資安周報 | Page 6

【資安週報】2023年2月6日到2月10日

本周有三大漏洞遭鎖定利用消息，包括檔案傳輸管理系統GoAnywhere零時差漏洞，老舊Intel驅動程式漏洞與TerraMasterOS的漏洞；近日國內兩大資安事故，包括上市公司飛宏傳遭勒索病毒Lockbit 3.0攻擊，以及格上租車會員訂單資料曝險消息；另一受關注的是，中國駭客組織APT41在農曆年間又針對多個臺灣組織發動攻擊

2023-02-10

【資安月報】2023年1月

在2023年第一個月的資安新聞中，光是國內就有三大資安事件備受關注，包括華航會員資料被張貼於國外論壇的消息，以及和雲行動服務共享汽車業務iRent的顧客資料庫曝險，暴露於公開網路，且沒有存取限制也無須身分驗證就能存取，還有永豐銀行多位信用卡客戶疑3D Secure驗證碼被竊取遭盜刷

2023-02-06

【資安週報】2023年1月30日到2月4日

農曆年後有四個漏洞被利用攻擊的狀況需優先注意，包括Oracle電子商務套件、SugarCRM與Zoho ManageEngine的漏洞，以及網頁應用程式框架Telerik UI的老舊漏洞；國內近期有兩大消息受關注，包括汽機車共享業者iRent資料庫曝險在公開網路，以及多起信用卡以3D驗證碼通過方式盜刷且集中於永豐銀行的事件

2023-02-05

【資安週報】2023年1月16日到1月19日

CentOS主機網頁管理介面元件Control Web Panel（CWP）三個月更新修補的漏洞CVE-2022-44877要特別注意，已有攻擊者開始鎖定利用；研究人員發現微星主機板存在預設執行任意程式的情形，呼籲用戶變更相關配置為拒絕執行，以發揮安全開機的作用

2023-01-22

【資安月報】2022年12月

這一個月有三大資安議題值得仔細探討，包括針對微軟Exchange漏洞攻擊的消息，出現與CVE-2022-41080相關的攻擊手法，以及駭客利用搜尋引擎廣告散布惡意假網站的態勢，連美國FBI都提出警告，而在資安防護新聞中，包括Google新推OSV-Scanner，以及GitHub推出Secret scanning等成開發與資安人員關注焦點

2023-01-18

【資安週報】2023年1月9日到1月13日

這一週有兩個漏洞攻擊利用情形受關注，包括微軟本月修補的CVE-2023-21674，與11月修補的CVE-2022-41080，在資安事件方面，國際上有法國航空、荷蘭航空通知用戶Flying Blue帳號異常，客戶資料遭駭客存取，國內有華航傳出60筆會員資料被公開於地下論壇的消息

2023-01-16

【資安週報】2023年1月3日到1月7日

有攻擊鎖定未修補CVE-2022-4068的VPN設備散布勒索軟體，CircleCI公告遭遇資安事故並持續公布調查；在其他資安焦點新聞方面，包括國際間有核子科學家成駭客網釣攻擊目標，以及非洲多國銀行被部署木馬程式

2023-01-08

【資安週報】2022年12月26日到12月30日

本周有Linux、Apache ShardingSphere-Proxy、Kubernetes Kyverno與Citrix漏洞消息受關注，更要注意是JasperReports在前兩年修補的已知漏洞，最近正被駭客組織鎖定利用；在其他資安焦點新聞方面，包括國際間電信業用戶帳號遭入侵，以及利用masquerAds規避搜尋平臺審核的狀況，值得特別關注

2023-01-02

【資安週報】2022年12月19日到12月23日

涉及SPENGO NEGOEX的CVE-2022-37958漏洞要特別注意，微軟在9月修補後、近日將該漏洞調整為RCE漏洞，此外還有Samba修補多項高風險漏洞；關於ProxyNotShell漏洞繞過的研究分析，以及殭屍網路病毒MCCrash與Zerobot進來的攻擊新動向的揭露亦成焦點

2022-12-26

【資安週報】2022年12月12日到12月16日

本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意，已有駭客組織在攻擊行動利用這些漏洞；在其他漏洞修補新動向上，包括多家WAF產品業者修補一項漏洞，是關於WAF無法識別JSON格式，導致可能被用於發動SQL注入攻擊，以及數家防毒軟體與EDR業者修補零時差漏洞，可被用於破壞電腦資料

2022-12-19