資安一周第78期：史上最大規模物聯網裝置Telnet帳密外洩

0116-0122 一定要看的資安新聞

＃漏洞攻擊  ＃CryptoAPI

美國國安局提報Windows簽章驗證漏洞得到修補

微軟在本月的Patch Tuesday修補49個安全漏洞，最受矚目的是涉及簽章驗證的CryptoAPI漏洞CVE-2020-0601，是第一個由美國國家安全局（NSA）發現並主動提交微軟的安全漏洞。

過往NSA飽受爭議的原因，在於該單位發現SMB協定的漏洞CVE-2017-0145，不僅沒有通報，還製作永恆之藍（EternalBlue）攻擊程式，後來該程式外洩，並遭駭客大肆濫用。

CVE-2020-0601存在於CryptoAPI驗證橢圓曲線密碼學（Elliptic Curve Cryptography，ECC），駭客只要利用偽造的程式碼憑證簽署惡意程式，讓它看起來像是來自可靠的合法來源，使得使用者幾乎無從察覺攻擊行為。詳全文

圖片來源：美國國家安全局

＃物聯網裝置安全  ＃資料外洩

史上規模最大！逾51萬臺物聯網裝置Telnet帳密遭公布

根據ZDNet報導，超過51萬臺的伺服器、家用路由器，以及物聯網（IoT）裝置的Telnet登入資訊，即包括帳號與密碼，被公布於駭客論壇。

洩露這些資料的駭客指出，他是利用機器人程式，掃描開啟Telnet連接埠的物聯網裝置，並使用預設或是簡易的用戶名稱和密碼組合，來試圖存取而獲得。拿到這種資料之後，通常能讓駭客於裝置上植入惡意程式，進而成立殭屍網路大軍。這起事件洩露的帳號資料數量，遠比先前2018年出現的3.3萬臺還要多。但該名駭客公開上述資料的原因，只是因為工作轉換不再需要，資安專家也呼籲使用簡易密碼的用戶，要儘速更換。詳全文

＃資料外洩

專門銷售外洩資料的非法網站遭到查扣

美國司法部與FBI聯手，查扣專門銷售外洩資料的非法網站We Leak Info，切斷該網站的運作。這個網站宣稱握有逾1萬起事件的外洩資料庫，內有120億筆資料，包括人名、電子郵件位址、使用者名稱、電話號碼，以及網路帳號密碼等。訂閱相關服務的使用者，即可搜尋該網站資料庫。

該網站使用的網址WeLeakInfo.com，目前亦由美國政府接管。詳全文

圖片來源：美國聯邦調查局

＃漏洞管理  ＃Patch Tuesday

軟體廠商同時推出修補程式，考驗企業因應能力

漏洞情報及風險評估業者Risk Based Security警告，愈來愈多的軟體業者跟隨微軟的Patch Tuesday腳步，規畫在每個月的星期二展開漏洞修補行動，至少有6家業者的修補日撞期，將替企業帶來修補風暴，讓企業的IT人員疲於奔命。

例如，目前微軟、Adobe、SAP、Siemens，以及Schneider Electric，都明訂每個月的第二個星期二，為例行提供修補軟體的時間；甲骨文的重大修補更新則是每季一次，分別是1月、4月、7月，以及10月最接近17日的星期二，於是今年甲骨文的4次修補，就有3次與前述廠商是同一天。

Risk Based Security指出，Google、蘋果、Mozilla、英特爾、思科、F5，以及Juniper等業者，很可能也安排在Patch Tuesday提供更新軟體。為此，研究人員呼籲，企業要為日益集中的修補工作提前準備。詳全文

＃儲存系統配置不當

超過10億張醫療影像在網路上流竄

去年9月超過7億張醫療影像因醫療影像儲存系統（PACS）配置不當，而在網路上曝光之後，德國資安業者Greenbone Networks指出，經過了2個月之後，在網路上曝光的醫療影像不減反增，從7.3億增加到11.9億張，成長60%。

