在歐美國家進入購物季,準備要慶祝聖誕節和跨年的12月份,震憾全球IT界的重大漏洞「Log4Shell」(CVE-2021-44228),從12月上旬出現後,便成為IT業界關注的焦點。

這個漏洞最初在11月底,由阿里雲向Apache基金會通報,該基金會於12月初完成修補,隨後阿里雲在9日正式發布資安通報,並公布細節。這個漏洞的風險層級達到了CVSS滿分10分,極為容易被利用,也不意外地很快有駭客用來發動攻擊。但這個漏洞影響極為廣泛,日誌框架系統Log4j存在於各式各樣以Java程式語言開發的應用系統,許多的軟體套件都含有Log4j,光是Apache基金會維護的軟體專案,就有Struts2、Solr、Druid包含這套日誌框架系統,而使得IT人員要清查、修補的難度變得相當高。

雪上加霜的是,這個漏洞的細節公布不久,研究人員發現Apcahe推出的Log4j更新程式(2.15版)修補不夠完全,使得該基金會陸續又推出2.16、2.17版,來緩解CVE-2021-45046、CVE-2021-45105兩個漏洞。其中,CVE-2021-45046原本一度被認為僅有低度風險,但更新程式推出數日後,Apache發現這個漏洞可被用於RCE攻擊,而將其CVSS風險評分一舉提升至9.0分。

除了漏洞本身被發現可被繞過的情形,也有攻擊者調整攻擊的策略,使用不同的管道利用Log4Shell漏洞。原本多數攻擊者是利用LDAP服務來觸發這項漏洞,但先後有資安業者發現,有些攻擊者運用遠端方法呼叫(RMI)的API,或是透過WebSocket的管道,而使得攻擊行為更加難以捉摸。

而且更值得留意的是,臺灣受到Log4Shell影響的程度相當嚴重。資安業者Sonatype指出,臺灣從Java套件庫Maven Central下載存在漏洞的Log4j比例竟高達8成,為全球之冠;而國內代理開源程式管理解決方案WhiteSource的叡揚資訊,他們也提出另一種面向的觀察,那就是臺灣有不少組織裡,可能存在多個存在漏洞的Log4j不同版本,甚至有不少是已經終止支援的Log4j 1.x版。這樣的現象,顯然臺灣必須格外留意Log4Shell帶來的影響。

【攻擊與威脅】

臺灣曝露Log4Shell風險的比例全球之冠,下載存在漏洞的Log4j超過8成,且比例有變多的趨勢

同時管理知名Java套件庫Maven Central的資安業者Sonatype,近期公布自12月10日Log4Shell漏洞細節公開後,開發人員從該套件庫下載Log4j的情形。其中,他們特別提及臺灣的情況最為嚴重,且有惡化的趨勢。我們於23日向代理商群鉅整合資安確認時,臺灣下載存在漏洞的Log4j版本,比例已達80.03%,24日上午已增至85%,遠高於全球平均(43%)。該公司也呼籲開發人員,應留意仍有不少存在漏洞的Log4j被下載使用的現象。

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司各自使用10個以上有漏洞的版本

開放原始碼軟體資安廠商WhiteSource代理商叡揚資訊,針對多個產業用戶進行調查,結果發現許多產業都無法倖免Log4Shell漏洞的風險。但其中,金融業所要處理的Log4j漏洞管理作業可能最繁重,因為他們的金融業用戶中,使用有漏洞Log4j版本超過10個的公司,竟高達50%。

勒索軟體Khonsari利用Log4Shell漏洞發動攻擊

自Apache Log4j重大漏洞CVE-2021-44228(Log4Shell)被公布以來,許多資安業者和研究人員發現,該漏洞已被用於對Linux主機下手,發動挖礦攻擊,或是拿來植入木馬程式。防毒業者BitDefender指出,他們觀察到針對Windows電腦而來的攻擊行動,勒索軟體Khonsari利用這個漏洞散布,使用AES 128 CBC演算法,加密受害電腦的使用者桌面、文件、圖片等資料夾。同時,他們也看到RAT木馬Orcus的攻擊行動。

勒索軟體Conti開始利用Log4Shell漏洞,攻擊VMware vCenter

威脅情報業者Advanced Intelligence指出,他們發現勒索軟體駭客Conti,自12月12日開始,開始利用Log4Shell漏洞(CVE-2021-44228)發動攻擊,鎖定VMware vCenter環境下手,藉著漏洞在攻擊目標的內部網路環境中進行橫向移動,已有美國和歐洲的受害組織。針對Log4Shell漏洞,VMware發出資安通報並提供緩解措施,但尚未提供修補程式,vCenter用戶仍有可能成為駭客的攻擊目標。

勒索軟體透過Log4Shell漏洞攻擊越南大型加密貨幣交易所

越南大型加密貨幣交易所ONUS傳出遭到勒索軟體攻擊,駭客於12月11日至13日之間,鎖定存在Log4Shell漏洞的付款系統Cyclos下手,這套付款系統含有近200萬筆客戶資料,包含了「了解你的客戶(E-KYC)」資料與密碼。駭客向ONUS勒索500萬美元遭拒,將竊得的資料於駭客論壇求售。

鎖定Log4Shell漏洞的攻擊手法出現變化,駭客以RMI發動挖礦攻擊

利用Apache Log4j重大漏洞「Log4Shell」發動攻擊的態勢,已出現多種型態的手法,且國家級駭客也加入行列。不過,也有部分的攻擊者調整戰術,而讓IT人員更難以防範。資安業者Juniper Networks指出,他們看到部分利用Log4Shell的攻擊者,從原本使用LDAP的服務,改用遠端方法呼叫(RMI)的API來進行,亦有一些駭客是LDAP、RMI同時並用,最終目的是注入門羅幣挖礦程式。這些駭客改用RMI的原因,研究人員指出,主要是防守方和相關防護工具,聚焦於JNDI和LDAP監控,RMI可能會被忽略,若是受害電腦使用的JVM缺乏嚴略的管制政策,攻擊者有機會更容易發動RCE攻擊。

Log4Shell攻擊出現利用WebSocket的新手法

繼日前資安業者發現,部分駭客利用Log4Shell漏洞發動攻擊的態勢,從LDAP轉移到RMI服務,有資安業者發現更為隱蔽的手法。資安業者Blumira指出,他們發現能透過JavaScript程式碼,使用WebSocket通訊協定的攻擊手法,由於這類協定只向伺服器驗證來源,而不受限瀏覽器的同源政策管制。研究人員也公布他們概念性驗證攻擊的實作方式,並成功以這項手法觸發Log4Shell漏洞,執行Windows伺服器上的小算盤(Calc.exe)。

