| 資安日報

【資安日報】2月2日,美國下令聯邦機構限時切斷Ivanti Connect Secure與內部網路環境之間的連線並著手清查

針對1月上旬公布的Ivanti Connect Secure零時差漏洞所造成的威脅,美國網路安全暨基礎設施安全局(CISA)下達緊急指令,要所有聯邦機構清查受害情況,並著手部署緩解措施

2024-02-02

Apple Vision Pro出貨前夕,蘋果修補visionOS零時差漏洞

針對已遭攻擊者利用的瀏覽器引擎WebKit零時差漏洞CVE-2024-23222,蘋果針對受影響的iPhone、iPad、Mac電腦、Apple TV以及新上市的MR裝置Apple Vision Pro發布作業系統更新

2024-02-02

| 資安日報

【資安日報】2月1日,Ivanti旗下SSL VPN解決方案的零時差漏洞在修補前傳出第2波攻擊行動

有多家資安業者針對Ivanti Connect Secure零時差漏洞CVE-2024-21887的攻擊行動進行追蹤,結果在一週前看到第2波攻擊行動,其共通點是運用Rust打造的惡意程式

2024-02-01

| Juniper Networks | CVE-2024-21619 | CVE-2024-21620 | Junos OS

Juniper再修補網路產品作業系統漏洞

Juniper Networks於1月25日公布並修補CVE-2024-21619及CVE-2024-21620,這二項安全漏洞皆影響Juniper防火牆SRX Series及網路交換器Ex Series的作業系統Junos OS中的J-Web介面

2024-02-01

| 殭屍網路 | 美國 | 中國 | Volt Typhoon | 路由器 | 思科 | Netgear

美國破壞遭中國駭客挾持的殭屍網路KV Botnet

為了反制中國駭客組織Volt Typhoon滲透美國關鍵基礎設施的攻擊行動,去年底FBI鎖定被Volt Typhoon控制的路由器設備並自遠端移除其中的惡意程式

2024-02-01

| OpenAI | 圖像生成 | AI模型 | DALL-E 3 | 漏洞 | Deepfake

微軟員工發現DALL-E 3生成不當圖片的漏洞,遭公司下封口令

微軟軟體工程部門經理Shane Jones向美國國會議員及華盛頓州檢察長陳情,Jones發現DALL-E 3模型含有漏洞,可被濫用於生成含有暴力、色情內容的深偽圖片,但他卻因微軟要求不得對外聲張而被迫噤聲

2024-02-01

| 資安日報

【資安日報】1月31日,美國傳出針對中國駭客Volt Typhoon的攻擊行動採取反制並破壞其基礎設施

今年5月首度揭露的中國駭客組織Volt Typhoon,傳出長期對美國、英國關鍵基礎設施發動攻擊,現在美國政府疑似出手,對其進行破壞

2024-01-31

| 美國 | 行政命令 | AI | 雲端

美政府要求AI公司提交安全測試報告,雲端業者需通報外國AI客戶

根據美國總統拜登去年10月簽署的AI行政命令,AI公司必須提交安全測試報告予美國政府,雲端業者也應向美國商務部通報使用AI服務的外國用戶

2024-01-31

| 調查蒐證工具 | 資安事件應變 | 鑒真數位 | eDetector | 數位鑑識 | 記憶體分析 | 痕跡取證 | AI生成報告

提升調查蒐證工具的效率,鑒真數位以Golang重新改寫產品,並採叢集架構讓執行規模不再受限

對應資安事件應變調查蒐證需求,今年鑒真數位宣布將原有eDetector產品重新改寫,由於新一代的蒐證調查效能,不論在速度與規模上均有大幅提升,引人注意。新版產品有兩大重點,首先是產品重新改寫後,可大幅縮短整個事件調查週期,其次是推出SaaS授權模式,降低使用這項工具的門檻,同時也具備AI生成報告的能力

2024-01-30

| 資安日報

【資安日報】1月30日,逾7萬臺Jenkins伺服器尚未修補的重大RCE漏洞出現攻擊行動

上週持續整合開發工具Jenkins的開發團隊修補命令列介面(CLI)重大漏洞CVE-2024-23897,相隔不到一個禮拜的此刻,已經出現攻擊行動,但全球仍有近8萬臺伺服器尚未部署相關更新

2024-01-30

| 深度偽造 | Deepfake | Microsoft Designer | 生成式AI

被指用來生成Taylor Swift假裸照,微軟修改文字轉圖像模型Designer

媒體404 Media發現網路流傳的提示輸入手法,的確能夠繞過Microsoft Designer的安全機制,成功生成名人假裸照。微軟雖未證實Taylor Swift假裸照風波是否因自家文字轉圖像AI工具而起,但已經修補了Designer被有心人士惡意利用的相關漏洞

2024-01-30

| 勒索軟體

去年第四季只有29%的勒索軟體受害者支付贖金,創下歷史新低

提供勒索軟體受害者諮詢服務的Coveware指出,雖然過去4年來攻擊方取得的贖金額度成往上攀升趨勢,但隨著防禦方在資安觀念與相關措施上的成熟,支付贖金比例從4年前高達85%、到2023 Q4已降至29%

2024-01-30