全球知名的晶片製造商高通日前針對旗下產品發布數則安全更新，用以解決產品各組件中的17個漏洞，同時發出警告表示，還有三個另外的零日漏洞目前正有心人士利用作為攻擊手段。

在這17個漏洞中，3個被評為危急，13個被評為高風險，一個被評為中風險。

該公司在一份聲明中表示：“根據Google威脅分析小組和Google Project Zero的資訊指出，CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063可能正受到有限、但針對性的利用。”

CVE-2022-22071（CVSS評分：8.4）是汽車操作系統平台中的漏洞，主要是影響Adreno GPU和Compute DSP驅動程式的問題，目前高通公司已在2022年5月更新時針對此項目進行了修補。此外，高通在2023年10月的更新解決了三個危急的漏洞，目前尚未發現此三個漏洞有任何被利用的跡象產生：

1. CVE-2023-24855（CVSS評分：9.8） – 在 AS 安全交換之前處理安全相關設定時的Modem的記憶體損壞。
2. CVE-2023-28540（CVSS評分：9.1） – 由於在TLS交握時進行不正確的驗證，導致Data Modem中的加密產生錯誤。
3. CVE-2023-33028（CVSS評分：9.8） – 在進行pmk高速緩存的記憶體複製時，WLAN韌體中的記憶體損壞。

建議相關的設備製造商都應盡快執行全面的安全更新。

目前仍遭到利用的三個漏洞，預計將在2023年12月公開更多細節資訊，但消息公布的同時，Arm也發布了針對Mali GPU核心驅動程序的安全漏洞（CVE-2023-4211）的修補更新，該漏洞也受到了有限並針對的攻擊。可猜測或許前述三個漏洞也與此漏洞有相關聯。

高通安全性更新說明：

https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html

更多關於高通與半導體相關的資安新聞：

Lapsus$又出擊，科技巨擘三星Samsung疑遭殃，傳出被盜190GB原始碼，高通也被波及

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

傳出上市半導體企業遭勒索軟體攻擊，這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!

日商半導體材料公司兼台積電供應商Fujimi和其台灣子公司福吉米遭第三方未經授權存取，生產線停擺，官網無法進入

在業界廣泛使用的容器管理應用程式 Kubernetes ，近來被披露有三個互相關聯的高嚴重性安全漏洞，可能被利用來對同一個集群中的 Windows 端點上實現帶有提升權限的遠程代碼執行。此三個安全漏洞的CVE編號分別為：CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，它們的 CVSS 評分為 8.8，影響所有帶有 Windows 端點的 Kubernetes 環境。

這些漏洞的主要威脅是它們允許攻擊者在 Kubernetes 集群中的 Windows 端點上執行遠程代碼，並進而獲得 SYSTEM 權限。具體來說，攻擊者需要將一個惡意的 YAML 文件於目標集群內執行，然後就可以在受害的 Windows 機器上執行任意代碼操作。

CVE-2023-3676 影響了所有版本低於 1.28 的 Kubernetes，能夠讓攻擊者以低權限進行攻擊，只需具有對端點的訪問權限和應用權限即可將惡意代碼在 Windows 端點上以 SYSTEM 權限執行。這樣的低門檻使得攻擊變得相對容易，大幅提升了組織受到攻擊的風險。另一方面，CVE-2023-3893 則涉及 Container Storage Interface (CSI) 代理中的特權升級，允許攻擊者獲得端點上的管理者訪問權限。

這些漏洞的共同性是在處理 Pod （Kubernetes的計算單元）時，對於使用者的輸入缺乏適當的驗證。這使得攻擊者能夠創建包含惡意代碼的 Pod，從而實現特權升級和遠程代碼執行。

這組漏洞對企業的安全性構成了嚴重威脅，特別是那些大量使用 Windows 端點設備的企業。因此，企業應該盡快採取必要的措施，包括更新和修補 Kubernetes，以確保其系統免受潛在的攻擊風險。

