圖片來源: 

擷取自Imperva官網

1010-1016一定要看的資安新聞

 

雲端金鑰安全、資料外洩

Imperva資料外洩原因出爐:AWS API金鑰被盜

圖片來源/擷取自Imperva官方網站

專門提供網路安全軟體及服務的資安業者Imperva,在今年8月坦承,該公司雲端防火牆產品Cloud Web Application Firewall(Cloud WAF)客戶的資料外洩,近日他們公布調查結果,指出是因AWS API金鑰被盜,才導致客戶資料曝光。

Imperva表示,2017年時該公司正開始採納雲端技術,並要改用AWS的關聯式資料庫服務(RDS),當時他們建立了一個資料庫快照來進行評估測試,並建立了可從外部存取的內部運算實例,而該環境包含AWS API密鑰,之後,駭客發現這個虛擬器並攻破,因此該密鑰也被竊取。更多內容

 

sudo漏洞

Linux的sudo指令遭爆含有可取得最高權限的安全漏洞

圖片來源/擷取自sudo

Linux系統管理指令sudo的官網近日提出警告,指出sudo指令含有編號為CVE-2019-14287的安全漏洞,將允許無特權的使用者取得root最高權限,以執行任何命令。根據sudo的說明,當在runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者的身分執行命令,然而,這個漏洞可繞過runas的使用者限制,即便在runas規格中明訂在採用ALL關鍵字時,禁止最高權限的存取也一樣沒輒。目前,Sudo團隊已釋出1.8.28版,以修補該漏洞。更多內容

 

軟體漏洞、勒索軟體

Windows版iTunes零時差漏洞遭濫用,散布BitPaymer勒索軟體

近日安全公司Morphisec Labs發現,有駭客利用Windows版iTunes及iCloud for Windows的零時差攻擊漏洞,以躲過防毒軟體偵測,對用戶散布勒索軟體BitPaymer。值得注意的是,這隻勒索軟體使用物件導向程式開發中,常見錯誤所引發的漏洞,混入蘋果的Bonjour Updater軟體元件,而且即使Windows用戶移除iTunes,也難逃被感染,因為Bonjour Updater軟體元件並無法被同步刪除

由於新版macOS 10.15 Catalina推出後,iTunes將不再提供,轉變為各個獨立App,因此,這項漏洞主要影響的是Windows版用戶,經研究人員向蘋果通報後,蘋果現已發布修補漏洞的新版,包括iTunes 12.10.1,以及iCloud for Windows 10.7。由於已有攻擊發生中,安全公司也呼籲,用戶儘速升級到最新版程式及防毒軟體。更多內容

 

多因素認證、密碼安全

LastPass:已有57%企業採用多因素認證

圖片來源/擷取自LastPass

近日,密碼管理工具開發商LastPass發布第三屆全球密碼安全報告(Global Password Security Report),主要針對4.7萬家客戶調查,結果顯示,已有57%的企業要求員工採用多因素認證(MFA),比去年的45%增加了12%。最熱門的MFA解決方案是軟體形式,佔95%,採用硬體解決方案的只有4%,採用生物辨識解決方案為1%。

以採用MFA的產業別而言,科技/軟體產業比例最高,為37%,其他依序是教育界(33%)、金融業(32%)、通訊業(31%)及政府組織(27%)。此外,規模愈大的企業採用MFA的比例也愈高,在此研究調查中,員工數1萬名以上的企業,採用率高達87%,員工1千到1萬名的企業也有78%,員工1千名以下的企業則只有44%。更多內容

 

資安認證

BSI和SGS核發的ISO 27001證書,暫時不能掛上全國認證基金會TAF標誌

在10月初,全國認證基金會(TAF)公告將BSI或SGS這兩家驗證機構,納入資安安全管理系統的減列名單,使兩家業者核發的資安證書不得掛TAF標誌,引發企業與政府組織一連串的關注。目前,BSI或SGS已指出,企業客戶若有ANAB或UKAS核發ISO 27001證書,仍為有效;行政院資安處也表示,資安法規定取得TAF證書,有三年緩衝期;全國認證基金會執行長許景行則指出,兩家公司如果可以儘快改正評鑑缺失項目,在2020年1月2日後,就可以重新申請恢復增列。目前,BSI和SGS都將於3個月後申請增列。更多內容

