2020年8月10大資安新聞

存在於較為底層的系統出現漏洞，影響的範圍可能會非常大。例如，開機程式Grub2的BootHole漏洞（CVE-2020-10713），波及時下電腦的UEFI安全開機功能，使得駭客得以在電腦進入作業系統之前，就植入惡意程式，導致常見的防毒軟體等機制根本無法察覺與攔阻相關攻擊。雖然Linux廠商隨後推出有關的修補程式，卻因為涉及層面甚廣，一度出現部分首批修補完成的Linux電腦與伺服器無法開機。值得留意的是，儘管Grub2廣受各種版本的Linux採用，但執行Windows作業系統的電腦也可能存在相關風險而不能輕忽。

而在這個月也比較值得留意的漏洞，存在於工控系統的VPN，有3家廠商修補旗下的產品的漏洞。由於居家工作需求大增，這種遠距存取相關系統的安全性，也備受重視。

此外，特斯拉傳出遭到攻擊的事件，突顯出防範內部威脅的重要性。俄羅斯駭客意圖串通該公司的員工，以便在公司內部網路植入惡意軟體，所幸這名員工並未受到利誘而讓特斯拉倖免於難。

01.開機程式GRUB2含有BootHole安全漏洞，工作站、伺服器、IoT裝置都遭殃

02.工業級VPN產品爆RCE漏洞，危及工控系統

03.紐西蘭證券交易所連續三天遭到網路攻擊，宣布暫停交易

04.俄國人企圖買通特斯拉員工發動勒索軟體攻擊

05.DevOps應用程式配置不當，微軟、Adobe等50家知名企業原始碼全都露

06.英特爾驚傳被駭，外洩程式碼等機密文件

07.沒修補Citrix重大漏洞讓駭客有機可趁，全球最大遊輪業者Carnival遭勒索軟體攻擊

08.川普簽署行政命令，即將於9月20日封鎖抖音與微信

9.歐盟首度針對網路攻擊展開制裁，中國、俄羅斯與北韓組織皆入列

10.臺灣資安大會於8月11日正式登場