資安周報 | Page 2

【資安週報】2024年1月8日到1月12日

2024年首個零時差漏洞攻擊消息出現，有駭客鎖定Ivanti旗下VPN與網路安全存取產品發動零時差漏洞攻擊，還要注意多個已知漏洞開始有駭客鎖定利用，以及注意修補近期微軟等公司發布的每月例行安全更新；在威脅態勢上，X社群平臺的企業組織帳號遭駭事件有擴大跡象，以及新型態的SMTP Smuggling攻擊手法的揭露

2024-01-15

【資安週報】2024年1月2日到1月5日

2024第一個禮拜的漏洞消息，以SSH通訊協定的CVE-2023-48795漏洞受關注，全球仍有1,100萬臺曝險；在威脅焦點方面，前陣子有駭客聲稱可竊取Google服務cookies，如今有資安業者剖析出其攻擊手法與原理

2024-01-08

【資安週報】2023年12月25日到12月29日

2023最後一星期的漏洞消息，以Barracuda、Apache基金會旗下ERP系統OFBiz，以及Ubuntu的漏洞修補受關注；在威脅焦點方面，這段期間影響最大的議題，涵蓋SSH遠端登入安全、鎖定線上訂房服務與飯店業的網路攻擊，以及電腦遊戲公司先前遭駭的消息

2023-12-31

【資安週報】2023年12月18日到12月22日

本星期有WebRTC零時差漏洞，以及威聯通與FXC漏洞消息受關注；在威脅焦點方面，關於SSH協定的Terrapin攻擊手法與漏洞的揭露，最需要留意，而資安事件方面，義大利發生供應鏈攻擊事件，PA Digitale多項服務中斷導致該國公部門受影響，起因是當地雲端服務業者Westpole遭網路攻擊

2023-12-25

【資安週報】2023年12月11日到12月15日

這一星期的漏洞消息，以Unitronics的PLC與HMI漏洞CVE-2023-6448最受關注，同時還有微軟、Adobe等多家每月例行安全更新釋出要留意；近期地下論壇不時傳出有不明人士兜售我國政府、企業資料的消息，很可能是針對我國即將舉行的2024總統大選而來

2023-12-18

【資安週報】2023年12月04日到12月08日

本星期有多個新型漏洞研究的公開揭露，相當值得關切，包括：涉及UEFI開機、韌體圖像解析器的LogoFAIL漏洞、AI模型資源平臺Hugging Face的API漏洞，以及針對藍牙技術底層漏洞的新型攻擊手法Bluffs

2023-12-11

【資安週報】2023年11月27日到12月01日

本星期有Google、蘋果修補零時差漏洞需重視，特別是存在於Skia繪圖引擎的漏洞又是涉及底層，影響範圍大。全球首份「安全AI系統開發指南」近日出爐，這份由美、英等國發布的AI系統開發指引，將讓開發者在安全設計、安全開發、安全部署及安全維運這4大階段，都能有有適當的安全措施可遵循

2023-12-04

【資安週報】2023年11月20日到11月24日

本星期國內有多家上市公司遭駭的消息，首先20日，雄獅旅遊與中石化相繼公告遭受駭客網路攻擊事件，一日兩起格外引人注目，23日訊連其產品「Promeo」的安裝程式中被發現惡意軟體，遭北韓駭客Lazarus發動供應鏈攻擊。上週我們報導大江生醫傳出遭勒索軟體組織列為受害者，該公司24日發布重訊證實遇網路資安事件

2023-11-27

【資安週報】2023年11月13日到11月17日

本週有微軟、SAP等多家每月例行安全更新修補發布需重視，特別是微軟修補5個零時差漏洞，此外，攻擊者鎖定已知漏洞發動攻擊的情形，近期呈現大幅增加情況。在國內，有兩家上市公司的資安事故消息成為外界焦點，包括中華化與泰山，還有大江也傳出遭攻擊消息但未見到該公司發布公告

2023-11-20

【資安週報】2023年11月6日到11月10日

本週有3個漏洞利用消息需優先關切，包括SysAid零時差漏洞修補前已遭利用，以及Atlassian與SLP協定的兩個已知漏洞遭攻擊者鎖定利用的情形。特別的是，發動SysAid零時差漏洞攻擊的攻擊者，已確認為是今年5月底發動MOVEit Transfer零時差漏洞攻擊，造成廣泛危害的勒索軟體駭客組織Clop

2023-11-13

【資安週報】2023年10月30日到11月3日

本週有2起漏洞修補釋出後遭攻擊者快速鎖定利用的消息值得關注，包括Apache ActiveMQ的1個漏洞與F5 BIG-IP的2個漏洞；在防禦態勢上，近期有5大消息引起我們重視，包括：CVSS 4.0推出、第14版MITRE ATT&CK發布、AI安全高峰會舉行、反勒索軟體高峰會舉行，以及微軟宣布未來安全倡議

2023-11-06