《資安新聞周報》政府機關、零售業及製造業受Log4Shell影響最深 /從網路上複製貼上命令列要小心遭駭/iOS 14 曝 HomeKit 嚴重漏洞恐遭駭利用癱瘓iPhone、iPad 

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

媒體資安重點新聞:

趨勢科技:政府機關、零售業及製造業受Log4Shell影響最深        資安人

微軟Log4j漏洞掃瞄工具引發Defender假警報        iThome

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本  iThome

越南加密貨幣交易平臺Onus雲端系統Log4j漏洞遭開採植入勒索軟體     iThome

六成美國安全專家認同勒索軟體危險性不亞於恐怖攻擊          科技新報網

【資安日報】2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件  iThome

【資安日報】2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex    iThome

從網路上複製/貼上命令列要小心遭駭        iThome

Chrome 瀏覽器「無痕模式」被告了 科技新報網

力抗福斯、特斯拉,豐田傳 2025 年推車用作業系統 Arene   科技新報網

美國公衛系統Broward Health外洩近136萬名用戶資料         iThome

iOS 14 曝 HomeKit 嚴重漏洞恐遭駭利用癱瘓iPhone、iPad  自由時報電子報

習慣用Chrome記住密碼 遠端工作恐成駭客破口    中央通訊社

Uber含有一個讓任何人都能以Uber官方帳號寄送郵件的安全漏洞          iThome

驚!我的資料竟外洩過 用「個資保鑣App」檢查手機、信箱有沒有被洩露     BITGZ

預警個資不法外流, 立即免費下載體驗趨勢科技個資保鑣

挖礦軟體冒充蜘蛛人最新電影散布     iThome

臺灣第一批醫院資安長現身,披露醫療資安管理者的兩難     iThome

跟上時代沒?2021「12大熱門科技詞彙」出爐,別只知道元宇宙、NFT,這些未來趨勢一次看懂!  Bella

勒索病毒鎖定製造業、高科技產業,供應鏈聯防可有效減少攻擊弱點     iThome

萬物連網  也廣埋資安隱憂 電子時報

iOS出現DoS漏洞doorLock可導致裝置死機或無限重開機     iThome

惡意軟體鎖定iLO韌體以刪除HPE伺服器資料,升級韌體也無法防堵     iThome

CES展明揭幕 五大科技奪目         工商時報電子報

4年200億 中小學數位學習上路 教長:今年9萬教師 具數位教學力     自由時報電子報

中亞聯大攜手AWS 開辦雲創學院       經濟日報網

WFH打破企業網路邊界,Cloudflare認為WAN已死、零信任安全模型興起     iThome

2022 年台灣 IPO 市場預計將持續創高,半導體仍是其中領頭羊   科技新報網

2022資安預測:駭客四重勒索擴大供應鏈攻擊、個資外洩風險攀升          CTWant

無悔京戲人生 「美猴王」朱陸豪 要一輩子活在舞台上          聯合報

年起薪150萬 軟體工程師翻身了       聯合報

歡喜購立陶宛國寶級巧克力 付款開箱竟是中國雜牌貨  匯流新聞網

【展望後疫2022新趨勢2】虛實混合掀起後疫數位新浪潮,數位分身將成企業營運韌性的核心競爭力     iThome

LastPass用戶主金鑰被用作帳密填充攻擊  iThome

【勤業眾信專欄】信任金融服務?先從零信任做起          數位時代

台積電、日月光、鴻海等大廠成立資安聯盟 建立半導體韌性供應鏈          ETtoday新聞雲

台積電三天痛失26億元的教訓! 如何從機台中毒慘劇 變成全球半導體設備資安標準的總司令?          今周刊

新惡意程式利用合法憑證冒充Windows執行檔流傳        iThome

捍衛半導體命脈 台首推資安標準       自由時報電子報

SEMICON亮點 TXOne演繹OT網路攻防    工商時報電子報

券商期貨商重大資安事件 2022年起申報年報須揭露      中央通訊社

線上相簿Shutterfly遭勒索軟體Conti攻擊         iThome

英國政府以26億英鎊向資安宣戰 欲在2025打造BritChip    電子時報

數位身分皮夾 迎戰元宇宙  工商時報電子報