Log4Shell漏洞可被用於攻擊多種車用系統

趨勢科技指出,許多嵌入式設備可能會採用Apache Log4j軟體,而汽車在採用大量電子控制設備後,也很可能導入含有漏洞的Log4j元件,而被用於Log4Shell攻擊。他們針對以Java建置的車用系統,包含電動汽車所使用的車輛電力網(V2G)、可做為車鑰匙或控制車輛的智慧型手機App,以及車用資訊娛樂系統(IVI)等進行研究,發現都有可能存在Log4Shell漏洞而用於發動攻擊,例如打開車門、操控空調等,進而影響車輛安全。該公司認為,可能還有其他汽車採用的電子元件也可能會受到Log4Shell波及。

非Java程式語言開發的應用系統也可能受到Log4Shell波及

引起全球關注的Log4Shell漏洞,使得許多Java開發人員戒慎恐懼,找尋應用系統裡存在漏洞的Log4j並採取緩解措施。但資安業者WhiteSource指出,並非只有Java程式才會曝露Log4Shell漏洞,研究人員舉出Ruby程式語言為例,開發者可使用JRuby來使用Java套件,並透過Log4j來記錄事件。他們在JRuby應用程式進行概念性驗證攻擊,並指出Log4Shell漏洞也可能會存在於其他基於JVM執行的程式語言,如Jython,Node-java,Jgo等。

阿里巴巴因未先通報中國政府Log4Shell漏洞,遭到當局處罰

引發全球關注的Log4Shell漏洞CVE-2021-44228,最初由阿里巴巴於11月底向Apache基金會通報,並於12月9日公布細節,但最近卻傳出該公司因為沒有先向中國政府通報而遭到處罰。根據南華早報於12月22日的報導指出,中國工業和信息化部(工信部)將暫停阿里雲的網路安全威脅情報夥伴身分6個月,理由是該公司在發現Log4Shell漏洞後,沒有立即向電信主管部門報告,而未盡協助工信部的責任。裁罰期滿後,將根據阿里雲改善的情況恢復合作夥伴身分。此舉恐衝擊阿里雲的業務,且難以評估具體損失的情形。

南華早報指出,中國今年的確通過一項法案,要求當地業者對於自家產品的漏洞,必須第一個讓中國政府知悉,但對於其他軟體的漏洞,該法則沒有強制要求,此舉將影響中國資安界的漏洞通報機制。

掃貨惡意程式Grinchbot攻擊流量在黑色星期五增加7成

在11月的購物季,各電商平臺無不磨拳擦掌,推出限定、限量的商品來吸引顧客,但購物黃牛透過機器人程式蒐括這些限定商品,再轉手高價賣出的現象也值得注意。資安業者Imperva指出,有人利用名為Grinchbot的機器人,在11月的購物季大肆搶購限定商品的現象,較10月份多出了73%的流量。而在整個11月裡,又以黑色星期五和網路星期一達到流量高峰。

Magecart側錄攻擊鎖定WooCommerce電商網站而來

側錄線上交易的Magecart攻擊行動,過往有不少事故是針對Magento電子商務平臺而來,但資安業者RiskIQ最近提出警告,他們發現近期鎖定WooCommerce電子商務平臺的攻擊增加,並介紹新的側錄工具WooTheme、Slect、Gateway,呼籲電商網站留意。

駭客濫用Google Tag Manager服務,發動Magecart側錄攻擊

駭客針對電子商城網站發動Magecart攻擊,自2020年起開始運用多項Google的服務,如今又多了一種「Google Tag Manager(GTM)」,這項工具的用途,是提供網站管理者部署Google Ads、Google Analytics、Floodlight或第三方合作夥伴的程式碼,而無須大幅修改網站本身。但攻擊者運用這項工具自建容器發動攻擊,極為難以察覺。資安業者Gemini Advisory指出,他們自2021年2月4日開始,觀察到至少有316個電子商務網站,感染了木馬化的GTM容器,被攻擊者用來發動Magecart側錄攻擊。

北美零售業者收銀機被挾持,列出辭職運動標語

根據Motherboard的報導,北美多家零售業者的IT人員發現,他們的收銀機(POS)系統傳出遭到挾持,而陸續印出武漢肺炎疫情下當地流行的「大辭職(Grand Resignation、亦稱Big Quit)」勞工運動文宣,企圖煽動員工離職或是參與罷工運動。這個情況資安業者GreyNoise也提出類似的觀察,並表示攻擊來源主要是來自荷蘭的代管業者,受害者主要位於北美,約有十多起事件。

駭客使用Omicron變種病毒為誘餌,鎖定英國民眾發動網釣攻擊

最早在南非發現的武漢肺炎變種病毒Omicron,近日大舉入侵近40個國家,南非5歲以下兒童大量感染而住院,許多人士即使已經施打2劑疫苗仍然染疫,引起全球恐慌。英國消費者保護組織Which指出,他們發現2個聲稱是英國國家衛生服務部(NHS)的釣魚郵件,內容指出打算為收件人提供免費的PCR測試,來檢測變種武漢肺炎病毒Omicron,一旦收信人點選連結,就會被引導到冒牌的NHS網站填寫資料,並要求支付1.24英鎊的手續費。Which指出,攻擊者並非以收取手續費為目的,而是要竊取受害者的信用卡資料,且在過程中會要求填寫母親的姓名,以便攻擊者接管帳號後,繞過NHS網站的安全問題。

IKEA電子郵件系統傳出持續遭到網路攻擊

根據資安新聞網站Bleeping Computer的報導,宜家家居(IKEA)向內部員工提出警告,攻擊者正以員工或是其他合作廠商的名義,發動釣魚郵件攻擊。在這封信件提及,此起事件攻擊者鎖定母集團Inter IKEA的郵件伺服器下手,其他IKEA組織、供應商,以及合作夥伴,也有可能遭駭,並寄信給Inter IKEA的員工。IKEA警告員工,這些郵件往往是從工作上有交集的人士寄出,因此郵件安全系統也很難察覺異狀,員工要特別留意。

Panasonic證實遭到入侵,內部資料被非法存取

日本家電大廠Panasonic於11月26日發布新聞稿指出,他們於11月11日發現,內部網路遭到第三方非法存取。該公司已經向有關執法單位通報,並強化資安,且會同外部專家進行調查,以釐清本次事故中,是否有客戶的個資或敏感資料與社交基礎架構(Social Infrastructure)有關。根據當地媒體NHK與每日新聞的報導,攻擊者疑似在6月22日至11月3日之間,多次存取Panasonic的內部網路,直到網路流量異常才被發現。

