資安 | iThome

| doorLock臭蟲 | 蘋果 | CVE-2022-22588

蘋果解決造成iPhone無回應的HomeKit doorLock臭蟲

這項臭蟲影響iPhone 6s、iPad Air 2、iPad 5、iPad mini 4以及之後機種，iPod touch 7，以及所有機種的iPad Pro，蘋果呼籲用戶儘速更新

2022-01-13

FCC主席提出更嚴格的資料外洩通知規定

美國聯邦通訊委員會主席擬要求境內電信業者在資料外洩事件發生後，取消通知客戶的7天強制等待期

2022-01-13

【資安日報】2022年1月13日，俄羅斯APT駭客接連攻擊關鍵基礎設施，引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

針對俄羅斯駭客APT29、APT28、Sandworm Team，屢屢攻擊關鍵基礎設施（CI）的情況，美國政府多個單位特別提出警告；再者，中國品牌億聯（Yealink）的IP電話，傳出會向中國傳輸資料，美國參議員認為，可能和中國政府要求當地企業配合收集資料有關

2022-01-13

| 公有雲 | RAT | 遠端存取木馬

駭客利用Azure、AWS服務散布RAT

思科旗下Talos Intelligence實驗室去年10月底，發現一個不明組織在網釣攻擊行動中，濫用公有雲服務散布遠端存取木馬（RAT）程式

2022-01-13

USB over IP產品漏洞讓USB連網裝置曝露於遠端攻擊，波及D-Link、TP-Link、Netgear等廠牌

安全廠商SentinelOne宣稱一款眾多知名品牌路由器使用的USB over IP技術含有RCE漏洞，讓駭客可攻擊、甚至接管連上這些設備的USB裝置

2022-01-13

【資安日報】2022年1月12日，微軟發布1月例行修補，修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

微軟2022年發布第一次的例行修補（Patch Tuesday），修補漏洞的數量為過往1月的2倍之多；此外，Log4Shell漏洞的威脅仍在持續，今日傳出有數起事故

2022-01-12

| 網路攻擊 | Log4j漏洞 | Log4Shell

去年企業網路每周遭到網路攻擊的次數增加50%

根據Check Point觀察，企業遭受網路攻擊的頻率持續升溫，以平均每周發生的攻擊數量來看，2021年較2020年提高了50%，2020年12月現身的Log4j漏洞更吸引駭客發動每小時數百萬計的攻擊行動

2022-01-12

| MacOS | 漏洞 | CVE-2021-30970 | 蘋果

微軟揭露能繞過macOS系統防護，存取用戶資料、App的powerdir漏洞

微軟Microsoft 365 Defender研究團隊指出，編號CVE-2021-30970、暱稱為powerdir的漏洞，可讓攻擊者繞過macOS的TCC技術，非授權存取使用者的檔案

2022-01-12

| Patch Tuesday | 微軟 | CVE-2022-21907 | Exchange Server

微軟2022年首個Patch Tuesday修補96個安全漏洞，當中有6個為零時差漏洞

影響HTTP協定架構的遠端程式攻擊漏洞CVE-2022-21907，微軟與ZDI都建議企業必須優先修補

2022-01-12

從保護消費者資料權益出發，美FTC對無視Log4j漏洞的企業示警，若因此發生個資外洩將訴諸法律追究

美國聯邦交易委員會（FTC）在1月初警告，若因未能修補log4j漏洞而致客戶個資外洩或財務損失，FTC將採法律行動提告求償。FTC指出之前Equifax資料外洩就是一例，後續該公司即遭FTC控告，最終以7億美元和解。

2022-01-12

Container周報第144期:K8s終於預設內建IPv4/IPv6雙模了，Elastic則可以支援AWS容器日誌

K8s發布的最新的1.23版。這是一次大改版，包括了47項強化，11項進入穩定功能，17項Beta功能，另有19項新出爐的Alpha功能。K8s發布的最新的1.23版。這是一次大改版，包括了47項強化，11項進入穩定功能，17項Beta功能，另有19項新出爐的Alpha功能。其中最重要的就是預設內建IPv4/IPv6雙模式了

2022-01-12

| DDoS勒索攻擊 | CloudFlare | 資安

過去一季有22%遭受DDoS攻擊的受害者曾被駭客勒索

Cloudflare公布2021年第四季的分散式阻斷服務攻擊（DDoS Attack）趨勢，指出該季的DDoS勒索攻擊比前一年增加了29%，且有22%遭到DDoS攻擊的受害者曾被駭客勒索

2022-01-11