網路詐騙又一椿 不肖業者冒麗寶Outlet Mall之名賣假包    上報

台灣資安現況像打世界大戰 科技專家極為憂心       工商時報電子報

Azure App服務NotLegit漏洞恐導致用戶程式碼儲存庫暴露   iThome

Microsoft Teams 釣魚漏洞歷經 9 個月未修復,微軟與安全商的漏洞認知不同調          科技新報網

勒索軟體AvosLocker在安全模式下利用AnyDesk展開攻擊     iThome

Apache HTTP Server軟體也傳2重大漏洞   iThome

日美認勒索軟體威脅國安 擬合力採取防禦對策       中央通訊社

AWS: 2022年及未來五大技術趨勢預測  CIO IT經理人

不信任高達 73%,Facebook 成美國最顧人怨科技品牌  INSIDE

《櫃買市場》資安管控指引 上櫃公司有依據  工商時報電子報


六成美國安全專家認同勒索軟體危險性不亞於恐怖攻擊          科技新報網

勒索軟體近年肆虐各國,過半數美國安全專家都認同勒索軟體的危險並不亞於恐怖攻擊。Venafi 最近調查指出,到 2021 年底,估計每 11 秒就有一個組織遭勒索軟體攻擊,且去年遭勒索軟體攻擊的公司,幾乎有十分之一支付贖金。    

<回到新聞條列重點>

從網路上複製/貼上命令列要小心遭駭        iThome

安全研究人員警告,HTML頁面上的命令列可能藏匿惡意程式碼,開發者稍有不察直接複製貼上終端時,可能就讓駭客得以於程式中植入後門。    

<回到新聞條列重點>

Chrome 瀏覽器「無痕模式」被告了 科技新報網

電腦、手機等電子裝置和行動網路越發發展,網路已是人們不可少的「生活必需品」,資訊安全也是最受關注的問題之一,然而在數位世界,我們似乎都是「透明人」。      

<回到新聞條列重點>

力抗福斯、特斯拉,豐田傳 2025 年推車用作業系統 Arene   科技新報網

為了和福斯(Volkswagen)、特斯拉(Tesla)等車廠以及 Google 等 IT 大廠相競爭,日本汽車業龍頭豐田汽車(Toyota)傳出將在 2025 年推出自家研發的車用作業系統「Arene」,除自家車種外,也計劃對外販售。    

<回到新聞條列重點>

美國公衛系統Broward Health外洩近136萬名用戶資料         iThome

駭客從Broward Health供應鏈下手,入侵該組織的醫療服務供應商,以取得Broward Health一百多萬名用戶的銀行帳戶資訊、駕照號碼,以及電子郵件帳號等個資。    

<回到新聞條列重點>

趨勢科技:政府機關、零售業及製造業受Log4Shell影響最深        資安人

趨勢科技持續研究 Log4j 漏洞與其潛在的最新攻擊管道,希望能藉此協助企業更了解自己可能有哪些地方暴露在危險中,以降低漏洞攻擊的風險。         

<回到新聞條列重點>

微軟Log4j漏洞掃瞄工具引發Defender假警報        iThome

Log4j漏洞引發全球企業人人自危,安全軟體告知系統有風險時會讓IT人員緊張不已,但最後是誤判也令人氣結。微軟端點安全軟體Defender for Endpoint近日就發生這樣的烏龍事件。       

<回到新聞條列重點>

金融業恐淪Log4j漏洞風暴最大受害者!可能有高達一半比例的公司使用10個以上有漏洞的版本  iThome

根據開放原始碼軟體資安業者Sonatype的數據指出,臺灣是全球下載有漏洞Log4j版本比例最高的地區,其中金融業所要處理的Log4j漏洞管理作業可能最繁重,主要是因為金融業用戶使用漏洞Log4j版本超過10個的公司,並高達明50%。

<回到新聞條列重點>

iOS 14 曝 HomeKit 嚴重漏洞恐遭駭利用癱瘓iPhone、iPad  自由時報電子報

據外媒Apple Insider報導,稍早國外一名安全研究人員在推特披露了一個存在iOS系統上的HomeKit應用程式漏洞,恐讓駭客藉此散播惡意攻擊活動,造成iOS和PadOS裝置面臨異常癱瘓的嚴重問題。雖然已於去年8月就向蘋果回報,然而該漏洞的修復速度卻非常緩慢,截至目前仍尚未釋出修補。         

<回到新聞條列重點>

【資安日報】2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex    iThome

Log4Shell漏洞的風波已經延燒了半個月,其中趨勢科技也指出,許多嵌入式設備可能會採用Apache Log4j軟體,當汽車採用大量電子控制設備後,也很可能導入含有漏洞的Log4j元件,而被用於Log4Shell攻擊。   