電信業者T-Mobile證實用戶遭到SIM卡挾持攻擊

大型電信業者T-Mobile近期對於部分用戶發出聲明,指出某些帳號出現未經授權的攻擊行動,攻擊者可能會用來檢視客戶專用網路資訊(CPNI),或是進行SIM卡挾持(SIM Swapping)攻擊,該公司宣稱,只有一些資訊遭到曝露。根據資安新聞網站Bleeping Computer的確認,T-Mobile才坦承他們通知的客戶,大多是SIM卡挾持攻擊的受害者。

跨國物流業者漢宏遭到網路攻擊

根據新聞網站Air Cargo的報導,跨國物流業者漢宏國際物流(Hellmann Worldwide Logistics)於12月9日發出公告,表示他們遭到網路攻擊,為了防範災害擴大,他們暫時切斷與資料中心的所有連結,對於營運造成重大影響。12月13日,漢宏再度更新公告內容,指出他們已經恢復基本的營運業務,但仍然不能確定是否有資料外洩的情況。

汽車大廠Volvo驚傳遭到入侵,研發資料外洩

汽車產業遭到攻擊的現象,今年有數起事故發生。最近,瑞典汽車大廠Volvo也證實成為受害者,他們於12月10日發出公告,指出檔案資料庫遭到非法存取,少量研發資產被竊,且有可能對公司營運造成影響。根據資安新聞網站Bleeping Computer的報導,這起事故是Snatch勒索軟體駭客所為,他們亦公布少量從Volvo竊得的文件。

美國物流龍頭D.W. Morgan雲端配置不當,曝露財星500大客戶資料

架站教學網站Website Planet指出,他們發現美國大型物流業者D.W. Morgan使用的AWS S3儲存桶,不需身分驗證就能存取,該儲存桶含有超過100 GB資料,至少有250萬個檔案,曝露員工個資及客戶資料,包含思科、愛立信等財星500大及全球500大企業客戶受到波及。D.W. Morgan獲報後數天已採取保護措施。

阿爾巴尼亞驚傳五分之一國民個資外洩

根據美國聯合通訊社(美聯社,AP)的報導,約於2星期前,含有阿爾巴尼亞政府與民間企業員工個資的Excel文件,經由WhatsApp散布到網路上,內容疑似為政府及民間企業自今年1月申報的員工薪資資料,受影響人數約64萬人,占該國總人口22%。對此,阿爾巴尼亞總理Edi Rama召開記者會證實及道歉,並指出此事是內部人員所為,而非遭到網路攻擊所致。

人資管理解決方案業者Kronos遭勒索軟體攻擊,雲端服務用戶受到波及

人資管理解決方案業者Kronos於12月13日表示,他們因12月11日遭遇勒索軟體攻擊,導致該公司透過私有雲建置的數種UKG解決方案無法使用,復原有可能需要數個星期。其中1個受影響的組織向資安新聞媒體Bleeping Computer透露,他們被迫改用試算表軟體和紙本,來因應人資系統停止運作的情況。

間諜軟體Pegasus監控美國國務院官員

根據Motherboard、華盛頓郵報、路透社等新聞網站報導,至少有9名美國官員收到蘋果公司的警告,他們的手機疑似最近幾個月遭到攻擊者利用iOS漏洞ForcedEntry,來植入以色列網路攻擊公司NSO Group所製作的間諜軟體Pegasus。這些受害者的身分,是處理烏干達事務的美國官員。NSO Group向Motherboard透露,他們已停用發動此起攻擊的使用者帳號,並將與相關的政府當局合作,提供有關資料,以便釐清案情。不過,NSO Group強調,他們被禁止使用美國的電話號碼,而難以得知是那個組織所發動的攻擊。

Google與代管業者合作摧毀Glupteba殭屍網路

攻擊者濫用Google服務的情況相當常見,但別以為Google只會封鎖遭到濫用的帳號和服務。Google於12月7日宣布,他們與網路基礎設施、代管業者聯手,關閉殭屍網路Glupteba所使用的伺服器主機與網址,同時他們也找出發動攻擊的2名俄羅斯駭客,並向美國法院提告。該公司指出,該殭屍網路粗估超過百萬裝置受到感染,受害者遍布美國、印度、巴西,以及東南亞。Google亦封鎖1,183個遭濫用的Google帳號、870個廣告服務帳號,並關閉用來散布殭屍網路病毒的6,300萬個Google Docs文件。

竊密軟體RedLine鎖定網頁瀏覽器儲存的帳密下手,攻擊者藉此得到存取組織內部網路的管道

資安業者AhnLab指出,他們看到竊密軟體RedLine的攻擊行動,在其中一起事故裡,在家工作的員工透過公司提供的電腦,藉由VPN連線存取公司資源。被鎖定的員工使用網頁瀏覽器來儲存VPN帳密,且電腦遭到RedLine感染,攻擊者竊得該名員工的VPN帳密後,在3個月後用來攻擊這家公司。研究人員警告,瀏覽器儲存帳密的功能極為便利,但可能因電腦感染惡意軟體而外洩,使用者最好透過啟用雙因素驗證的方式,來保護自己各式網路服務的帳號。

密碼管理系統LastPass驚傳遭到帳號填充攻擊

根據資安新聞網站Bleeping Computer的報導,近期有許多密碼管理系統LastPass的用戶指出,他們收到有人異常存取自己帳號的通知。對此,母公司LogMeIn表示,這起事故攻擊者疑似是透過帳號填充(Credential Stuffing)的手法,企圖掌控用戶的帳號。資安研究人員Bob Diachenko也發現有數千個被竊密軟體RedLine偷到的LastPass帳密。但對於業者和資安人員公布的資料,許多受害者指出,他們的LastPass帳號使用獨立的密碼,且與資安人員找到的資料無關。究竟他們的帳密如何被外洩?有待進一步釐清。

印度、俄羅斯、中國APT駭客大肆運用RTF範本注入攻擊

資安業者Proofpoint指出,他們觀察到自2021年2月開始,與印度與中國國家利益相關的DoNot Team、TA423等2個APT駭客組織,採用了RTF範本注入(RTF Template Injection)的手法,分別於3月15日及4月8日開始交付武器化工具,隨後於4月及5月發動多次攻擊。這樣的手法也被與俄羅斯聯邦安全局(FSB)有關的駭客組織Gamaredon運用,在10月5日攻擊烏克蘭政府的時候,作為檔案誘餌。由於這種手法較基於微軟Office軟體的範本注入攻擊而言,更難被防毒軟體察覺有異,研究人員認為,日後恐怕會有更多駭客使用這種攻擊手法。

