年初Ivanti系统漏洞影响，骇客针对美国联邦高风险化学关键设施，入侵CISA提供的化学品资安评估工具（CSAT），并成功部署了Web Shell，且另一关键基础设施资安资讯工具CISA Gateway也受影响。●以公布十大网站资安风险而广为知名的OWASP基金会，最近发布资料外洩通知，说明2006至2014年的成员简历档案可能外洩，原因出在一台旧的维基（Wiki）网页伺服器，当中存在组态配置不当的问题。

此外，国内发生一起7所高中校务系统遭骇的事件，我们认为，当中有两个议题值得留意与警惕。一是关于骇客勒索的对象，并非这些学校，而是打造校务行政系统的亚昕资讯，另一是通用帐号密码的问题，调查中发现骇客先入侵1所学校的系统，获得登入该校务系统的帐密，但骇客利用同一组帐号密码，也能成功登入其他6所学校的系统。

?

【4月1日】发现潜伏三年的供应链攻击事件，程式库XZ Utils近期被植入后门

週末一起供应链攻击事件的揭露，震撼了整个资安圈，也让IT界忙于修补因应，有攻击者针对XZ Utils资料压缩程式库植入后门，而这个后门将可让攻击者绕过SSHD的身分认证机制，且相当难以察觉。

?

幸好有研究人员因为调查一个SSH登入失败及登入变慢500豪秒的状况而发现，但回顾这个提交恶意的GitHub帐号，竟是在2021年就注册，并从2022年2月就开始试探性的对XZ程式库提交Commit。

【4月2日】CISA传出向美国政府报告Ivanti系统遭到入侵的事故

今年初Ivanti公布一连串Connect Secure、Policy Secure漏洞，再度震撼全球资安界，有研究人员不断发现相关攻击行动，但截至目前为止，鲜少企业组织证实遭到相关攻击，不知该庆幸没事或担心有后遗症。

?

直到3月上旬，传出美国网路安全暨基础设施安全局（CISA）所属的Ivanti伺服器遭到入侵，导致其中2个系统被骇，等于证实上述漏洞的确产生冲击，而在3月底，该机构也向数个政府机关报告此事细节。

【4月3日】研究人员发现中国骇客组织APT41旗下团体使用更为隐密的方式迴避侦测

最近几年中国骇客组织APT41的攻击行动不时传出，但今年初鲜少有相关的事故揭露，直到最近，有研究人员发现该组织旗下团体的攻击手法。

?

资安业者趋势科技发现该组织旗下团体Earth Freybug，特别针对端点防护系统（注：这里研究人员应该指的是EDR相关系统）追蹤恶意行动的方法下手，企图让这类系统无法侦测他们的行蹤。

?