在美國舊金山舉行的2024 RSA Conference於5月6日到9日才剛剛落幕,臺灣也有一場國際級的資安盛會即將登場,那就是--CYBERSEC 2024臺灣資安大會。
值得注意的是,今年臺灣資安大會邁入第十個年頭,本屆的會展規模更為盛大,將有30個資安主題論壇、超過300場專業資安演講,以及超過400家國內外資安品牌的國際級資安展覽,並且是首度南港展覽館二館全館使用。
【攻擊與威脅】
電腦大廠Dell近月發生一樁網路安全事件,可能導致4,900萬個人或企業用戶資訊外洩。部份Reddit或X用戶本周分別反映接到Dell以電子郵件通知。Dell入口網站有關的資料庫發生一樁「事件」,導致其中和Dell採購相關的特定客戶資料外洩。Dell已經啟動調查,基於資料種類,該公司相信對客戶沒有重大風險。Dell也未說明事件起因是網路攻擊、作業不慎或其他原因。
遭外洩的資訊包括姓名、住家地址、以及Dell硬體及訂單資訊,包括服務標籤、商品描述、訂單日期和相關的保固資訊。
雲端LLM服務用戶當心!帳密若失竊,存取權恐被轉賣給網路犯罪份子
大型語言模型(LLM)爆紅,全球都關注採用這類人工智慧技術或服務的應用系統發展,而在資安風險的層面上,絕大多數關注的層面是圍繞著提示的濫用,以及訓練資料的竄改,以雲端原生防護產品著稱的資安新創公司Sysdig,本週揭露新的攻擊手法,他們觀察到有些惡意活動利用盜取的雲端服務身分憑證,而且是鎖定前10大雲端LLM服務,並將這種行為稱為LLM綁架(LLMjacking),在上述情境之下,攻擊者會將LLM存取權賣給其他網路犯罪份子,同時,這些雲端服務帳號持有者可能還在持續支付使用LLM應用的帳單,形同幫歹徒的AI使用而埋單。
用戶的雲端服務身分憑證之所以被偷走,Sysdig僅簡略表示是來自一個擁有許多用戶的系統,由於當中執行具有CVE-2021-3129漏洞的PHP框架Laravel,而導致這些資料外流。
Ivanti漏洞遭Mirai殭屍網路濫用,目的是傳輸惡意酬載
今年1月揭露的Ivanti資安產品漏洞CVE-2023-46805、CVE-2024-21887,這幾個月以來,陸續引發許多風波,本週(5月7日)資安與網路設備廠商Juniper Networks旗下的Juniper Threat Labs發布監測報告,揭露他們發現Mirai殭屍網路試圖利用這批漏洞,執行遠端程式碼執行,目的是廣泛散播惡意程式。
攻擊者主要濫用Ivanti產品的兩個漏洞,其中,針對CVE-2023-46805的部分,主要是運用略過身分認證與路徑穿越這兩個弱點,使得他們得以存取敏感資源;另一個漏洞是CVE-2024-21887,攻擊者可運用注入任何命令的弱點,而能夠執行指令碼,進而部署多種惡意軟體,研究人員也在其他受監測的執行個體,發現攻擊者透過以curl、Python寫成的反向shell技術來濫用CVE-2024-21887,而得以控制那些存在弱點的系統,最近他們更發現經由shell指令碼傳遞Mirai酬載的狀況。
研究人員揭露CPU推測執行漏洞攻擊新手法Pathfinder,能用來洩露加密金鑰與資料
關於CPU資安漏洞的研究,持續成為電腦科學界的熱門議題,在4月底、5月初,由國際計算機協會(ACM)舉行的年度程式語言與作業系統架構支援大會(ASPLOS),有一篇由多位學者共同發表的論文探討攻擊CPU的新手法,稱為Pathfinder,作者來自加州大學聖地牙哥分校、普渡大學、喬治亞理工學院、北卡羅來納州大學教堂山分校、Google。
與2018年引發各界熱烈關注的CPU重大漏洞Spectre相同的是,Pathfinder所要突顯的問題,同樣與CPU的分支預測機制有關,也是屬於推測執行類型的漏洞。因為學者透過這篇論文所要探討的對象,主要是CPU的動態分支預測器(Conditional Branch Predictor)的歷程暫存器(Path History Register,PHR),以及預測歷程資料表(Prediction History Tables,PHTs),有心人士可在這些地方進行內容的洩漏與修改。
以阿長年處於敵對狀態,資安業者揭露伊朗透過輿論影響行動持續在以色列社會製造動盪
隨著近年資安領域已從網路安全延伸至認知安全的混合戰!最近不少資安業者特別關注這項議題,例如,Recorded Future旗下情報研究部門Insikt Group最近一份研究報告,揭露一項伊朗政府針對以色列發起的輿論影響行動(information operations)。
Insikt Group指出,這項輿論影響行動是由伊朗政府支持的駭客組織Emerald Divide(又名Storm-1364)所為,他們發現,該組織從2021年持續發起這樣的網路攻擊行動,不僅利用AI與社群媒體在以色列社會中挑起分岐,同時還涉及嚴重的網路安全威脅,例如,收集個人身分資訊與公開以色列官員的私人訊息,並且會持續利用以色列社會上有爭議的問題,來影響以色列的民眾。
根據Insikt Group的分析,他們觀察到三個行動階段,首先是三年前的第一階段,將以色列的極端正統派和LGBTQ+社群對立起來,接著是將焦點轉移到左派和右派之間的政治辯論,而目前進行的第三階段,是利用近期以色列與哈馬斯之間的戰爭,藉機擴大意識形態分歧,以及削弱對以色列政府信任的方式,來操弄以色列社會。
附帶一提的是,臺灣資安界如今也開始對這方面的議題抱持高度重視,強調我們需要提出資安即國安3.0戰略來因應。
其他攻擊與威脅
◆研究人員揭露可針對小米檔案管理工具、WPS Office等安卓應用程式的攻擊手法Dirty Stream
【資安產業動態】
臺灣資安大會將於5月14到16日連三天舉行,今年邁入第十屆,規模更盛大
邁入第十屆的CYBERSEC 2024臺灣資安大會,將於5月14日到16日在南港展覽館二館舉辦,今年展會再度擴大規模舉辦,以「Generative Future」為主題,揭開AI資安新時代。目前完整議程內容已經公布,共有超過300場專業資安演講、近30個資安主題論壇,並增設增設全英文專屬議程「CYBERSEC Global」,以及「CYBERSEC Arena資安競技場」、「資安十年歷史牆」等新活動。
其他重要焦點還包括:「臺灣資安館」、「Cyber Talent資安人才專區」,以及規模比往年更盛大的資安品牌展區。還沒線上報名的企業、民眾,可於會展期間現場報名參與這項亞洲最大的年度資安盛事。
行政院公共工程委員會和數位發展部共同研訂的「政府資訊服務採購經費估算編列手冊」已於5月1日正式公布,對於未來個別機關資訊、資安的委外採購事項,都可以參照經費估算編列手冊的內容「照表操課」進行編列,對於促進資訊、資安產業的發展也有正向助益。
此一經費估算編列手冊經過產業界多次討論、意見彙整後產出,行政院公共重委員會副主委葉哲良表示,這份預算編列手冊是屬於操作型手冊,採取正面表列的方式,可以大幅度減輕負責政府資訊、資安委外的公務人員壓力。
近期資安日報
【5月9日】BIG-IP Next集中控管系統的高風險漏洞有可能被用於建立隱藏帳號
熱門新聞
2024-05-19
2024-05-20
2024-05-20
2024-05-18
2024-05-20
2024-05-17
2024-05-17