<回到新聞條列重點>

習慣用Chrome記住密碼 遠端工作恐成駭客破口    中央通訊社

許多人習慣用Chrome和Microsoft Edge記住密碼,不必每次登入都得重新輸入,一般也認為很安全,但專家表示,在家工作的民眾如果把密碼儲存在網路瀏覽器,很容易成為駭客目標。    

<回到新聞條列重點>

Uber含有一個讓任何人都能以Uber官方帳號寄送郵件的安全漏洞          iThome

一名安全研究人員Seif Elsallamy在去年底透過HackerOne抓漏獎勵專案,提交了一個Uber漏洞,該漏洞允許任何人以Uber的名義及官方帳號寄送電子郵件,卻遭到Uber以「超出範圍」(out-of-scope)拒絕。當Elsallamy透過Twitter揭露此一漏洞之後,才發現至少有另外3名安全研究人員在更早之前、就提報了同一個漏洞,且陸續遭到Uber忽略。      

<回到新聞條列重點>

挖礦軟體冒充蜘蛛人最新電影散布     iThome

安全廠商ReasonSecurity近日觀察到有駭客假借蜘蛛人最新電影《蜘蛛人:無家日》散布挖礦軟體,一旦執行檔安裝後將會關閉裝置Microsoft Defender偵測以維持潛伏,最後在用戶電腦植入Monero挖礦程式。      

<回到新聞條列重點>

臺灣第一批醫院資安長現身,披露醫療資安管理者的兩難     iThome

不少醫院資安長工作都由醫師角色兼任,但執行資安並非醫師專長,支援資安的IT人力也得兼顧資訊本業,醫師、資安、IT如何協作、互補,成為醫療資安管理的一大挑戰。    

<回到新聞條列重點>

跟上時代沒?2021「12大熱門科技詞彙」出爐,別只知道元宇宙、NFT,這些未來趨勢一次看懂!  Bella

進入後疫情時代,今年你還記得一些什麼科技界的大事?英國《路透社》(Reuters)盤點了年度的 12 個熱門科技詞彙,從元宇宙到 Clubhouse 、NFT、Reddit 散戶投資者大戰華爾街誕生的迷因詞等,許多都展望了未來的新可能!趕快來迅速了解,跟上一切都變化太快的科技趨勢!    

<回到新聞條列重點>

勒索病毒鎖定製造業、高科技產業,供應鏈聯防可有效減少攻擊弱點     iThome

SEMICON TAIWAN在10月21和22日兩天,以全球網路安全為主題,舉辦了線上資安趨勢高峰論壇,由台積電企業資訊安全處長屠震,和鴻海研究院執行長李維斌,擔任主題演講嘉賓,同時會議中還有來自思科、微軟和工研院等業界菁英和頂尖學者,分享組織應對攻擊事件,以及安全工作的經驗。         

<回到新聞條列重點>

萬物連網  也廣埋資安隱憂 電子時報

本篇報導位於數位時代1月號雜誌「編者的話」,以元宇宙帶來的科技變遷為主題,於報導中提及趨勢科技在12月發表《Project 2030》影集,並詳細描述影集劇情,探討未來虛擬分身帶來的影響性。隨著5G技術更加開放,在萬物連網的狀況下,資安防備也必須與時俱進。報導引用趨勢科技日前發布的研究報告,指出目前有68%的電信業者已提供企業專網業務。面對企業專網的應用,趨勢科技建議企業要擁有Security by Design的意識,從規劃專網架構初期與資安業者、專家及用戶一同協作,以降低資安風險。    

<回到新聞條列重點>

iOS出現DoS漏洞doorLock可導致裝置死機或無限重開機     iThome

研究人員發現iOS存在阻斷服務(denial of service, DoS)漏洞,能導致iPhone死機、本機資料無法存取等嚴重問題,但蘋果拖了將近半年還沒修補。    

<回到新聞條列重點>

惡意軟體鎖定iLO韌體以刪除HPE伺服器資料,升級韌體也無法防堵     iThome

伊朗安全廠商Amnpardaz揭露其在HPE iLO韌體內,發現一隻名為iLOBleed的rootkit,無法經由韌體更新移除,可用於長期潛伏攻擊,研判它已經被駭客組織用來攻擊用戶一段時日。安全廠商相信這是第一隻攻擊iLO韌體的惡意程式。     

