導致SonicWall被駭的SSL VPN漏洞,傳出已有其他攻擊行動開始運用
針對SonicWall遭駭的事件,該公司公告疑似與攻擊有關的自家SSL VPN產品漏洞,如今已被發現有其他攻擊者濫用了!該公司亦提出用戶應考慮暫停使用,或者採取回復舊版韌體的緩解措施
2021-02-02
| 華盛頓州審計官辦公室 | SAO | 第三方檔案傳輸服務 | Accellion | 資安 | 資料外洩 | 資安事件
華盛頓州審計官辦公室採用的檔案傳輸服務遭駭,160萬名失業居民資料外洩
據BleepingComputer報導,受第三方檔案傳輸服務Accellion遭駭所影響的用戶,除了華盛頓州審計官辦公室,還包括紐西蘭儲備銀行、澳洲證券與投資委員會(ASIC),以及哈佛商學院
2021-02-02
| NoxPlayer | BigNox | 資安 | 供應鏈攻擊
Android模擬器NoxPlayer更新機制遭危害,受害者主要位於臺灣、香港與斯里蘭卡
根據ESET的調查,駭客是在2020年9月滲透了NoxPlayer的更新機制,且儘管NoxPlayer擁有廣大的用戶,卻只有極少數的使用者遭到駭客鎖定,在10萬名ESET/NoxPlayer用戶中,只有5名使用者收到了惡意更新,而這5名受害者分別位於臺灣、香港與斯里蘭卡,此外,駭客在這些惡意更新中所植入的惡意程式並非用來獲利,而是專注於監控
2021-02-02
微軟Azure Functions服務被發現一個新漏洞,可使攻擊者提升特權,並且讓程式碼從容器逃脫至Docker主機。
2021-02-02
| 公有雲 | 挖礦攻擊 | 就地取材 | LoL | Living off the Land
駭客在中國兩大公有雲發動挖礦攻擊,鎖定ActiveMQ、WebLogic、Redis等中介軟體下手
看上公有雲應用程式的運算資源來發動挖礦攻擊的情況再度發生!而且這次駭客是鎖定阿里雲與騰訊雲兩大中國公有雲下手,並移除他們提供的監控機制來避免行跡敗露
2021-02-02
| UK Research and Innovation | UKRI | 資安事件 | 資安
英國的研究與創新機構UK Research and Innovation被駭客加密部份網路,導致旗下平臺入口網站UKRO,以及生物技術與生物科學研究委員會(BBSRC)服務異常
2021-02-01
| CISA | CrowdStrike | Malwarebytes | 資安 | 遭駭 | APT | SolarWinds | Orion Platform | 俄羅斯駭客
SolarWinds攻擊行動中,約莫有3成受害者並未使用Orion Platform
CISA以及Malwarebytes的研究顯示,對SolarWinds產品發動攻擊的駭客,與駭入Malwarebytes的駭客使用相同攻擊戰術流程(TTP),研判應是同一犯罪集團所為,企圖透過多種攻擊管道滲透目標組織
2021-02-01
| 防火牆網址轉譯 | Network Address Translation | NAT | 資安 | NAT Slipstreaming 2.0 | Firefox | Chrome | Edge
Chrome 87部署防範NAT Slipstreaming 2.0攻擊防護
NAT Slipstreaming 2.0影響企業內部網路上所有裝置,例如透過預設列印協定或內部網頁伺服器控制的網路印表機,使用未驗證控管協定的工控設備、或是IP攝影機
2021-02-01
| 資安 | iOS 14 | Google Project Zero | 安全機制 | BlastDoor | iMessage | 記憶體毀損漏洞
Google Project Zero:蘋果在iOS 14中部署了BlastDoor以捍衛iMessage的安全性
Google Project Zero研究人員公布iOS 14新安全機制BlastDoor,能遏止駭客藉由iMessage的推播通知服務漏洞發動攻擊
2021-01-29
| 資安卓越中心 | 資安學院 | 臺灣資安卓越深耕計畫
斥資八億,打造國家級資安卓越中心,培訓臺灣高階的資安前瞻研究人才
花5年培訓產業所需資安人才,資安卓越中心程(2021~2025 年)經費需求 16.36 億元,日前於立法院臨時會院會通過預算審查,以不凍結預算的方式,通過 2021~2022年資安卓越中心8.09億元的專案預算。該中心偏重國家安全的資安前瞻研究 ,行政院在2018年打造的虛擬資安學院是其前身
2021-01-29