 

開源軟體漏洞

macOS終端模擬器iTerm2存在重大漏洞

由Mozilla資助的安全審核計畫,近期委託資安業者Radially Open Security對熱門的macOS終端模擬器iTerm2,執行安全審查,結果發現iTerm2中的tmux整合功能有嚴重的漏洞,而且漏洞至少已經存在7年,若該漏洞遭濫用,在多種情況下,允許攻擊者可對終端裝置產生惡意輸出,以便在使用者的電腦上執行命令。iTerm2開發者現在已經發布最新的3.3.6版本,Mozilla提醒使用者應該要盡快更新。更多內容

 

軟體安全更新終止

Office 2010一年後就會終止延伸支援,不再提供安全性更新

圖片來源/擷取自微軟官網

近日,微軟公告Office 2010的延伸支援將在2020年的10月13日終止,意謂著在一年後產品壽命結束,雖然該產品依然可繼續運作,但微軟將不再釋出該產品的安全更新,因而呼籲用戶應在這一年間儘快升級。一般使用者可升級至Office 365個人/家用版,或是Office 2019家用版;而企業用戶的升級選項,則是Office 365商務基本版/商務版和商務進階版。微軟高層則建議大型企業直接選擇Office 365專業增強版。更多內容

 

軟體漏洞、HP

HP電腦預安裝軟體出現可被接管系統的漏洞

安全廠商Safebreach研究人員Peleg Hadar發現,HP電腦內建的軟體Touchpoint Analytics存在漏洞。該漏洞編號為CVE-2019-6333,可能讓本地攻擊者上傳未簽章的惡意DLL檔案,載入具管理員權限的服務中,達成權限提升和滲透,經研究人員通報後,HP已經釋出最新版本修補。基本上,該軟體用於匿名蒐集及診斷硬體效能,並進行磁碟掃描及電池測試,而這次漏洞影響4.1.4.2827之前版本,雖然該漏洞的CVSS評分為6.7,屬於中低度風險,但是由於每臺HP電腦都安裝這套軟體,HP仍呼籲使用者儘速升級。更多內容

 

電信詐騙、個資外洩

臺越警方合作破獲跨境電信詐騙機房,美國華人移民是主要受害者

圖片來源/刑事警察局

近日我國國際刑警科宣布,與越南警方合作,破獲位於胡志明市第九郡的跨境電信詐騙機房,共逮捕了24名臺灣嫌犯,查獲多臺筆電、平板、手機,以及教戰手冊等,現已遣返回臺偵辦。值得注意的是,該集團以詐騙美籍華人為主,聲稱破獲販運孩童案件,並從查扣涉案帳戶中,發現被害人所申請的銀行帳戶,因此要求被害人將帳戶款項匯至指定帳戶監管,否則將提報美國政府機關註銷綠卡(美國居留證),這起詐騙手法,主要利用海外華人剛處於適應新環境階段,以及國外警方尚未熟悉此類跨境詐騙模式,不易求助諮詢。警方表示,詐騙集團可能從非法管道獲取移民個資,呼籲旅居各國的華人,應對此詐騙手法加強注意。更多內容

 

更多資安動態
雲端電子商務平台Volusion的結帳頁面被注入惡意程式
熱門UI設計工具Figma的擴充套件系統存在漏洞,官方抽換底層基礎架構
Safari將用戶上網資訊傳給騰訊?蘋果:未傳送實際網址
歐盟5G網路風險評估報告:對供應商的依賴將擴大駭客攻擊表面
Windows 10加入防竄改功能,防止惡意程式關閉防毒軟體
智慧醫療當道!衛福部揭露電子病例多元應用與資安管理挑戰
 


Advertisement

更多 iThome相關內容