<回到新聞條列重點>

CES展明揭幕 五大科技奪目         工商時報電子報

美國消費電子產品大展(CES)將於1月5日登場,外媒預測會場最引人注目的五大科技趨勢,包含待在家裡更舒適、照顧老小更貼心、拯救地球抗暖化、人造肉趨勢受矚目及展望未來新技術。    

<回到新聞條列重點>

4年200億 中小學數位學習上路 教長:今年9萬教師 具數位教學力     自由時報電子報

預計四年投入兩百億元的「中小學數位學習精進方案」今年上路,教育部長潘文忠接受本報專訪表示,網路和平板都是工具,最重要的是師資和教學內容,疫情後每位老師均須具備數位教學能力,目前獲研習認證的教師人數占比兩成八、五萬五千名,今年預計達到四成六、九萬三五一七人,四年後盼推至百分之百。    

<回到新聞條列重點>

中亞聯大攜手AWS 開辦雲創學院       經濟日報網

亞馬遜雲端運算服務AWS(Amazon Web Services)宣布,與中國醫藥大學、亞洲大學結盟的系統大學「中亞聯大」,日前在台灣創設「智慧醫療大健康產業」的雲創學院。AWS香港暨臺灣總經理王定愷表示,這是全台第一個為培育智慧醫療產業人才的雲端學院。每年將培育2,000位學生,為台灣及全球輸送源源不斷的智慧醫療產業人才,並希望與「中亞聯大」衍生企業產學串聯,抓住醫療產業龐大商機,造福全球。         

<回到新聞條列重點>

WFH打破企業網路邊界,Cloudflare認為WAN已死、零信任安全模型興起     iThome

Cloudflare現場技術長(Field CTO)John Engates,在跨年前夕,發表了對2022年網路產業的看法,他認為,在2022年,企業將開始大舉投資5G,而高成本且缺乏靈活性的WAN,在員工在家工作成為常態的後疫情時代已經不再適用,基於網際網路的企業網路才會續存。    

<回到新聞條列重點>

2022 年台灣 IPO 市場預計將持續創高,半導體仍是其中領頭羊   科技新報網

資誠聯合會計師事務所 (PwC) 最新研究報告顯示,2021 年全球經濟仍受疫情影響,各國經濟復甦步調隨疫情變化起伏不一,IPO 市場卻傳來好消息。PwC Global IPO Watch 最新統計,2021 年前三季全球 IPO 件數為 1,830 件,超過 2020 年全年度加總 1,422 件,且各季 IPO 件數皆高於 2020 年同季表現。2021 年第一季全球 IPO 計 730 件,不但是 2020 年第一季 3.5 倍,更創近五年單季新高。雖然通膨壓力、變種病毒、供應鏈瓶頸、貨幣政策走向等干擾因素仍然令人擔憂,不過觀察過去一年 IPO 市場表現,資誠對 2022 年台灣 IPO 市場仍樂觀看待。

<回到新聞條列重點>

【資安日報】2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件  iThome

自去年12月初開始,就引起IT業界關注的Log4Shell漏洞,在12月的倒數3天,又有資安業者揭露相關攻擊行動。他們發現中國駭客組織Aquatic Panda利用這項漏洞,來鎖定學術單位採用的VMware Horizon系統下手,而在此之前,利用這項漏洞的中國駭客組織,還有發動SolarWinds供應鏈攻擊的Hafnium。    

<回到新聞條列重點>

2022資安預測:駭客四重勒索擴大供應鏈攻擊、個資外洩風險攀升          CTWant

12月16日發佈的「趨勢科技公布2022資安預測報告:駭客藉「四重勒索」擴大獲利、供應鏈成駭客攻擊新場域、個資外洩風險攀升」新聞稿,今日共監測到5則新聞露出,含電子時報、電子時報網、中央通訊社、新頭殼、中央廣播電臺、中時電子報網、雅虎奇摩、聯合新聞網、LineToday、Cmoney、BITGZ、Pchome 新聞、芋傳媒、台灣新聞通訊社、ETtoday新聞雲、工商時報電子報、中時電子報網、旺得富理財網、翻爆、科技新報網、LineToday、CompoTech Asia 電子與電腦網、中華新聞雲、科技報橘網、T客邦、資安人、iKnow科技產業資訊室、iThome、網管人、CTWant、Match 生活網等,截至目前為止,56則露出。       

