0403-0410一定要看的資安新聞

 

網站安全、Apache

十多個Apache HTTP Server版本含有嚴重的權限擴張漏洞

圖片來源/擷取自Apache.org

Apache軟體基金會近日修補了Apache HTTP Server的一個嚴重漏洞,而此一編號為CVE-2019-0211的安全漏洞,屬於本地端權限擴張漏洞,將允許駭客取得系統的最高權限以執行任意程式,從2015年10月發表的2.4.17,到今年2月發表的2.4.38的十多個版本都遭殃,用戶應儘快升級到4月1日釋出的2.4.39。資安業者Rapid7指出,此漏洞對於提供共享網路代管服務的供應商而言,風險更高,因為這類服務允許不同的網站共用同一個父Apache伺服器,假設有駭客成功利用該漏洞,將能任意變動其他客戶的檔案或資料庫。更多內容

 

假消息、V-DEM

臺灣是連續六年受假消息攻擊最嚴重的國家

圖片來源/擷取自v-den.net

假消息對臺灣影響與危害的議題,不斷被討論,近期許多人引用了大型民主指標研究Varieties of Democracy(V-Dem)的分析結果(受政治學界所關注的V-Dem,在4月8日釋出的第9版資料庫),當中就有假消息與政府相關的量化數據。

V-DEM網站提供的自由民主指數中,使用者可透過互動式地圖項目查詢全球的現況,而在數位社會(Digital Society)中的一項變數中,是針對全球各國「遭受外國假資訊攻擊」(Foreign dissemination of fales informaition)的程度做調查,而此指標分數範圍在0到4之間,其中0分代表來自境外的假資訊最嚴重,4分則反之,意謂著分數越低越嚴重。而臺灣在此指標中得到0.26分,成為統計中最嚴重的國家,次之為拉脫維亞的0.52分。事實上,2012年最嚴重是拉脫維亞,但從2013年之後換成臺灣居首,連續六年,且指標分數從0.64、0.52一直滑落,代表嚴重程度更甚。此外,在2018年度中,政府在國外傳播假消息,是是委內瑞拉最嚴重,而政府在國內傳播假消息,則是敘利亞。更多內容

 

物聯網安全、ISAC

打造物聯網資安聯防平臺,臺灣IoT-ISAC服務正式上線

圖片來源/亞洲·矽谷計畫辦公室

由國家發展委員會委託財團法人電信技術中心等執行的「亞洲·矽谷計畫-強化物聯網資安防護」,在本月10日正式宣布第一期的成果。該單位表示,已經完成物聯網系統層級安全評估機制,將可提出檢測方面的建議,並針對可能威脅進行有效預防措施,同時,物聯網資訊分享及分析中心(IoT-ISAC)正式上線,將可蒐集IoT相關資安事件資訊,提供資安事件統計資料,加速用戶瞭解目前國際或國內發生的資安漏洞或攻擊事件,當中並畫分了8大IoT類型,包括智能效能與環境監控、智慧商業、智慧製造、智慧能業、智慧醫療、智慧家庭、智慧交通與智慧物流的項目。更多內容

 

網路設備安全、思科

思科遭爆RV320和RV325路由器安全補丁未修復漏洞,僅是避免有漏洞裝置被發現

思科在一月時,針對企業級路由器RV320和RV325發出安全更新,以修補資訊洩漏及遠端攻擊漏洞,但是,通報的資安公司RedTeam Pentesting GmbH最近再次揭露,思科並沒有確實修補漏洞,僅是將資料傳輸工具curl列入黑名單,防止攻擊者使用curl發現存在漏洞的路由器,而非從根本修復路由器存在的漏洞。後續思科表示,當初的修復並不完整,目前他們正在積極修補這個漏洞。更多內容

 

