| Security by Design | 預設密碼 | 保護網頁管理介面 | 預設安全 | 基於安全的設計 | SSDLC | 安全開發 | Secure by Design | Secure by Default | Secure by Design Alert | 產品資安 | 產品安全
美CISA首度發布Secure by Design警報,製造商需保護網頁管理介面、拒用預設密碼
預設安全已升格為國家資安議題,美國網路安全暨基礎設施安全局(CISA)推出全新系列的警報,強調不只提醒防禦者重視攻擊活動與軟體漏洞,也要提醒製造商落實Secure by Design,才能真正減少國家安全風險。CISA強調,安全應從產品設計與內建機制做起,不應依賴用戶認知與操作
2024-01-17
| PyTorch | CI/CD | GitHub | 自託管執行器 | 配置 | CVE-2023-49291 | Self-Hosted Runners
攻擊者從CI/CD下手,PyTorch專案存在軟體供應鏈攻擊風險
資安研究人員發現PyTorch供應鏈攻擊新手法,攻擊者利用CI/CD漏洞上傳惡意版本,並對相依項目植入後門,整個PyTorch生態系皆暴露在攻擊風險之中
2024-01-17
| 資安日報
【資安日報】1月16日,駭客竄改半導體設備廠京鼎的網站聲稱竊得5 TB內部資料
鴻海旗下的半導體設備廠京鼎傳出遭到網路攻擊,但罕見的是,駭客竟直接竄改該公司的網站公布此事,揚言若不付錢就會進行摧毀,導致該公司無法運作
2024-01-16
| Ivanti | CVE-2023-46805 | CVE-2024-21887 | 零時差漏洞
向Ivanti通報CVE-2023-46805與CVE-2024-21887零時差漏洞的資安業者Volexity指出,隨著1月10日Ivanti公告漏洞資訊之後便開始出現廣泛的攻擊行動,截至1月14日Volexity在全球1,700個受影響的Ivanti Connect Secure(ICS)VPN裝置中發現入侵跡象
2024-01-16
| 資安日報
【資安日報】1月15日,程式碼儲存庫GitLab的密碼重設機制有弱點而可能被用於帳號挾持攻擊
上週GitLab針對社群版及企業版軟體發布安全性更新,其中最嚴重的漏洞是CVE-2023-7028,CVSS風險更是達到了滿分
2024-01-15
| 資安日報
【資安日報】1月12日,芬蘭企業組織的NAS設備遭到勒索軟體Akira鎖定並抹除備份資料
為防範受害組織透過備份恢復資料,勒索軟體駭客組織Akira在攻擊行動的過程中,也會針對NAS下手,並將其中的資料完全清除,這樣的情況使得芬蘭當局呼籲企業組織,要落實離線備份的資料保護措施
2024-01-12
| Ivanti | 零時差漏洞 | CVE-2023-46805 | CVE-2024-21887 | VPN
Ivanti的VPN產品Ivanti Connect Secure含有零時差漏洞,已遭駭客入侵
去年底駭客利用Ivanti Connect Secure的兩個零時差漏洞,入侵資安業者Volexity的客戶網路而導致漏洞曝光,對此Ivanti在1月10日發布安全公告提供緩解措施,並指出網路存取控制解決方案Ivanti Policy Secure也受漏洞影響
2024-01-12
網上出現新一波針對Hadoop與Flink應用程式的攻擊活動
Aqua揭露網上出現針對Apache Hadoop與Flink應用程式的新攻擊行動,這兩個軟體的錯誤配置,可能被遠端攻擊者利用以執行任意程式碼
2024-01-12
| 微軟 | Patch Tuesday | CVE-2024-20700 | Windows Hyper-V | CVE-2024-20674 | Windows Kerberos
微軟1月例行更新修補二項重大等級安全漏洞,分別影響Windows Hyper-V以及Windows Kerberos
2024-01-11
| 資安日報
【資安日報】1月11日,Ivanti針對2個Pulse Connect零時差漏洞提出警告並表示已出現攻擊行動
資安業者Volexity發現,Ivanti旗下的SSL VPN系統存在零時差漏洞,且已被串連用於在受害伺服器上發動攻擊
2024-01-11