<回到新聞條列重點>

無悔京戲人生 「美猴王」朱陸豪 要一輩子活在舞台上          聯合報

本篇報導深度介紹藝人朱陸豪在戲劇表演的心路歷程,其中提到在趨勢教育基金會執行長陳怡蓁力邀之下,重新演出經典劇作「美猴王」。      

<回到新聞條列重點>

年起薪150萬 軟體工程師翻身了       聯合報

隨著行動網路時代來臨,企業也因應疫情數位轉型大幅增加了資安需求,報導指出,台灣軟體業進入全新時期,讓軟體、資安領域人才需求激增,薪資也大幅成長,成為新一批備受關注的科技新貴。         

<回到新聞條列重點>

歡喜購立陶宛國寶級巧克力 付款開箱竟是中國雜牌貨  匯流新聞網

刑事局表示近來詐騙歹徒,慣用「一頁式廣告」吸引消費者掉入購物陷阱,日前一名男子在Facebook粉絲專頁看到販售「立陶宛原裝進口國寶級巧克力」並下訂商品,在到貨付款領取才發現竟是中國雜牌巧克力,報導末段也建議民眾切勿透過社群軟體私下購物,可下載「防詐達人」LINE,協助辨別購物網址是否為詐騙頁面。     

<回到新聞條列重點>

【展望後疫2022新趨勢2】虛實混合掀起後疫數位新浪潮,數位分身將成企業營運韌性的核心競爭力     iThome

2021年因為元宇宙(Metaverse)話題爆紅,帶動一波虛實混合應用的新商機,臉書高調更名為Meta,宣誓打造下一代的Metaverse社交世界,微軟、Nvidia等知名IT公司更大舉搶進。雖然,元宇宙大多是願景式的未來展望,不知何時才真能落地,但是,虛實混合技術卻不是空想技術,數年前就用於發展製造業的數位分身(Digital Twin),正因疫情,這一年來,數位分身技術開始逐漸受到重用,在疫情嚴峻期間更發揮了關鍵作用,成了企業對抗疫情的關鍵利器。         

<回到新聞條列重點>

越南加密貨幣交易平臺Onus雲端系統Log4j漏洞遭開採植入勒索軟體     iThome

Onus於聖誕夜發出公告指出,安全廠商偵測到公司系統遭到網路攻擊,攻擊者是利用Onus系統一組函式庫集的一項漏洞、駭入公司開發用的沙箱伺服器,而由於組態問題,攻擊者利用伺服器上的資訊存取執行在AWS S3上的儲存系統,並竊走「一些」重要資料。Onus並以郵件通知Onus用戶。

<回到新聞條列重點>

LastPass用戶主金鑰被用作帳密填充攻擊  iThome

上周部分LastPass用戶在Reddit及HackNews討論區反映接到來自LastPass的警告信,指有人試圖從他們不認識的裝置或地點,以其主密碼(master password)登入LastPass帳號。信中並列出試圖存取帳號的陌生IP位址,數名用戶帳號被存取的IP都是位於巴西。LassPass的警告信表示,登入意圖已遭到封鎖,但提醒用戶確認帳號的安全性。         

<回到新聞條列重點>

【勤業眾信專欄】信任金融服務?先從零信任做起          數位時代

勤業眾信發布《2021 年網路資安大調查》指出,近七成受訪企業表示今年遭受的網路攻擊較往年有顯著增加之趨勢,其中引用趨勢科技上半年資安總評報告數據,表示勒索軟體竊取或外洩資料仍是最多數的攻擊手法,其中銀行業遭勒索攻擊數量比同期暴增。    

<回到新聞條列重點>

台積電、日月光、鴻海等大廠成立資安聯盟 建立半導體韌性供應鏈          ETtoday新聞雲

國際半導體產業協會於28日在國際半導體展上正式發布SEMI首個半導體晶圓設備資安標準,同步舉行半導體供應鏈資安聯盟啟動儀式,期盼在近年網路威脅頻傳的情況下,整合產、官、學、研力量建立有韌性的半導體供應鏈,全面實踐台灣及全球產業的資訊安全。         

<回到新聞條列重點>

台積電三天痛失26億元的教訓! 如何從機台中毒慘劇 變成全球半導體設備資安標準的總司令?          今周刊

國際半導體產業協會首次發布SEMI資安標準主要針對四大重點進行發展,一、機台設備電腦作業系統須採用主流兼具安全性的更新版本,二、強化網路安全相關設備,三、設備建立端點自我保護機制,四、設備支援資訊安全監控功能。    