偷渡式下載、微軟

微軟發布年度資安回顧報告,強調偷渡式下載攻擊在亞太最猖獗,而臺灣是最嚴重的地區

圖片來源/微軟

繼賽門鐵克、趨勢科技、Check Point等資安廠商,揭露對於2018年整體資安態勢的觀察,最近微軟也公布了智慧資安報告(SIR),他們的看法大致如同其他業者,包含過去2017年頻頻出現的勒索軟體攻擊與加密貨幣挖礦手法,在2018年顯著降低,而軟體供應鏈和網路釣魚攻擊事件則是大幅增長。微軟並指出,亞太地區的資安威脅情勢,較全球整體來得嚴重,特別是偷渡式下載(Drive-by Download,DBD)攻擊的現象,出現再度氾濫的趨勢,且臺灣是亞太地區中最為嚴重的國家。更多內容

 

勒索軟體

紐約州阿巴尼市遭勒索軟體攻擊,致部份服務中斷

這半年來,美國地方政府已遭到至少3起勒索軟體攻擊,三月底美國紐約州阿巴尼市系統也遭殃,導致部份服務中斷。3月30日,美國紐約州阿巴尼市(Albany)系統遭勒索軟體劫持,該市市長Kathy Sheehan於推特公告,但並未說明詳細受災情況。大部份市政服務也維持營運,不過確有數項市民服務受到影響,包括出生、死亡及結婚證明謄本無法由網路辦理,市民必須親自前往地區公務機關申請。更多內容

 

網路身分驗證、硬體安全金鑰

Firefox、Edge也能用WebAuthn硬體金鑰登入Google服務

Google宣布,Google帳號開始轉換到WebAuthn標準,讓Firefox及Edge瀏覽器環境下,也能使用業界標準的FIDO2硬體式安全金鑰,來登入Gmail、Google Drive或G Suite等服務。在此之前,如果你想用USB安全金鑰登入Google旗下服務,只能使用Chrome瀏覽器與U2F Security Key,這是因為Google使用的是較早期的U2F協定,但Firefox、Edge與Safari並不支援。隨著去年FIDO 2身分驗證規格的推動,Google也啟動從U2F轉向以FIDO 2為基礎WebAuthn的過程。更多內容

 

網路犯罪、臉書

臉書暗藏由74個社團與38萬名成員組成的網路犯罪市集

Cisco旗下的威脅情報研究組織Talos近日揭露,網路犯罪份子不只在地下論壇活動,也把個人資料、垃圾訊息服務或其他駭客服務的銷售行為光明正大地搬到臉書上,在臉書建立了74個社團,總計吸引了38.5萬名成員。而且,這些社團多數毫不避諱地採用非常明顯的名稱,例如專業的垃圾訊息(Spam Professional)、專業駭客(Spammer & Hacker Professional),以及提供臉書的網釣服務(Facebook hack--Phishing),或者是直接擺明要銷售信用卡的驗證碼等。當Talos向臉書檢舉時,站方很快就移除了大多數的駭客社團,但也發現新社團依然不斷開張。更多內容

 

物聯網安全、家用路由器漏洞、DNS劫持

駭客濫用Google平臺鎖定路由器展開DNS重導攻擊

資安業者Bad Packets及網路測試業者Ixia,在最近幾個月相繼偵測到大規模鎖定家用路由器的DNS挾持攻擊,受到波及的路由器品牌涵蓋D-Link、Totolink、Secutech及ARG-W4等品牌,且相關攻擊全是利用Google Cloud Platform(GCP)的資源,成功利用了這些家用路由器的漏洞,並透過惡意DNS伺服器,將使用者的流量導至惡意網站。對此,安全研究人員建議,使用者應定期更新路由器韌體,或是檢查其DNS設定是否曾被竄改。更多內容

 

更多資安動態
被行星家族的勒索軟體纏住了?別怕,Emsisoft釋出解密工具
Android間諜程式Exodus現身iOS平臺
微軟Azure AD Password Protection正式上線,提高密碼防護門檻
兩名高中生為了逃避考試摧毀學校的Wi-Fi網路
安全研究人員示範誤導特斯拉Model S駛入對向車道
Google修補Android 11項重大及高風險安全漏洞
【2019臺灣資安大會直擊】
【2019企業資安大調查】

 


Advertisement

更多 iThome相關內容