RAT木馬程式鎖定Nginx伺服器而來,發動MageCart側錄攻擊

資安業者Sansec日前揭露Linux木馬程式CronRAT,鎖定電商網站的伺服器,發動Magecart攻擊。但這種鎖定網頁伺服器下手發動側錄攻擊的情況,該業者又有新的進展──他們在調查北美與歐洲CronRAT受害情形時,發現另一個木馬程式NginRAT,這個木馬程式藏匿在Nginx伺服器上運作,而得以繞過資安防護系統,NginRAT劫持了Nginx應用程式,並修改Linux主機系統的核心功能,並嵌入在Nginx處理程序中運作。研究人員指出NginRAT的感染途徑,疑似是透過CronRAT傳送到受害主機。

暗網市集2easy兜售60萬臺電腦遭竊的帳密

暗網情報業者Kela指出,自2018年開始運作的暗網市集2easy,自去年開始快速成長,近期更受到許多網路犯罪者的歡迎,原因是該市集提供的價格低廉,是俄羅斯市場行情的三分之一,且該市集的使用者操作介面功能強大,可讓買家查看竊密軟體感染的電腦。研究人員表示,他們看到該市集半數的賣家以RedLine竊密,但也有賣家搭配Raccoon Stealer、Vidar、AZORult等其他竊密軟體使用。Kela指出,初期存取攻擊目標管道的市場正在成長,且與勒索軟體攻擊直接相關,因此這樣的市集動態值得關注。

勒索軟體AvosLocker透過網管工具散布

資安業者Sophos指出,他們近期觀察到勒索軟體AvosLocker的攻擊行動,駭客利用遠端桌面軟體AnyDesk來存取Windows受害電腦,然後透過軟體派送工具PDQ Deploy散布惡意批次檔,並在電腦重新啟動為安全模式的狀態之前執行,批次檔的功能為修改登錄檔停用防毒軟體,以便植入AvosLocker。研究人員指出,由於攻擊者強制電腦切換到安全模式,使得防毒軟體無法正常運作,受害者難以因應攻擊行動。

木馬程式DarkWatchman藏身於Windows登錄檔進行寄生攻擊

資安業者Prevailion於11月下旬,發現了名為DarkWatchman的RAT木馬程式,這個木馬程式以JavaScript程式碼打造而成,大小僅32 kb。DarkWatchman使用網域產生演算法(DGA)與C2中繼站連線,並大量使用現成執行檔、程式碼,以及程式庫來進行寄生攻擊(LoL)。這個木馬程式在每次使用者登入受害電腦時,以工作排程啟動,並執行PowerShell程式碼來編譯鍵盤側錄工具,然後在記憶體內執行。比較特別的是,此款鍵盤側錄工具並非直接與C2中繼站連線傳輸資料,也不會把資料寫入磁碟,而是先把側錄得到的資料儲存於登錄檔,再由DarkWatchman將資料外傳。

惡意軟體Dridex以解僱郵件來發動網釣攻擊

研究人員TheAnalyst指出,近期有一波散布惡意軟體Dridex的網路釣魚攻擊,是佯稱要解僱員工的名義,宣稱僱庸關係將在12月24日結束,並引誘收信者開啟附件裡,以密碼保護的惡意Excel檔案。一旦對方不慎開啟附件,便會看到模糊的表單,攻擊者宣稱要啟用巨集才能正常閱讀。當收信人依照指示啟用巨集,就會出現彈出視窗顯示「聖誕節快樂!」,但在此同時,惡意巨集從Discord下載Dridex並植入受害電腦,進而安裝其他惡意軟體,或是竊取各式帳密。

大規模間諜軟體PseudoManuscrypt攻擊鎖定工控系統而來

卡巴斯基指出,他們從2021年6月發現疑似鎖定工業控制系統(ICS)而來的間諜程式PseudoManuscrypt,自1月20日至11月10日,他們在全球195個國家、35,000臺電腦上攔截這個間諜程式的攻擊,攻擊目標為政府組織、軍工業、實驗室,其中,至少有7.2%受害電腦是ICS的一部分。這個間諜軟體具備Lazarus惡意程式Manuscrypt的特徵,但採用中國駭客組織APT41常用的KCP通訊協定,再加上攻擊者使用中文,駭客很有可能來自中國。

竊密軟體入侵亞洲政府組織的Exchange伺服器

卡巴斯基在調查Exchange伺服器可能存在的惡意程式時,意外發現可疑的IIS附加模組「Owowa」,一旦Exchange啟用了網頁收信介面Outlook Web Access(OWA),Owowa將會竊取使用者在OWA登入的帳密,並能讓遠端的攻擊者在伺服器底層執行命令。研究人員在馬來西亞、蒙古、印尼、菲律賓發現攻擊行動,受害者多為政府組織,此外,他們認為歐洲可能是下一波的攻擊目標。

惡意軟體鎖定HPE伺服器管理元件iLO,刪除硬碟內容

威脅情報業者Amnpardaz發現名為iLOBleed的Rootkit,鎖定HPE伺服器的管理元件Integrated Lights-Out(iLO)而來,這起攻擊行動約從2020年初開始,攻擊者透過假的iLO更新名義,引誘管理者安裝iLOBleed。由於iLO具備自己的處理器、儲存裝置、記憶體、網路卡,而能讓管理員遠端控管伺服器,研究人員指出,有攻擊者藉著iLOBleed藏匿於iLO,在受害組織重新安裝伺服器作業系統後仍能繼續進行活動。至於攻擊者的身分和目的,目前仍不明朗,Amnpardaz只有看到攻擊者用來刪除伺服器硬碟資料的情況。

攻擊者濫用MSBuild發動寄生攻擊,執行滲透測試工具Cobalt Strike

Morphus實驗室研究人員Renato Marinho指出,他在1週內觀察到2個濫用MSBuild的惡意程式碼攻擊行動,攻擊者疑似利用遠端桌面協定(RDP)來存取受害電腦,並經由服務控制管理器(Service Control Manager,SCM)進行橫向移動,然後濫用微軟的應用程式編譯引擎Microsoft Build Engine(MSBuild),來執行滲透測試工具Cobalt Strike Beacon,攻擊者使用MSBuild的目的,在於編譯並執行特定的C#程式碼,再解譯組裝為Cobalt Strike,且執行Beacon。為防範相關攻擊,研究人員呼籲組織應利用應用程式權限控管的方式,來防堵這種攻擊手段。