竣盟科技針對此項漏洞的建議如下：

立即進行版本更新：確保您正在使用已經修補這些漏洞的最新版本的 Kubernetes。

限制訪問權限：限制誰可以在您的集群中創建或修改 pod。實施嚴格的基於角色的訪問控制（RBAC）政策。

稽核與監控：密切關注您的日誌活動，標記和調查不尋常或未經授權的 pod 創建活動，特別是包含嵌入式 PowerShell 命令的項目，所有這些都是潛在攻擊的強烈徵兆。

Kubernetes是什麼？

Kubernetes是一個開源的容器管理平台，它用於自動化和管理應用程式的部署、維護和擴充。可以幫助開發人員和維運團隊更輕鬆地管理容器化的應用，提供了一個可擴充、高度可用的平台，支持應用程式在不同的環境中運行，包括本地、雲端和混合雲環境。Kubernetes提供了自動化的容器部署、擴充、故障恢復和負載平衡等功能，使應用程式更加穩定、可靠且易於管理。它已成為容器化應用程式的標準，被廣泛用於現代雲原生應用的開發和運營。

最新一款針對Mac使用者的資訊竊取惡意軟體MetaStealer已經現身，攻擊者專門瞄準企業用戶。這種惡意軟體通常偽裝成Adobe應用程式或檔案，或者隱藏在一般的檔案文件之中。SentinelOne的研究人員表示，目前發現的MetaStealer樣本多數都是隱藏在使用.dmg副檔名的檔案之中，這種直接挑明了針對macOS的惡意軟體是相當罕見的，因此也被猜測可能有要針對某些特定的企業用戶。

MetaStealer專為搭載Apple M1和M2處理器的Mac設計，其代碼經過重重隱藏跟混淆，企圖令人看不清他的用意為何。儘管如此，研究人員還是發現到MetaStealer能夠竊取已保存的密碼、iCloud鑰匙圈的功能、以及多數的文件檔案，甚至有些變種是專門瞄準Telegram和Meta應用程序。

MetaStealer首次於2023年3月被發現，此後不斷更新、進化、並發展不同變種。最近，蘋果公司已將該惡意軟體增加到macOS的XProtect防惡意軟體系統中。儘管一些版本中嵌入了蘋果開發者代碼簽名，但多數樣本未使用簽名，這代表攻擊者會透過各種方式來引導受害者進行一系列操作，藉以繞過Gatekeeper等保護機制。

MetaStealer並非首款針對Mac使用者的資訊竊取惡意軟體，研究單位還發現了一款稱為Atomic Stealer的惡意軟體，與MetaStealer相同，是針對macOS的使用者所設計，但目前為止尚不清楚兩者之間是否有任何關聯。MetaStealer等惡意軟體的出現，代表惡意軟體作者正積極瞄準MacOS的使用者，特別是那些慣以macOS進行日常作業的企業用戶，藉此竊取更多機敏資訊。

這一趨勢令安全人員感到擔憂，當這些惡意軟體開始橫跨到不同系統並且積極開發之時，意味著針對不同作業系統的設備都需要有相應的解決方案，這使得原先就已捉襟見肘的資安預算更加顯得不足。

更多關於針對macOS惡意軟體之消息：

LockBit 勒索軟體組織轉向以mac電腦為目標？！專家發現首款針對macOS 機器的 LockBit 加密工具！
https://blog.billows.com.tw/?p=2593

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

MetaStealer的部分入侵指標(Indicator of compromise -IOCs):

SHA256        ef0dd9ee92148dfc1d731d42812688f28dd276c2307ac8674a216a2371d156cd                                 

SHA256        8dd5bcc737e7b4bf98db09b082c34469b7095da3a4d314b1ca9b43316340da20                                               

SHA256        7344c02c3c366be28df78afb2df87a02a96f82d6fce1df8604067dcb02363dc8                                             

SHA256        50427037543eb5d8be12940c8fac6b4710e15125ee2b77b0743b017eafd8af9f                                  

SHA256        3725b015c4d5e5632e2ab87327f5f20733fc5d821ce500725b6d6c84694de670                          

SHA256        2d70d5965f201d97f4a763e95c7074dfd7ddbf9b7118e79ebf79c13235e1d821