資安

資安業者提出警告，GitHub於去年底正式上線的雲端IDE服務GitHub Codespaces，有可能被駭客用於散布惡意軟體；微軟在2022年10月至12日，針對Azure提供的服務修補了4項伺服器端請求偽造（SSRF）漏洞，有資安業者近日說明細節

這一個月有三大資安議題值得仔細探討，包括針對微軟Exchange漏洞攻擊的消息，出現與CVE-2022-41080相關的攻擊手法，以及駭客利用搜尋引擎廣告散布惡意假網站的態勢，連美國FBI都提出警告，而在資安防護新聞中，包括Google新推OSV-Scanner，以及GitHub推出Secret scanning等成開發與資安人員關注焦點

資安業者Datadog證實，因CircleCI的資安事故而可能影響部分Linux用戶；研究人員提出警告，CentOS主機管理介面元件CWP於10月修補的漏洞，已出現攻擊行動

資安業者Avast釋出勒索軟體BianLian（變臉）解密金鑰，可回復BianLian的已知變種加密的檔案

研究人員揭露3款WordPress外掛程式的SQL注入漏洞，其CVSS風險評分介於8.8分至9.8分；多家資安機構提出警告，網路監控系統Cacti於12月修補的命令注入漏洞CVE-2022-46169，已出現攻擊行動

最新研究發現，大型語言模型被濫用於輿論風向操縱，將導致數量更多，形式更多樣的輿論風向操縱應用，且目前還無有效的解決辦法

這一週有兩個漏洞攻擊利用情形受關注，包括微軟本月修補的CVE-2023-21674，與11月修補的CVE-2022-41080，在資安事件方面，國際上有法國航空、荷蘭航空通知用戶Flying Blue帳號異常，客戶資料遭駭客存取，國內有華航傳出60筆會員資料被公開於地下論壇的消息

法遵要求是所有資安長立足根本，但要懂得和公司業務連結，讓公司活下去；掌握資安治理和技術發展，公司有韌性就可以讓公司活得好也活得久