Rust勒索軟體BlackCat透過遠端桌面軟體入侵受害電腦

資安研究團隊MalwareHunterTeam於12月3日,向Bleeping Computer透露,他們在11月21日看到第一個以Rust程式語言製作,且被用於攻擊行動的勒索軟體BlackCat(亦稱Alphv、Noberus)。賽門鐵克於12月16日揭露了更多細節,指出他們看到在11月3日就有相關的攻擊行動,迄今他們已經發現3種BlackCat的變種,並發現攻擊者入侵受害電腦的管道,是透過名為ConnectWise Connect的遠端桌面軟體。

Line Pay外包商員工不慎將行銷資料上傳GitHub,13萬人資料外洩,Line發現後已刪除並公布調查結果

Line Pay服務在12月6日發布公告,說明在11月24日發現,有外包集團公司員工在9月12日,未經許可在GitHub上傳了用於調查使用者參與特定行銷活動的相關資訊,Line公司在發現當日,已將相關資訊從GitHub中刪除,並在11月30日完成存取狀態等調查,這些外洩資訊曾被存取11次。這次事件牽連全球13萬3484人用戶,包含臺灣7萬1631人與日本5萬1543人,資料內容主要是用戶識別碼(不同於Line ID)、商店管理編號,以及活動相關資訊,但不包含用戶姓名、地址、電話,以及信用卡與銀行帳號等資訊,因此確認對用戶沒有影響。

證交所證實元大證券、統一證券出現異常港股委託情事

元大證券、統一證券於11月25日下午,傳出有部分客戶的帳號遭不明人士冒用,進行複委託下單並成交深藍科技控股的香港股票,上述2家券商緊急暫停複委託電子交易,改以人工下單因應。此事臺灣證券交易所於26日發出新聞稿證實,並指出是這2家券商的複委託下單系統遭到駭客入侵所致,並表示近期券商遭到撞庫攻擊的資安事件頻傳,他們已請券商重新檢視身分驗證的防護力是否足夠,並確認最近2星期更新的密碼是否為客戶本人所為。

針對本次事件,元大證券與統一證券也發出公告進一步說明。元大證券於26日20時29分在股市公開觀測站發布重大訊息,表明他們確認異常港股委託非客戶本人交易後,暫停「行動精靈」App的電子交易,並強調另一款由該公司開發的「投資先生」App不受影響。統一證券亦於同日發出公告,表示在清查後,總共有7名客戶受害。

此起事故也傳出疑似是三竹資訊開發的下單系統不安全所引起,對此,三竹資訊也在26日在股市公開觀測站發布重大訊息,聲稱此次攻擊是撞庫攻擊,而非該公司提供的系統遭到入侵。

凱基期貨電子交易系統驚傳遭駭

繼元大證券、統一證券傳出複委託下單系統遭駭,部分客戶帳戶遭不明人士下單港股並成交,也有期貨公司傳出遭到駭客攻擊。凱基期貨也於11月26日17時37分向臺灣期貨交易所通報,他們的網頁交易平臺疑似遭到駭客攻擊,該公司隨即封鎖攻擊來源,並表示近期的帳號、密碼申請將採人工加強驗證等措施因應。

中國信託薪轉戶驚傳遭集體盜刷

根據蘋果日報、中央社等媒體報導,臺中有一家公司使用中國信託銀行做為薪資轉帳的帳戶,近期傳出員工的借帳金融卡(Debit卡)陸續遭到盜刷的情況,至少有十多人受害,由於僅有透過公司向中國信託開戶的員工卡片遭到盜刷,懷疑是當時申辦的個資外洩。

對此,中國信託表示,此案很可能是不法人士隨機測試客戶的卡號、有效日期等資料,於網站冒用進行交易,該公司主動察覺異常並聯繫客戶。而這些遭盜刷的款項,中國信託強調將依爭議帳款進行處理,持卡人無需負擔,他們也協助客戶更換新卡。

東元電機與東捷資訊有部分資訊系統遭受駭客網路攻擊

在12月20日傍晚接近6時,國內傳產上市大廠東元電機與上櫃公司東捷資訊,在臺灣證券交易所發布資安事件重大訊息,說明部分資訊系統遭受駭客網路攻擊,他們已在察覺網路異常後,啟動防禦機制與被援作業,目前受影響的系統正陸續復原中,並表示這次事件不影響營運。

臺北馬拉松跑者遭詐騙,列本週高風險賣場,警方證實中華民國路跑協會資料庫遭駭

165反詐騙諮詢公布本周解除分期高風險賣場名單,包括:誠品書店、中華民國路跑協會、東森購物、資生堂、樂購蝦皮、老爺酒店與西堤牛排。值得關注的是,上周傳出的中華民國路跑協會、臺北馬拉松的相關詐騙案,根據中央社報導,警方在12月14日指出,已受理17件,經初步調查,發現有駭客使用境外IP位址入侵中華民國路跑協會網站資料庫,進而利用所盜取的會員資料進行詐騙。

 

【漏洞與修補】

日誌框架系統Apache Log4j重大漏洞波及iCloud、Minecraft、Steam等大型應用系統,且已被用於攻擊行動

甫被Apache修補的日誌框架系統Log4j漏洞「Log4Shell」(CVE-2021-44228),CVSS風險層級到到滿分10分,被資安專家稱為近10年來最嚴重的漏洞之一,Cloudflare執行長Matthew Price認為,是繼Heartbleed、ShellShock之後最為嚴重的漏洞。

由於Log4j的JNDI功能可用於組態、記錄訊息,而包含於Apache Struts2、Apache Solr、Apache Druid等許多軟體專案中,有許多大型IT公司或應用系統都使用這款工具,例如蘋果iCloud、推特、微軟Minecraft,以及Valve遊戲平臺Steam等,再加上這個漏洞利用極為容易,已經出現相關攻擊行動。要利用這個漏洞究竟有多容易?研究人員Marcus Hutchins指出,採用這個日誌框架系統的遊戲Minecraft,攻擊者只需在聊天欄位發出訊息就有可能觸發。

Apache再度修補Log4j可造成服務阻斷的漏洞

針對Log4Shell修補不完全的漏洞CVE-2021-45046,Apache基金會推出更新版Log4j 2.16,但研究人員又找到另一個能被用於發動阻斷服務攻擊(DoS)的漏洞,使得該基金會再度修補。Vx-Underground和Hacker Fantastic等研究人員於12月18日指出,雖然在Log4j 2.16版裡,JNDI搜尋功能已經被全面停用來防堵Log4Shell漏洞,但在某些情況下仍然有可能會被使用,而觸發CVE-2021-45105漏洞,此漏洞CVSS風險層級為7.5分,影響2.0 Alpha1至2.16版Log4j,Apache基金會亦於同日發布2.17版予以修補。