<回到新聞條列重點>

新惡意程式利用合法憑證冒充Windows執行檔流傳        iThome

資安廠商Elastic Security發現一隻新型惡意程式使用被竊的合法憑證等多項隱匿手法,能在不引發VirusTotal上防毒引擎警示下在網路流傳。         

<回到新聞條列重點>

捍衛半導體命脈 台首推資安標準       自由時報電子報

二○一八年台積電曾發生機台遭病毒攻擊事件,半導體產業及政府即著手推動強化供應鏈資安。半導體協會(SEMI)與工業局昨共同發布全球首個由台灣主導的半導體資安標準;經濟部官員表示,制定此標準後,將輔導產業檢視線上軟硬體狀況,更新老舊軟體與設備,同時在採購上可以此為標準來選擇符合資安產品,維護供應鏈整體安全。    

<回到新聞條列重點>

SEMICON亮點 TXOne演繹OT網路攻防    工商時報電子報

近年疫情衝擊各國經貿活動,加速全球產業供應鏈重組,間接帶動台灣製造業市場擴張。其中,台灣半導體產業更是在全球供應鏈扮演著不可或缺的關鍵角色,在全球半導體產值強占26%,僅次美國。然而,在這樣的產業榮景下,看準龐大的產業利潤,伴隨而來的是台灣半導體產業屢屢成為駭客攻擊標的,甚至危及全球上下游供應鏈營運。         

<回到新聞條列重點>

券商期貨商重大資安事件 2022年起申報年報須揭露      中央通訊社

為強化資通安全管理,金管會修法規定證券商及期貨商必須揭露重大資通安全事件所遭受的損失、可能影響及因應措施等資訊,若草案通過上路,2022年申報2021年年報即須揭露。

<回到新聞條列重點>

線上相簿Shutterfly遭勒索軟體Conti攻擊         iThome

Shutterfly是提供相片印刷、照片、卡片分享或周邊商品製作的專業網站,也提供線上相簿,它在不同市場以不同品牌提供服務,包括GrooveBook、BorrowLenses、Shutterfly.com、Snapfish與Lifetouch。         

<回到新聞條列重點>

英國政府以26億英鎊向資安宣戰 欲在2025打造BritChip    電子時報

英國政府宣布將在2025年之前,投入26億英鎊的「2022年國家網路戰略」預算,以在2022~2025年重塑政府主導資安發展和技術方向,趨勢科技英國分公司也表示,若英國想要成為科研、創新和AI的科技大國,由政府主導規劃一致的資通策略的確至關重要。    

<回到新聞條列重點>

數位身分皮夾 迎戰元宇宙  工商時報電子報

新世代金融基金會24日舉行「元宇宙大軍壓境 歐盟數位身分皮夾的啟示」研討會,探討歐盟建置數位身分皮夾的整體架構,其中微軟台灣研發中心總經理張仁炯提醒,台灣的資安現況像「打世界大戰」,在討論參考歐盟作法之前,短期內需了解目前的資安風險。         

<回到新聞條列重點>

網路詐騙又一椿 不肖業者冒麗寶Outlet Mall之名賣假包    上報

近期網路上出現有不肖人士假冒麗寶Outlet Mall刊登耶誕特賣的詐騙廣告,販售名牌包,麗寶樂園渡假區除報警並嚴正指出,麗寶Outlet Mall為實體店面,並無推出線上名牌包特賣的頁面,呼籲消費者切勿受騙上當。    

<回到新聞條列重點>

台灣資安現況像打世界大戰 科技專家極為憂心       工商時報電子報

數位化趨勢正在主導全世界每一件事,歐洲聯盟引領全球,依循「2030數位羅盤」(2030 Digital Compass)政策主軸,計畫在2022年9月正式公布「數位身分皮夾」(European Digital Identity Wallet),引起國內產學界的關注,並提議政府加快研議。   

<回到新聞條列重點>

Azure App服務NotLegit漏洞恐導致用戶程式碼儲存庫暴露   iThome

雲端資安服務Wiz的研究團隊,發現了一個在Azure App服務中不安全的預設行為,當用戶使用本地端Git(Local Git)選項部署應用程式時,Azure App服務將會暴露以PHP、Python、Ruby或Node編寫的應用程式原始碼,這個被稱為NotLegit的漏洞,從2017年9月就已經存在,研究團隊提到,這個漏洞很可能已經被開採利用了。         

