資安

有資安業者為了提供客戶真實攻擊情境，竟然在NPM上架惡意套件！再者，有攻擊者製作了專門針對Exchange的攻擊工具也相當值得留意

Google在I/O開發者大會上宣布將推出新的個人化廣靠控管介面，並在舊有的主題標籤和敏感主題控管之上，新增品牌標籤功能，讓使用者能進一步控管個人化廣告的同時，也有機會蒐集更精確的第一手使用者資訊。使用者也將能在個別Google廣告中，看見廣告出資者及自己被投放原因等透明化資訊。

三月底資安業者SentinelOne揭露Viasat部署於歐洲及中東的衛星網路，在烏克蘭戰爭爆發前夕遭網路攻擊，並懷疑兇手是俄羅斯駭客後，歐盟、英國與美國本周正式指控俄羅斯是該起攻擊的幕後推手

微軟在本月例行安全更新，修補一個已遭開採的零時差漏洞CVE-2022-26925，一但串連於AD CS上的NTLM轉發攻擊，那麼漏洞的CVSS風險評分將升高至9.8

有駭客組織針對俄羅斯舉行勝利日的閱兵典禮大肆發動網路攻擊，表達反對戰爭的訴求；再者，哥斯大黎加因為日前遭到勒索軟體Conti攻擊事故，新上任的總統隨即宣布國家進入緊急狀態，而成為今日資安新聞的焦點

美國運輸部調查顯示Colonial Pipeline在去年遭到勒索軟體攻擊時的應變措施不當，對供應鏈及社會運作造成極大影響

資安業者針對上週F5修補的BIG-IP重大漏洞CVE-2022-1388提出警告，並認為可能不到一個星期就會有攻擊行動出現；再者，RubyGems套件管理平臺出現可讓人竄改上架套件的漏洞，也相當值得留意

編號CVE-2022-1388漏洞存在於BIG-IP所有模組所使用的iControl REST元件中，可繞過iControl REST的身分認證程序，允許未經授權的駭客存取BIG-IP系統並執行任意命令