Log4Shell修補不全漏洞恐被用於RCE攻擊,Apache改列為重大風險層級

針對Log4Shell修補不全的漏洞CVE-2021-45046,Apache基金會於12月17日大幅調整CVSS風險層評分,從原本的3.7分提高到9.0分,原因是當初他們認為,這項漏洞僅會被用於阻斷服務(DoS)攻擊,但後來有研究人員發現,攻擊者能繞過Log4j 2.15版中,允許LDAP只能連接到本機的限制,而可被用於RCE攻擊,使得這項漏洞的危險程度大幅增加。

Apache修補第5個Log4Shell漏洞

Apache基金會於12月28日,再度針對Log4j發布2.17.1版,修補CVSS風險層級為6.6分的RCE漏洞CVE-2021-44832。這項漏洞與Log4j缺乏對於JNDI存取的額外控制有關,一旦攻擊者取得能修改記錄事件的組態,可藉由JDBCAppender惡意配置,以參照JNDI的URI來執行遠端程式碼。而這項漏洞已是自12月9日開始,第5個被發現的Log4Shell漏洞。

HPE、IBM、Nvidia、VMware說明產品受Log4Shell影響的情形

Log4Shell漏洞涉及範圍甚廣,許多IT業者也發出公告,表明旗下產品受影響的範圍。其中,Nvidia旗下受影響的產品,包含了程式設計模型CUDA 、遙測代理程式NetQ,以及人工智慧系統DGX Systems;HPE修補超過60項產品,包含融合Hyper Converged、3PAR、Ezmeral,以及超級電腦軟體Cray System等;IBM修補旗下100多項軟體,包含DB2、Websphere、Tivoli、SPSS等。VMware則指出vCenter Server及vCenter Cloud Gateway受到影響,並提供相關緩解措施。

德國自動化安全分析業者針對9款Wi-Fi路由器測試,發現226個安全漏洞,包含華碩、群暉、D-link與訊舟及國外等知名品牌

在12月2日,德國IoT Inspector發布一份關於9款Wi-Fi路由器弱點的分析報告,這是他們與當地IT雜誌CHIP合作進行,並是以自動化分析平臺對韌體分析而產生漏洞報告,測試產品包括AVM FritzBox 7530 AX、AVM FritzBox 7590 AX、Linksys Velop MR9600、Netgear Nighthawk AX12、TP-Link Archer AX6000,以及臺廠設備,包括Asus ROG Rapture GT-AX11000、D-Link DIR-X5460、Edimax BR-6473AX與Synology RT-2600ac,共發現226個漏洞,以TP-Link Archer AX6000最多。IoT Inspector表示,這些漏洞皆已通知設備商,不過目前仍有業者尚未修補。

圖像化資料分析系統Grafana修補路徑穿越漏洞

開源的圖像化資料分析解決方案Grafana於12月7日緊急發布更新,修補路徑穿越漏洞CVE-2021-43798,這項漏洞的CVSS風險層級為7.5分,影響本地建置的8.0.0-beta1至8.3.0版Grafana用戶,一旦這個漏洞遭到利用,攻擊者可存取Grafana資料夾以外高權限資料夾路徑,例如存放使用者密碼的/etc/passwd/。Grafana指出,這個漏洞源自於該分析系統安裝的外掛程式URL,而導致該系統容易遭受攻擊。Grafana於12月3日獲報並著手修補,但7日他們得知漏洞已遭公開,且有概念性驗證攻擊程式,決定緊急提供修補程式。此外,Grafana Cloud實體的用戶不受影響。

USB設備網路共享元件存在漏洞,波及多家雲端虛擬桌面解決方案

隨著居家辦公變得普遍,組織開始相當依賴雲端服務,其中,能讓使用者將本地端的USB設備,延伸在組織提供的雲端虛擬桌面上執行,有賴於將USB設備透過網路執行的技術術(USB over Ethernet)達成。資安業者SentinelOne指出,他們發現開源的Eltima SDK,存在27個漏洞,波及Amazon Workspaces、NoMachine、Eltima USB Network Gate等,部分業者獲報後已著手修補。

頂級網域註冊業者的漏洞恐導致Google、Amazon網域遭接管

資安顧問公司Palisade指出,他們在10月8日發現,頂級網域(TLD)服務業者Tonga網路資訊中心(TONIC)的註冊系統存在SQL注入漏洞,導致攻擊者可以修改「.to」頂級網域下,任何網域名稱的名稱伺服器,覆蓋這些網域的DNS設置,將流量重新導向攻擊者的網站。例如,一旦有人控制google.to,將能藉由惡意的account.google.com網址,來竊取Google用戶的Token。

再者,由於.to廣泛被應用於產生短網址,Amazon(amzn.to)、Uber(ubr.to)和Verizon (vz.to)等公司的短網址可能會遭到濫用。他們通報TONIC後,這個漏洞在24小時內就獲得修復。

研究人員揭露由預設URI觸發的Windows 10重大RCE漏洞

利用Windows預設的統一資源標識碼(URI),來執行通用Windows平臺(UWP)應用程式、微軟Office軟體的手法,近期已有攻擊者用於網路釣魚攻擊,誘騙使用者下載惡意程式,但這種機制潛藏的危機恐怕不止於此。資安業者Positive Security揭露,他們發現一項透過IE 11或舊版Edge瀏覽器(採用EdgeHTML排版引擎),與Teams串連而形成的RCE漏洞,攻擊者可藉由Windows 10、11在ms-officecmd:的URI預設值,而能觸發這項漏洞。該公司指控,微軟獲報後雖然發布修補程式,但未完全解決,迄今Windows 11仍存在相關漏洞。

Dell驅動程式修補不完全,恐被用於Windows核心層級的攻擊

Dell於今年5月,修補DBUtil驅動程式存在長達9年的CVE-2021-21551,但最近資安業者Rapid7發現,該公司並未修補完全,僅是限縮管理者帳號的存取。研究人員指出,這樣的情況可讓攻擊者投放存在已知漏洞的驅動程式,在行動的過程裡提升權限,或是執行特定的程式碼,發動被稱為BYOVD(Bring Your Own Vulnerable Driver)的攻擊手法。