<回到新聞條列重點>

Microsoft Teams 釣魚漏洞歷經 9 個月未修復,微軟與安全商的漏洞認知不同調          科技新報網

早在今年 3 月下旬,德國 IT 安全顧問服務公司 Positive Security 便通報微軟,發現 Microsoft Teams 有 4 個會引發釣魚攻擊或 DoS 阻斷服務攻擊等風險的安全漏洞,但微軟直到現在只修復一個,並表示其他三個漏洞的風險與影響性不高,只會提供兩個漏洞更新修補,另一個漏洞完全不打算修補。    

<回到新聞條列重點>

勒索軟體AvosLocker在安全模式下利用AnyDesk展開攻擊     iThome

資安業者Sophos本周指出,今年6月才現身的勒索軟體AvosLocker於今年底的攻擊量大增,並揭露其攻擊手法是透過系統的安全模式(Safe Mode),在關閉防毒軟體的情況下,利用遠端桌面管理程式AnyDesk部署勒索軟體。     

<回到新聞條列重點>

Apache HTTP Server軟體也傳2重大漏洞   iThome

除了延燒近三個星期的Log4j漏洞後,Apache軟體基金會本周釋出更多人使用的HTTP Server專案最新版2.4.52,以解決2個漏洞,包含一個9.8風險值的重大漏洞。

<回到新聞條列重點>

日美認勒索軟體威脅國安 擬合力採取防禦對策       中央通訊社

日本讀賣新聞今天報導,不只一位日本政府相關人士透露,日美政府將「勒索軟體」攻擊定位為國家安全保障上的威脅,已就防禦對策進行正式合作為方向進行協調。    

<回到新聞條列重點>

驚!我的資料竟外洩過 用「個資保鑣App」檢查手機、信箱有沒有被洩露     BITGZ

本篇報導詳細介紹趨勢科技PC-cillin 2022 雲端版產品功能,其中針對個資保鑣的使用步驟和監測項目詳細說明。         

<回到新聞條列重點>

AWS: 2022年及未來五大技術趨勢預測  CIO IT經理人

AWS提出2022年及未來五大技術趨勢預測,包含AI支援軟體開發、雲端應用擴展到各個場域、智慧空間興起、永續發展性架構興起、網路連接成為新類別的應用。    

<回到新聞條列重點>

不信任高達 73%,Facebook 成美國最顧人怨科技品牌  INSIDE

根據華盛頓郵報與美國喬治梅森大學政治外交學院共同調查,有高達 73% 的美國人不信任 Facebook,高居各大科技品牌榜首。   

<回到新聞條列重點>

《櫃買市場》資安管控指引 上櫃公司有依據  工商時報電子報

因應數位時代發展趨勢,資安議題益發重要,為配合金管會公告修正「公開發行公司建立內部控制制度處理準則」第9條之一及第47條,提升發行公司對資訊安全之重視,與證券交易所共同制定「上市上櫃公司資通安全管控指引」(下稱資安管控指引),協助上市、上櫃公司強化資通安全防護及管理機制。         

<回到新聞條列重點>

如何處理「Apple無法檢查是否包含惡意軟體」警告訊息?

當你在Mac上想打開某個應用程式卻遇上系統顯示「Apple無法檢查是否包含惡意軟體」時,這表示App Store尚未驗證過該應用程式,可能無法安全使用。不過有些正常應用程式也可能發生Apple驗證問題。在這篇文章中,我們會介紹如何處理「無法打開應用程式,因為無法驗證開發者」的警告訊息。

How to Fix “macOS cannot verify that this app is free from malware” Error
繼續閱讀

當國際性研討會走進家庭辦公室-遠距工作環境可能遭到攻擊的資安漏洞

家庭辦公室內各種缺乏資安防護的裝置,在網路犯罪集團的眼裡,可說是唾手可得的目標。這些裝置很可能被駭客入侵之後用來從事犯罪活動,或者當成進一步入侵家庭網路的跳板。

隨著新的技術不斷導入、舊的裝置不斷升級,現代化家庭的生活及工作空間每一年都變得越來越聰明。許多專業人士也因此開始在家工作或者在家透過虛擬方式經營生意。就連國際性的研討會都能從家庭辦公室環境內舉行,大型的專案也能透過線上方式在家管理和指揮,在智慧裝置的協助下,甚至能做到的還更多。只可惜,缺乏資安防護的裝置,在網路犯罪集團的眼裡,可說是唾手可得的目標,可用於從事 犯罪活動 ,或者當成進一步入侵家庭網路的跳板。  

