APP下載

資安一周第80期:供應鏈安全已成資安防護新重點,美國防部開始要求承包商取得相應安全等級認證

發布于2020-02-13 06:50:21

圖片來源: 

https://www.acq.osd.mil/cmmc/draft.html

0206-0212一定要看的資安新聞

?

供應鏈安全、CMMC

美國國防部將開始要求承包商必須具備網絡安全認證

圖片來源/擷取自acq.osd.mil

由于網絡安全風險威脅了美國-的國防產業與國家安全,美國國防部宣布要在今年9月底前,要求部分競標國防部合約的承包商具備網絡安全認證,此一認證將奠基在國防部所發表的《網絡安全成熟度模型認證 1.0 》(Cybersecurity Maturity Model Certification,CMMC),承包商必須依據專案的機密性,而取得不同等級的安全認證,相關的認證將由獨立的第三方負責進行。目前美國國防部將CMMC分為五個等級,從基本(Basic)、中等(Intermediate)、良好(Good)、主動防護(Proactive),到第五最高等級的進階(Advanced)。更多內容

?

個資法、假訊息

武漢肺炎疫情資訊是近期國人焦點,警方宣布偵破相關個資外泄與假新聞事件,呼吁大眾勿影響整體疫情控制

圖片來源/擷取自臺北市-警察局內湖分局

隨著新型冠狀肺炎的疫情持續,在2月10日傳出在臉書與通訊軟件有確診病患個資流傳,臺北市-警察局內湖分局發現確診患者個資外泄后,成立專案小組調查。經查為廖姓員警翻拍派出所電腦查詢新冠肺炎確診病患個資的畫面,并將圖片發送給林姓友人,而該林姓友人又傳給黃姓友人,輾轉流出到其他臉書及LINE群組。警方表示,此案依個資法41條,以及刑法132條公務員泄漏國防以外秘密罪,函送法辦。

此外,法務部調查局與刑事警察局也偵查多起假新聞的散布,包含對這次疫情、衛生紙與口罩相關的不實資訊,已有多起事件經警方通知涉嫌人到案說明,查出多位民眾未經查證即張貼、散布,以及竄改防疫宣導海報,甚至有人蓄意制造恐慌與企圖牟利,嚴重影響整體疫情控制。對此,警方將依據所涉情節,以傳染病防治法第63條、刑法第251條,或社會秩序維護法第63條第1項第5款,移送檢方偵辦,并將持續追查其他制作、散布、轉傳不實訊息者。更多內容?更多內容

?

sudo漏洞

sudo爆可取得根賬號權限的漏洞

圖片來源/擷取自sudo官方網站

Linux/Unix系統管理指令sudo的官網近日發出警告,指出sudo指令含有編號為 CVE-2019-18634的安全漏洞,將觸發緩沖溢位,并能被取得根賬號權限。sudo維護組織指出,sudo 1.7.1到1.8.25p1都受本漏洞影響,用戶應盡速升級至已修補該漏洞的sudo 1.8.31版。如果尚未能安裝更新版本,他們建議在開啟pwfeedback的sudoer檔內,將“Defaults pwfeedback”改成“Defaults !pwfeedback”,也能有效阻止攻擊。更多內容

?

芯片漏洞、后門、連網裝置

研究人員揭露海思半導體芯片的后門漏洞

圖片來源/tothi on GitHub

根據俄羅斯安全研究人員Vladislav Yarmak的揭露,發現華為旗下海思半導體(HiSilicon)生產的芯片,存在零時差漏洞,將讓駭客取得裝置最高存取權限,他們并認為是業者有意保留的后門,因為只要有人連接TCP 9530埠,開啟Telnet daemon,就能使用root賬號與固定幾組密碼登入并存取控制。而這樣的漏洞影響了采用海思芯片的各種品牌的連網裝置,包括監視器、數位錄影機(DVR)及網絡視訊錄影機(NVR)等,估計有數十萬到數百萬的裝置。Yarmak并釋出了概念性驗證攻擊程式,供使用者確認自己的裝置是否含有相關漏洞。更多內容

?

專屬協定漏洞

思科CDP協定遭爆含有5個零時差漏洞,危及數千萬裝置

圖片來源/擷取自Armis's Youtube Video

IoT安全業者Armis揭露Cisco Discovery Protocol(CDP)協定的五個漏洞,當中有4個屬于遠端程式執行漏洞,1個為服務阻斷漏洞,并統稱為CDPwn,波及Cisco旗下采用CDP的眾多產品,像是FXOS、IOS XR、NX-OS等軟件,包括交換器、路由器,以及IP Phone與IP Cameras等,估計危急數千萬個裝置。Armis研究副總裁Ben Seri并指出,這些思科的裝置都能連結到企業網絡,其中有大量裝置被置放在駭客認為很有價值的地方,過去網絡的分段經常被視為提供安全的手法,但現在此一網絡架構本身就藏匿可遭駭客利用的風險。思科已在接獲Armis通報后,于2月5日修補上述漏洞并釋出更新程式。更多內容

?

