APP下載

資安一周第80期:武漢肺炎疫情資訊是近期國人焦點,警方宣布偵破相關個資外泄與假新聞事件,呼吁大眾勿影響整體疫情控制

發布于2020-02-13 13:50:28

在本周的多個資安重點新聞中,值得注意的是,供應鏈安全已成資安防護新重點,美國防部開始要求承包商取得相應安全等級認證。

圖片來源: 

https://www.acq.osd.mil/cmmc/draft.html

0206-0212一定要看的資安新聞

?

供應鏈安全、CMMC

美國國防部將開始要求承包商必須具備網絡安全認證

圖片來源/擷取自acq.osd.mil

由于網絡安全風險威脅了美國-的國防產業與國家安全,美國國防部宣布要在今年9月底前,要求部分競標國防部合約的承包商具備網絡安全認證,此一認證將奠基在國防部所發表的《網絡安全成熟度模型認證 1.0 》(Cybersecurity Maturity Model Certification,CMMC),承包商必須依據專案的機密性,而取得不同等級的安全認證,相關的認證將由獨立的第三方負責進行。目前美國國防部將CMMC分為五個等級,從基本(Basic)、中等(Intermediate)、良好(Good)、主動防護(Proactive),到第五最高等級的進階(Advanced)。更多內容

?

個資法、假訊息

武漢肺炎疫情資訊是近期國人焦點,警方宣布偵破相關個資外泄與假新聞事件,呼吁大眾勿影響整體疫情控制

圖片來源/擷取自臺北市-警察局內湖分局

隨著新型冠狀肺炎的疫情持續,在2月10日傳出在臉書與通訊軟件有確診病患個資流傳,臺北市-警察局內湖分局發現確診患者個資外泄后,成立專案小組調查。經查為廖姓員警翻拍派出所電腦查詢新冠肺炎確診病患個資的畫面,并將圖片發送給林姓友人,而該林姓友人又傳給黃姓友人,輾轉流出到其他臉書及LINE群組。警方表示,此案依個資法41條,以及刑法132條公務員泄漏國防以外秘密罪,函送法辦。

此外,法務部調查局與刑事警察局也偵查多起假新聞的散布,包含對這次疫情、衛生紙與口罩相關的不實資訊,已有多起事件經警方通知涉嫌人到案說明,查出多位民眾未經查證即張貼、散布,以及竄改防疫宣導海報,甚至有人蓄意制造恐慌與企圖牟利,嚴重影響整體疫情控制。對此,警方將依據所涉情節,以傳染病防治法第63條、刑法第251條,或社會秩序維護法第63條第1項第5款,移送檢方偵辦,并將持續追查其他制作、散布、轉傳不實訊息者。更多內容?更多內容

?

sudo漏洞

sudo爆可取得根賬號權限的漏洞

圖片來源/擷取自sudo官方網站

Linux/Unix系統管理指令sudo的官網近日發出警告,指出sudo指令含有編號為 CVE-2019-18634的安全漏洞,將觸發緩沖溢位,并能被取得根賬號權限。sudo維護組織指出,sudo 1.7.1到1.8.25p1都受本漏洞影響,用戶應盡速升級至已修補該漏洞的sudo 1.8.31版。如果尚未能安裝更新版本,他們建議在開啟pwfeedback的sudoer檔內,將“Defaults pwfeedback”改成“Defaults !pwfeedback”,也能有效阻止攻擊。更多內容

?

芯片漏洞、后門、連網裝置

研究人員揭露海思半導體芯片的后門漏洞

圖片來源/tothi on GitHub

根據俄羅斯安全研究人員Vladislav Yarmak的揭露,發現華為旗下海思半導體(HiSilicon)生產的芯片,存在零時差漏洞,將讓駭客取得裝置最高存取權限,他們并認為是業者有意保留的后門,因為只要有人連接TCP 9530埠,開啟Telnet daemon,就能使用root賬號與固定幾組密碼登入并存取控制。而這樣的漏洞影響了采用海思芯片的各種品牌的連網裝置,包括監視器、數位錄影機(DVR)及網絡視訊錄影機(NVR)等,估計有數十萬到數百萬的裝置。Yarmak并釋出了概念性驗證攻擊程式,供使用者確認自己的裝置是否含有相關漏洞。更多內容

?

專屬協定漏洞

思科CDP協定遭爆含有5個零時差漏洞,危及數千萬裝置

圖片來源/擷取自Armis's Youtube Video

IoT安全業者Armis揭露Cisco Discovery Protocol(CDP)協定的五個漏洞,當中有4個屬于遠端程式執行漏洞,1個為服務阻斷漏洞,并統稱為CDPwn,波及Cisco旗下采用CDP的眾多產品,像是FXOS、IOS XR、NX-OS等軟件,包括交換器、路由器,以及IP Phone與IP Cameras等,估計危急數千萬個裝置。Armis研究副總裁Ben Seri并指出,這些思科的裝置都能連結到企業網絡,其中有大量裝置被置放在駭客認為很有價值的地方,過去網絡的分段經常被視為提供安全的手法,但現在此一網絡架構本身就藏匿可遭駭客利用的風險。思科已在接獲Armis通報后,于2月5日修補上述漏洞并釋出更新程式。更多內容

?

駭客入侵、資料外泄

NEC網絡遭駭,2.8萬份檔案疑遭存取

圖片來源/擷取自NEC官方網站

日本大廠再傳遭駭,繼日前的三菱電機后,近期NEC坦承三年前公司發現國防事業部一臺服務器遭駭客入侵,使2.8萬份檔案疑遭不法存取,但他們強調國防機密和個資并未外泄。根據NEC的說明,他們是在2017年6月執行網絡安全檢測,發現有從公司服務器發出的異常連線,于是將這臺服務器隔離并進行調查。經過鑒識分析后,隔年7月證實是國防事業部一臺和其他部門共用的服務器遭駭,儲存于其上的27,445份檔案,可能已經遭非法存取。更多內容

?

