資安

攻擊者入侵CircleCI工程師電腦，導致用戶第三方系統的環境變數、金鑰和權杖被竊，已有多名用戶回報遭入侵

資安業者Datadog證實，因CircleCI的資安事故而可能影響部分Linux用戶；研究人員提出警告，CentOS主機管理介面元件CWP於10月修補的漏洞，已出現攻擊行動

Gen Digital坦承駭客以憑證填充（credential stuffing）攻擊手法，成功入侵密碼管理器用戶帳號，但並未公布實際受害人數

研究人員揭露3款WordPress外掛程式的SQL注入漏洞，其CVSS風險評分介於8.8分至9.8分；多家資安機構提出警告，網路監控系統Cacti於12月修補的命令注入漏洞CVE-2022-46169，已出現攻擊行動

針對去年12月修補的SSL VPN重大零時差漏洞CVE-2022-42475，Fortinet公布駭客利用這項漏洞入侵政府機關及相關單位的手法

這一週有兩個漏洞攻擊利用情形受關注，包括微軟本月修補的CVE-2023-21674，與11月修補的CVE-2022-41080，在資安事件方面，國際上有法國航空、荷蘭航空通知用戶Flying Blue帳號異常，客戶資料遭駭客存取，國內有華航傳出60筆會員資料被公開於地下論壇的消息

身分識別成首要注目焦點，聚焦可抵抗網釣的MFA，其他領域也在探索ZTA可能性

PassKey將帶動新一波應用潮流，臺灣金融FIDO應用正要成形，IoT身分識別將成下一焦點