研究人員發現影響數十億裝置的Wi-Fi漏洞

達姆施塔特工業大學、布雷西亞大學、CNIT、安全行動網路實驗室聯手,揭露一系列的臭蟲,讓攻擊者可藉由裝置藍牙元件下手,操控Wi-Fi晶片的網路流量,以及竊取密碼等攻擊行為,影響採用Broadcom、Silicon Labs、Cypress晶片的數十億裝置。研究人員指出,智慧型手機等現代連網裝置的SoC,具備獨立的藍牙、Wi-Fi、LTE元件,但它們通常共享天線和無線頻譜等資源,而這些共享的資源就能讓攻擊者有可趁之機,跨晶片發動橫向的提升權限攻擊,執行任意程式碼、讀取記憶體內容,或是造成阻斷服務(DoS)。這些漏洞部分能透過韌體修補,有些則必須透過新的硬體才能處理。

微軟發布例行修補,修補6個零時差漏洞

微軟於12月14日發布Patch Tuesday例行修補,當中總共修補了6個已被公開的零時差漏洞,其中最受到注目的是CVE-2021-43890,這項漏洞與統一視窗平臺(UWP)的安裝程式(APPX、APPXBUNDLE檔案)有關,已被攻擊者用於散布惡意軟體Emotet、TrickBot、BazarLoader等。微軟指出,其他5個零時差漏洞尚未被用於攻擊行動。

協作平臺Teams的漏洞恐洩露用戶IP位址,或被用於詐騙連結攻擊協作平臺

資安業者Positive Security揭露4個微軟協作平臺Teams的漏洞,這些漏洞影響個人電腦及安卓行動裝置用戶,其中,存在於電腦版應用程式的漏洞,攻擊者可用於伺服器端偽造請求(SSRF)攻擊、URL預覽的欺騙攻擊;而安卓App的漏洞,可能會洩露使用者的IP位址,或是被攻擊者用來發動阻斷服務(DoS)攻擊。研究人員指出,目前微軟只修補了IP位址外洩的漏洞,但他們認為針對安卓裝置的DoS攻擊恐怕難以防範。

加密貨幣錢包簽章程式庫漏洞恐洩露金鑰

資安業者Trail of Bits揭露加密貨幣錢包簽章程式庫的漏洞,影響幣安閾值簽章程式庫(tss-lib),幣安、Clover Network、Keep Network等6個加密貨幣交易平臺受到影響。攻擊者一旦利用這種漏洞,只要在密錀產生或重新共享的協議開頭,配置惡意ID,就有可能竊取他人的密錀,或是導致節點無法使用。研究人員通報後,多數交易平臺已修補上述漏洞。

微軟應用程式代管服務驚傳洩露客戶原始碼的弱點

網站安全業者Wiz揭露應用程式代管服務Azure App Service的漏洞NotLegit,這項漏洞曝露部署於Azure的內部Git管理程式碼系統,波及以PHP、Python、Ruby、Node編寫的應用程式。研究人員指出,這項漏洞從2017年9月存在至今,可能已遭到利用,他們於今年10月7日通報微軟,漏洞已修補,微軟也在12月7日開始,向用戶發出資安通告來說明此漏洞。

Apache HTTP伺服器存在重大漏洞,恐被用於挾持攻擊

Apache修補HTTP伺服器的2個重大漏洞CVE-2021-44790、CVE-2021-44224,CVSS風險層級分別為9.8分與8.2分,美國網路安全暨基礎架構安全局(CISA)提出警告,其中一個攻擊者可用於遠端控制網站伺服器。資安業者Netcraft指出,Apache HTTP伺服器系統雖然沒有使用Log4j,而不受Log4Shell影響,但全球有近3億個網站使用該軟體架設,上述2個漏洞未來很有可能被用於攻擊行動。

電動汽車充電站存在數個漏洞,攻擊者可用來竄改充電記錄等資料

施耐德電機於12月14日發布資安通告,他們修補旗下的電動車充電系統7個漏洞,當中包含1個重大漏洞與5個高風險漏洞,影響EVlink City、EVlink Parking、EVlink Wallbox等產品線,這些漏洞可被用於跨網站請求偽造(CSRF)、跨網站程式碼(XSS)攻擊,或是透過Web界面進行暴力破解。其中最嚴重的漏洞可被用於伺服器端請求偽造(SSRF)攻擊,CVSS風險層級為9.3分。施耐德電機呼籲用戶要儘速安裝修補軟體。

SCADA系統驚傳重大漏洞,恐波多種關鍵基礎設施

美國網路安全暨基礎架構安全局(CISA)於12月21日發出警告,工業自動化系統業者mySCADA所推出的myPRO工控系統中,存在多個漏洞,該業者已於11月初完成修補。其中最嚴重的漏洞達到10分,主要與作業系統的命令裡可能藉由特殊字元觸發有關。CISA警告,這些受影響的系統存在於全球各地,運用於能源、食品、農業、水資源、交通運輸等行業,大部分受影響的客戶在歐洲。

玩具電話驚傳藍牙漏洞,攻擊者可竊聽通話內容

資安業者Pen Test Partners提出警告,他們近日發現幼兒玩具電話Fisher Price Chatter,存在嚴重的藍牙漏洞,這款玩具在連線範圍內,會自動連接到發出請求的藍牙裝置,而沒有任何配對的的安全機制,而使得攻擊者得以在該玩具電話的藍牙訊號範圍內,連接自己的設備來竊聽鄰居。再者,對於已連接的智慧型手機,該玩具的聽筒還有可能會自動接聽來電。研究人員認為,玩具業者美泰兒(Mattel)應著手處理相關問題。

 

【資安防禦措施】

協助上市櫃公司資安規畫,證交所制定「上市上櫃公司資通安全管控指引」

在金管會強化上市公司資通安全管理政策之下,今年有多項法令增訂陸續實施,包括要求揭露重大資安事件,在年報說明資安治理作為,明年還有設置資安長等要求,另一方面,為了幫助上市公司在資安推動上能有效規畫,在12月23日,臺灣證券交易所新發布「上市上櫃公司資通安全管控指引」,當中列出37項重點,希望企業能夠有所依循,並且衡量產業特性、規模大小及資安風險以適度採行。另外,也鼓勵上市公司免費申請成為TWCERT/CC會員,獲得資安事件因應相關諮詢。指引下載頁面:A045 上市上櫃公司資通安全管控指引