研究人員也依據各國外洩的影像數量變化，進行分類，其中有些國家的情勢越演越烈，包含美國、印度、南非、巴西，以及厄瓜多爾等。2019年11月時，他們在美國發現了195個可公開存取的PACS系統，比9月時發現的184個還多。

這些曝光的醫療影像或病患資料，可能會被駭客用來執行社交工程詐騙、魚叉式網釣攻擊，或是商業電子郵件詐騙等。詳全文

＃內部威脅  ＃資料外洩

海軍士官違法查詢國家機密人事資料遭起訴

利用職務之便，一名海軍吳姓士官自2016年起，取得國防部與空軍司令部多名人事主管的帳號和密碼，違法用來登入國軍人力資源管理系統，查詢高階將領及特種情報員資料，一年多內查詢數百筆。臺灣高等檢察署偵查終結並提起公訴。

最初能取得高階人士主管帳號資訊的管道，是2016年該名士官於艦隊擔任人事行政士，並利用軍艦出任務的時候，開始查詢國軍人事資料。隔年這名士官調任海軍技術學校教官，不僅持續存取人事系統，並且提升自己權限，藉此調查更為機密的資料，才被國防部發現異常，追查之下找出是該名士官所為，進行懲處並移送臺灣高等檢察署偵辦。

該名士官到案後坦承犯行，但否認將相關資料外洩及牟利。檢察官依照《國家機密保護法》「刺探國防秘密罪」，以及《國家情報工作法》「違法刺探情報人員身分罪」，提起公訴。詳全文

＃數位身分證  ＃隱私疑慮

在野黨團凍結預算，民間團體要求立法院正視數位身分證隱私疑慮

立法院召開臨時會討論今年度總預算，進行朝野協商，其中內政部提列的晶片身分證（eID）4億2千萬元預算，國民黨、親民黨，以及時代力量等三個黨團，皆提出全數刪除或是凍結的提案。臺灣人權促進會等民間團體於立法院召開記者會，認為全民換發晶片身分證，仍缺乏相關法規配套，呼籲立法院不要貿然通過預算。

臺灣人權促進會副秘書長何明諠認為，所有在野黨團一致否決這項預算，要求內政部須完善相關法制，突顯晶片身分證資安風險仍未解決才是共識。雖然在2019年5月及9月，立法院有兩次專案質詢，在野黨與民進黨委員都針對臺灣的現行法律提出質疑，於保護個資與資訊安全不足，必須修法才能降低採用新式身分證的風險，然而行政院與內政部僅強調現有法律就足以因應，而不願多做解釋。何明諠認為行政機關意圖敷衍立法單位，在野黨團應堅守相關提案，同時執政黨也不應一意孤行。詳全文

圖片來源：臺灣人權促進會

＃個資外洩

高雄市教育局驚傳洩露學生個資

一名家長在網路查詢子女姓名時，發現其身分證字號被公開，追查之下，發現源頭是2019年1月高雄市教育局網站公告的「申請非學校型態實驗教育計畫」審議結果，該單位將含有學生個資的檔案上傳，共有隸屬7所機構、共280名學生的個資，包含他們的姓名、年級、身分證字號，以及設籍學校等內容。該名家長隨即委託相關團體向教育局反映，教育局獲報也立即移除相關公告資料，並通知其他受影響的團體與機構。

不過，人本教育基金會與高雄市議員林于凱調查後發現，許多家長並未接到通知，而認為教育局失職，呼籲市政府應追究相關責任並出面補救。詳全文

更多資安動態

●美國國土安全部釋出CVE-2019-19781檢測工具
●全美無人機77%來自中國業者大疆！當地民用無人機恐無限期停飛
●13家中國IT公司為海南省政府招募APT 40成員
●Cloudflare擬為美國小型政治活動提供免費資安服務
●甲骨文修補334個漏洞，近6成漏洞不需用戶憑證就能濫用！
●K8s漏洞懸賞計畫正式推出