駭客之所以這麼努力攻擊智慧家庭裝置,原因在於這類裝置的數量越來越多,而且越來越強大、越來越有價值。正因如此,駭客的攻擊手法會不斷隨著科技進步而演進。今年 11 月在美國德州奧斯汀 (Austin) 舉辦的  Pwn2Own 2021 駭客大賽 (這是一個專門發掘關鍵漏洞好讓廠商能夠加以修補的競賽) 特別突顯出有關家用使用者與遠距工作者的裝置安全問題。一些原本讓企業 IT 人員從家中執行遠端管理的裝置,同樣也能用來存取企業的私密資訊,甚至讓犯罪集團用於攻擊行動。 

影響家庭工作者與智慧家庭使用者的網路資安威脅 

針對家用與工作裝置的威脅

繼續閱讀

檢視連網汽車與充電站的 Log4j 漏洞

本文將檢視連網汽車相關裝置或配備所存在的 Log4j 漏洞,尤其是充電設備、車用資訊娛樂系統,以及控制車門開關的數位遙控器。

 

Apache Log4j 這個遠端程式碼執行 (RCE) 漏洞自從2021 年 12 月 9 日正式曝光以來已經累積了大量的相關文章,這現象確實反映出它的衝擊範圍。因為,有無數的應用程式在未修改其程式碼的狀況下直接使用了這個函式庫來產生記錄檔。這表示此漏洞的可攻擊面極為廣大,包括:Amazon、Apple、Cloudflare、Google、Tencent、Twitter 以及許多其他知名廠商都曾經是潛在的攻擊目標。不僅如此,這個被稱為「Log4Shell」的漏洞甚至還影響到一些嵌入式裝置。在這份報告中,我們將仔細探討車用裝置或配備所存在的 Log4j 漏洞,尤其是充電設備、車用資訊娛樂系統 (IVI),以及控制車門開關的「數位」遙控器。

推薦閱讀:

Log4j 事件會延燒數個月,甚至數年?這漏洞為何如此危險?
企業該如何處理 Log4j 漏洞問題?
【Log4j爆核彈級漏洞】端點裝置是否有遭到 Log4Shell 攻擊的危險?
Apache Log4j 爆十年來最嚴重的漏洞,而且人人都有危險,Google、Apple、Amazon、 Netflix 等等也都無法倖免
請立即修補:一個名為「Log4Shell 」的 Apache Log4j 漏洞正遭受猛烈攻擊
Log4Shell漏洞已被開採散布勒索軟體

繼續閱讀

Log4j 事件會延燒數個月,甚至數年?這漏洞為何如此危險?

以下是有關 Log4j 事件的相關分析資訊以及下一步我們該怎麼做。

資安界早已料到這樣的情況總有一天會發生,所以當我們在 12 月初從新聞上看到這個 CVSS 嚴重性等級 10.0 的新漏洞時,一股恐懼立即湧上心頭。全球現在都已感受到這個漏洞的衝擊,因為所有犯罪集團都在忙著趕在企業機構套用修補更新之前,對這個漏洞發動攻擊。因此這事件肯定會持續延燒數個月,甚至長達數年

從趨勢科技客戶的最新資料就能看出 Log4Shell 在全球的影響有多麼重大深遠,並且遍及各式各樣的應用程式。所以,趨勢科技仍在持續研究 Log4j 漏洞與其潛在的最新攻擊管道,希望能藉此協助企業更了解自己可能有哪些地方暴露在危險中。

推薦閱讀:


企業該如何處理 Log4j 漏洞問題?
【Log4j爆核彈級漏洞】端點裝置是否有遭到 Log4Shell 攻擊的危險?
Apache Log4j 爆十年來最嚴重的漏洞,而且人人都有危險,Google、Apple、Amazon、 Netflix 等等也都無法倖免
請立即修補:一個名為「Log4Shell 」的 Apache Log4j 漏洞正遭受猛烈攻擊
Log4Shell漏洞已被開採散布勒索軟體

事件發生經過

Log4j 是一個非常熱門、專門用來提供記錄檔功能的 Java 函式庫,許多平台都會用到它,例如 Minecraft 和 Elasticsearch。12 月初,開放原始碼軟體廠商 Apache 針對此函式庫一個名為「Log4Shell」的高嚴重性漏洞釋出了修補更新。但隨後不久,駭客便立即開發出對應此漏洞的攻擊手法,並開始對企業機構發動勒索病毒、散播虛擬加密貨幣挖礦程式、竊取資料等等。為何這個漏洞如此危險?

繼續閱讀