證交所針對證券、期貨業者,設置資安事故緊急應變支援小組

券商、期貨商的資安事故接連發生,使得有關業者的應變處理能力變得相當重要。為了能強化該產業處理資安事故的能量,臺灣證券交易所等證券期貨相關機構於11月30日,共同成立「證券暨期貨市場電腦緊急應變支援小組(Securities and Futures Computer Emergency Response Team,SF-CERT)」,將全天候協助證券期貨業者因應資安事件。

為達到資安聯防的策略,臺灣證券交易所、臺灣期貨交易所、財團法人中華民國證券櫃檯買賣中心、臺灣集中保管結算所、中華民國證券商業同業公會、中華民國期貨業商業同業公會,以及中華民國證券投資信託暨顧問商業同業公會等相關機構,將共同維運此資安事件應變處理體系。

Log4Shell漏洞突顯軟體材料清單議題

引起全球震憾的Log4Shell漏洞,因為Log4j存在於許多軟體專案裡,而使得IT人員可能疲於奔命找出需要修補的元件。研究機構Forrester指出,這起漏洞事件突顯軟體材料清單(SBOM)的重要性,許多資安人員表明,精準的SBOM能有助於組織快速找出這種無所不在的元件,並予以修補。適逢美國網路安全暨基礎設施安全局(CISA)的推廣SBOM活動,他們認為組織應趁著本次事件,儘速為軟體專案導入SBOM。

NIST正式發布物聯網設備網路安全指南SP 800-213 

對於物聯網的採購與使用安全,美國NIST在11月29日正式發布SP 800-213標準文件,這是一份從設備角度考慮系統安全性的指南,統整了相關背景知識與建議,目的是提供聯邦機構在採購時,需考慮物聯網設備需要提供哪些安全功能的建議,同時,搭配NISTIR 8259B、8259C與8259D的文件,希望幫助政府與IoT設備開發設計者,對於IoT設備的網路安全問題能保持一致的,進而將物聯網 (IoT) 設備安全提升到一定的水準,並可整合到聯邦資訊系統。而這樣的指南,也成為外界對於IoT設備安全的參考。

 

【資安產業動態】

 

金管會強制要求上市櫃公司設資安長正式實施,上百家企業需於2022年底完成設置

在12月28日,金管會正式發布修正「公開發行公司建立內部控制制度處理準則」,明訂符合條件的上市櫃公司需指派資訊安全長,應設置資訊安全專責主管及資訊安全人員,以利進行差異化管理。分級標準有三種,第一級的條件是資本額100億元以上,前一年底屬臺灣50指數成分公司,以及電商或人力銀行業,將於2022年底設置完成。至於其他上市櫃公司屬於第二級與第三級,虧錢公司採鼓勵設置方式,其他公司則要在2023年底設置資安專責單位。臺灣符合第一級規模的企業,估計有上百家,屆時將要指派資訊安全長。

公開發行公司年報記載資訊的法令修正發布,資安管理與ESG資訊須公開揭露

近年政府在推動資安上,開始聚焦讓每個產業都要導入資安,今年4月臺灣證券交易所已正式明訂,當上市、上櫃、興櫃公司發生重大資安事件時,需發布重大訊息對外揭露。最近,法令規範新修出爐,將上市公司企業年報揭露資安一事,正式列入要求。 證期局在11月30日公告,發布修正「公開發行公司年報應行記載事項準則」,當中主要針對公司在永續發展推動與執行,以及資通安全風險管理的面向,目標是強化公司在這兩方面的資訊揭露透明度。

數位發展部組織法三讀過關,最快2022年第二季掛牌

《數位發展部組織法草案》以及《數位發展部資通安全署組織法草案》立法院院會三讀過關,預計需要半年的時間,進行後續籌備以及相關機關的業務和人力移撥作業,最快2022年六月或七月掛牌上路。根據行政院組織法的規定,確認數位發展部成立後,現有的科技部將調整為「國家科學及技術委員會」。行政院資安處將升格為三級機關的「資通安全署」,主要負責統籌政府整體資安治理架構;另設置新的行政法人「國家資通安全研究院」,扮演國家資安技術智庫幕僚的角色。

臺灣資安鑄造公司成立舉行揭牌儀式,盼帶動資安智慧聯防與產業合作

今年7月,資訊工業策進會(資策會)資安所傳出籌備臺灣資安鑄造公司已有進度的消息,在12月8日,臺灣資安鑄造股份有限公司(資安鑄造)正式宣布技轉成立,將透過自主研發的工業物聯網威脅偵測系統,新建立跨IT、OT與5G的供應鏈資安監控平臺,可整合多元資安技術服務,快速偵測資安事件,並聚焦供應鏈安全,針對地方SI、5G、醫療、電商、工控與晶片產業提供合作模式。此外,有意投資資安鑄造的美國矽谷創投Draper Associates與東元,都參與揭牌儀式。隨著該公司的成立,對國內資安生態的幫助與影響,也將成為國內資安領域持續關注的焦點。

記憶體廠商華邦電子聯手物聯網資安業者Karamba,針對汽車推出網路安全解決方案

臺灣DRAM及快閃記憶體製造商華邦電子於12月8日宣布,他們將與物聯網資安業者Karamba Security合作,共同推出適用於汽車的網路安全防護解決方案。該方案由華邦的安全快閃記憶體TrustME與Karamba XGuard搭配,宣稱能讓車廠符合UN R155等汽車網路安全標準的要求。

國際半導體展資安漸成要角,半導體供應鏈資安聯盟與資安標準發展成焦點

半導體業的資安防護議題越來越受重視,今年國際半導體展實體展SEMICON Taiwan 2021於12月28日到30日舉行,今年不僅規畫資安專區,比往年資安主題館規模更擴大,同時在28日將舉行半導體供應鏈資安聯盟啟動儀式,同時公布SEMI半導體資安標準SNARF 6506建立的最新進程。

2022年RSA大會確定延期至6月

往年都在年初舉行的全球資安盛會之一RSA大會,原訂2022年於2月7日中旬舉行,受到全球疫情的持續影響,主辦單位宣布將延遲至2022年6月6日至9日。

 

【國家資安技術管制】

美國禁止量子電腦技術輸出中國機構

美國以國安為由,公布禁止取得美國科技的實體清單(Entity List),防堵多家業者,包括中國8家機構及廠商不得取得美國量子電腦相關技術,理由是要防堵美國新興科技被用於中國發展支援軍式應用,像是反隱形及反潛技術、破解加密或是發展不可破解的加密。這8家中國業者包括杭州中科微電子、湖南國科微電子、杭州華三通信、西安航天華迅、蘇州雲芯、合肥微尺度物質科學國家研究中心、國盾量子、上海國盾量子等。


熱門新聞

Advertisement