挖礦軟件、僵尸網絡

美國防部一臺Jenkins服務器竟被植入挖礦僵尸惡意程式

圖片來源/擷取自HackOne

研究人員Nitesh Surana在1月底發現,在一臺與美國國防部有關的AWS執行個體上的Jenkins服務器,不用密碼即可登入,任何人都可以存取內部資料夾,而這個漏洞將讓攻擊者可透過script資料夾利用Java語言執行惡意遠端指令,因此,他透過國防部在Hackone發布的漏洞獎勵計劃通報。而且,他還發現該服務器已經遭駭,被植入專門挖Monero幣的僵尸網絡惡意程式,而根據他所找到的電子錢包網址顯示,早在2018年8月就有網友發現該服務器遭入侵,只是當時不知道擁有者。更多內容

?

Andorid安全、金融木馬

具備勒索軟件及鍵盤側錄的金融木馬Anubis,鎖定逾250款Android程式展開攻擊

資安業者Cofense揭露新一代金融木馬Anubis,指出它同時具備資訊竊取、鍵盤側錄與勒索軟件等功能,還能關閉Google Play Protect。研究人員Marcel Feller說明,駭客通常借由電子郵件散布Anubis,誆騙使用者下載電子郵件中的收據,但其實那是一個Android程式安裝檔APK,當它進駐到Android手機后,即會鎖定逾250款與金融或購物有關的程式展開攻擊。更多內容

?

賬號安全、委外管理、臉書粉絲專頁

北市體育局“臺北運動吧”臉書粉專遭盜

圖片來源/擷取自臺北市-體育局官方網站

由臺北市-體育局設立的“臺北運動吧”臉書粉絲專頁,在2月7日深夜傳出管理者賬號遭盜用,發布多則色情影像內容與歐美情色連結,此事在社群平臺流傳,有國內多家媒體跟進報導。根據臺北市-體育局新聞聯絡人蔡佳穎說明,事件發生于2月7日晚間11點47分,他們在接獲消息后,立即通知委外業者處理。后續該單位也揭露更多細節,指出后臺管理權限賬號遭不明人士盜用,而原有管理者權限已被刪除,進而聯系臉書公司協助處理,而站方于8日凌晨0時45分關閉該專頁。更多內容
?

更多資安動態
●程式碼托管平臺Bitbucket被用來散布惡意程式,感染電腦超過50萬
●安全廠商Immuniweb調查,全球百大國際機場僅3家通過所有資安檢測
●Check Point揭露Philips智慧燈泡漏洞將允許駭客滲透用戶網絡
●丹麥報稅網站軟件出錯,外泄1/5全國納稅人個資
●緊急調查!全臺116家大型企業如何善用IT對抗武漢肺炎,那些IT對策最多企業先做?
●勒索軟件利用有漏洞的技嘉驅動程式關閉電腦防毒軟件

?

相關文章

最新資訊

  • 北京、成都等地開“堵”了?這次網友卻很“興…
    2020-02-18 19:00
  • Subaru WRX STI S209 被抬價一倍!網民:比口罩更難買
    2020-02-18 18:52
  • 百科醫典專家妙招防護 讓辦公室里的你不再瑟瑟…
    2020-02-18 21:57
  • 【有片】Maserati 電動 SUV 年底將亮相!設高轉聲浪網上試聽
    2020-02-18 21:51
  • 全國領先!云天勵飛口罩佩戴檢測準確率超過98.6%
    2020-02-18 21:02

手機

  • 傳言蘋果將于 3/31 舉辦春季發表會 平價版iPhone 9 約臺幣12000元鎖定 4/3 上市
    2020-02-18 16:49
  • 100 倍變焦 三星Galaxy S20 系列鏡頭、錄影、Quick Share、Google Duo、屏幕五大特色解析
    2020-02-18 15:28
  • 取消 MWC 2020之后損失至少超過五億美元 也讓未來手機廠商布局被打亂
    2020-02-18 15:28
  • Sony 購機優惠 買 Xperia 1 / 5 送 Xperia Ear Duo 耳機
    2020-02-18 10:49
  • 夏普發表 5G 手機 Aquos R5G 支援 8K 錄影、120Hz 屏幕、四鏡頭拍照
    2020-02-18 09:49

數碼

  • 小米10 Pro將在線升級DXOMark相機測試固件
    2020-02-18 21:49
  • 榮耀9xpro參數配置 榮耀9X PRO國際版發布時間曝光
    2020-02-18 21:49
  • 三星note 10/+國行推送One UI 2正式版更新
    2020-02-18 21:49
  • 中興發布Wi-Fi 6認證的光銅雙模家庭網關 速率3.6Gbps
    2020-02-18 21:49
  • 5g毫米波iPhone12將采用高單價AiP AirPods Pro需求強
    2020-02-18 21:49

科技

  • 深鑒進軍自動駕駛領域 但我的業務永遠在這塊板子上
    2018-06-27 20:31
  • 斬獲一銀一銅 優必選RoboCup再度載譽歸來
    2018-06-27 20:31
  • 華為3大好消息公布看完有點小激動
    2018-06-27 20:31
  • 聽北電特聘老師講講他與索尼AX700的故事
    2018-06-27 20:31
  • 小米手環3透明腕帶探索版曝光 網友:探索版被黑得最慘一次
    2018-06-27 20:31
东方6十1开奖结果规则