駭客入侵、資料外泄

NEC網絡遭駭,2.8萬份檔案疑遭存取

圖片來源/擷取自NEC官方網站

日本大廠再傳遭駭,繼日前的三菱電機后,近期NEC坦承三年前公司發現國防事業部一臺服務器遭駭客入侵,使2.8萬份檔案疑遭不法存取,但他們強調國防機密和個資并未外泄。根據NEC的說明,他們是在2017年6月執行網絡安全檢測,發現有從公司服務器發出的異常連線,于是將這臺服務器隔離并進行調查。經過鑒識分析后,隔年7月證實是國防事業部一臺和其他部門共用的服務器遭駭,儲存于其上的27,445份檔案,可能已經遭非法存取。更多內容

?

挖礦軟件、僵尸網絡

美國防部一臺Jenkins服務器竟被植入挖礦僵尸惡意程式

圖片來源/擷取自HackOne

研究人員Nitesh Surana在1月底發現,在一臺與美國國防部有關的AWS執行個體上的Jenkins服務器,不用密碼即可登入,任何人都可以存取內部資料夾,而這個漏洞將讓攻擊者可透過script資料夾利用Java語言執行惡意遠端指令,因此,他透過國防部在Hackone發布的漏洞獎勵計劃通報。而且,他還發現該服務器已經遭駭,被植入專門挖Monero幣的僵尸網絡惡意程式,而根據他所找到的電子錢包網址顯示,早在2018年8月就有網友發現該服務器遭入侵,只是當時不知道擁有者。更多內容

?

Andorid安全、金融木馬

具備勒索軟件及鍵盤側錄的金融木馬Anubis,鎖定逾250款Android程式展開攻擊

資安業者Cofense揭露新一代金融木馬Anubis,指出它同時具備資訊竊取、鍵盤側錄與勒索軟件等功能,還能關閉Google Play Protect。研究人員Marcel Feller說明,駭客通常借由電子郵件散布Anubis,誆騙使用者下載電子郵件中的收據,但其實那是一個Android程式安裝檔APK,當它進駐到Android手機后,即會鎖定逾250款與金融或購物有關的程式展開攻擊。更多內容

?

賬號安全、委外管理、臉書粉絲專頁

北市體育局“臺北運動吧”臉書粉專遭盜

圖片來源/擷取自臺北市-體育局官方網站

由臺北市-體育局設立的“臺北運動吧”臉書粉絲專頁,在2月7日深夜傳出管理者賬號遭盜用,發布多則色情影像內容與歐美情色連結,此事在社群平臺流傳,有國內多家媒體跟進報導。根據臺北市-體育局新聞聯絡人蔡佳穎說明,事件發生于2月7日晚間11點47分,他們在接獲消息后,立即通知委外業者處理。后續該單位也揭露更多細節,指出后臺管理權限賬號遭不明人士盜用,而原有管理者權限已被刪除,進而聯系臉書公司協助處理,而站方于8日凌晨0時45分關閉該專頁。更多內容
?

更多資安動態
●程式碼托管平臺Bitbucket被用來散布惡意程式,感染電腦超過50萬
●安全廠商Immuniweb調查,全球百大國際機場僅3家通過所有資安檢測
●Check Point揭露Philips智慧燈泡漏洞將允許駭客滲透用戶網絡
●丹麥報稅網站軟件出錯,外泄1/5全國納稅人個資

?

相關文章

最新資訊

  • 15分鐘回血近60% 騰訊黑鯊3獨家專利解析:雙電…
    2020-02-26 17:00
  • 線上爆品秒殺10000件!蘇寧百貨雙線展現地表最…
    2020-02-26 16:58
  • 紫光展銳發布首款5G SoC虎賁T7520:覆蓋范圍提…
    2020-02-26 17:00
  • 全系支持Wi-Fi 6 魅族17細節浮現:不止有865
    2020-02-26 17:00
  • 華碩發布全新165Hz曲面顯示器:31.5英寸 覆蓋1…
    2020-02-26 17:00

手機

  • 蘋果建議不要滑動關閉后臺程序 會縮短電池壽命是真的嗎?
    2020-02-26 15:51
  • 三星 Galaxy Z Flip 折疊機開箱動手玩 又美又好用的新旗艦
    2020-02-26 15:51
  • 華為 P40 將于 3/26 發表 規格、相機爆料整理看這篇
    2020-02-26 14:50
  • OPPO Find X2 預告將在 3/6 舉辦線上發表會 又一款 S865 旗艦要來了
    2020-02-26 11:50
  • 華為第二代折疊機 Mate Xs 發表 規格升級、耐用度提升、一樣沒有 Google 服務
    2020-02-24 23:52

數碼

  • 聯想陳旭東佩戴新智能手表 第二代Moto 360再次…
    2019-02-22 16:47
  • 三年磨一劍 360奇酷手機旗艦版超詳評
    2019-02-22 16:47
  • IDC:蘋果第二季度售出360萬塊Apple Watch
    2019-02-22 16:47
  • 可穿戴設備產業“缺芯”有點痛
    2019-02-22 16:47
  • 第二代Moto 360出街:最帥安卓表 秒殺蘋果表
    2019-02-22 16:47

科技

  • 三星note9旗艦將來 三星note8大降價 4399元入手
    2018-06-26 07:31
  • 傳說中的飛行汽車 為什么到現在還沒起飛?
    2018-06-26 07:31
  • Runvi推出69美元的AI鞋墊 專屬語音跑步教練和你一起汗流浹背
    2018-06-26 07:31
  • 大家都在勸你遠離電子設備 為什么呢?
    2018-06-26 07:31
  • 黃章自曝魅族16細節
    2018-06-26 07:31
东方6十1开奖结果规则