資安 | iThome

【資安週報】2023年1月16日到1月19日

CentOS主機網頁管理介面元件Control Web Panel（CWP）三個月更新修補的漏洞CVE-2022-44877要特別注意，已有攻擊者開始鎖定利用；研究人員發現微星主機板存在預設執行任意程式的情形，呼籲用戶變更相關配置為拒絕執行，以發揮安全開機的作用

2023-01-22

| T-Mobile | 個資外洩 | API

T-Mobile又遭駭！3,700萬客戶個資遭駭客竊取

T-Mobile調查發現駭客從2022年11月25日開始，透過未受妥善保護的API，竊取3,700萬客戶帳單資料

2023-01-20

| TP-Link | 路由器 | CVE-2022-4499 | CVE-2022-4498

TP-Link二款SOHO路由器有2個尚未有修補程式的漏洞

微軟研究人員發現TP-Link二款路由器韌體存在遠端程式碼執行（RCE）及資訊洩露漏洞，TP-Link尚未回應漏洞問題

2023-01-20

【資安日報】2023年1月19日，Git修補3個重大RCE漏洞；印度人力銀行網站因資料庫配置不當而曝露近千萬筆個資

1月17日GitHub揭露3個漏洞，其中兩個的嚴重程度屬於重大等級，另一個屬於高度嚴重，影響2.39版的Git；資料庫系統因不當設定而在網際網路上裸奔的事故再度發生，這次是印度求職網站，在去年12月中被資安新聞網站披露，將近9百萬找工作的民眾個資面臨外洩危機

2023-01-19

| 日產 | 個資 | 資料外洩 | 軟體供應鏈 | 資安

日產汽車委外軟體業者測試資料保存不當，1.8萬北美客戶個資外洩

日產表示可能外洩的客戶個資包括姓名、生日、客戶帳號編號，至於社會安全號碼或信用卡資料則不受影響

2023-01-19

| 內蘊安全 | Intrinsic Security

安全內蘊

除了零信任（Zero Trust）、縱深防禦（Defense in depth），有個資安概念其實也值得大家思考，那就是內蘊型安全（Intrinsic Security）

2023-01-19

微星近300主機板預設執行任意程式

開源研究人員Dawid Potocki發現他的一款微星主機板韌體能執行任何OS映像檔，而未經過任何驗證，經查是微星變更了安全開機預設值

2023-01-18

| Container Security | Pod Security Admission

SUSE發布NeuVector更新版，強化漏洞掃描與Pod許可控制

NeuVector 5.1提供集中操作的多叢集漏洞掃描能力，而且僅需對每個儲存庫進行一次掃描，能減少網路頻寬、叢集運算資源用量，以及存取映像登錄的請求

2023-01-18

【資安日報】2023年1月18日，研究人員揭露濫用GitHub Codespaces的攻擊手法，微軟修補Azure服務4項SSRF漏洞

資安業者提出警告，GitHub於去年底正式上線的雲端IDE服務GitHub Codespaces，有可能被駭客用於散布惡意軟體；微軟在2022年10月至12日，針對Azure提供的服務修補了4項伺服器端請求偽造（SSRF）漏洞，有資安業者近日說明細節

2023-01-18

【資安月報】2022年12月

這一個月有三大資安議題值得仔細探討，包括針對微軟Exchange漏洞攻擊的消息，出現與CVE-2022-41080相關的攻擊手法，以及駭客利用搜尋引擎廣告散布惡意假網站的態勢，連美國FBI都提出警告，而在資安防護新聞中，包括Google新推OSV-Scanner，以及GitHub推出Secret scanning等成開發與資安人員關注焦點

2023-01-18

| Circleci | 權杖 | 金鑰洩漏

CircleCI用戶金鑰和權杖被竊，導致第三方系統遭入侵

攻擊者入侵CircleCI工程師電腦，導致用戶第三方系統的環境變數、金鑰和權杖被竊，已有多名用戶回報遭入侵

2023-01-18

【資安日報】2023年1月17日，雲端資安業者Datadog金鑰因CircleCI遭駭而曝光、主機管理介面元件CWP漏洞已被用於攻擊行動

資安業者Datadog證實，因CircleCI的資安事故而可能影響部分Linux用戶；研究人員提出警告，CentOS主機管理介面元件CWP於10月修補的漏洞，已出現攻擊行動

2023-01-17