文/周峻佑 | 2025-01-03發表

資安需求與日俱增,臺灣在這塊市場也發展得不錯,但情況有多樂觀?在2024年12月終於有相關的預測數據出爐。

最近IDC公布2025年臺灣ICT市場五大關鍵趨勢預測內容時,也提到他們看好未來臺灣四年資安產品市場的成長,並指出動力不光來自傳統資安產品的需求增加,還受到AI資安及量子韌性(Quantum Resilient Security)兩項新興資安技術影響,而這些新興技術也是未來一年資安市場投資者關注的焦點。

 

【攻擊與威脅】

有人聲稱找到7-Zip零時差漏洞,開發者駁斥資訊有誤,疑為假消息

使用ID名稱@NSA_Employee39的用戶於社群網站X(原推特)宣稱,將連續多日釋出7-Zip的零時差漏洞資訊,首波公開的是任意程式碼執行漏洞,此人於Pastebin發布概念性驗證程式碼(PoC),並於7-Zip於SourceForge的專案網頁通報此事。

對此,7-Zip專案負責人Igor Pavlov出面駁斥此事,他表示該壓縮軟體的LZMA壓縮演算法不存在@NSA_Employee39提到的漏洞。Igor Pavlov分析概念性驗證程式碼提出進一步證據,他發現註解提及的功能函數RC_NORM並未出現在LZMA解碼器,研判此人以大型語言模型(LLM)產生這些程式碼。

值得留意的是,目前7-Zip漏洞疑雲未有定論。儘管@NSA_Employee39的爆料普遍認為是不實資訊,Igor Pavlov已從技術層面否認漏洞的存在,不過用戶最好還是提高警覺,避免開啟來源不明的壓縮檔,並定期更新7-Zip以維持安全性。

群光電子傳出網站遭遇DDoS攻擊

1月2日傍晚群光電子於股市公開觀測站發布重大訊息,指出他們的網站遭遇DDoS攻擊,在察覺攻擊跡象後,該公司資訊團隊立刻與外部資安公司合作,阻斷攻擊行為。

針對這起事故可能造成的損失或是影響,群光表示根據他們初步評估,對於公司營運無重大影響,他們將持續強化網路與資訊基礎架構的安全管控,來防範相關攻擊。

其他攻擊與威脅

惡意NPM套件被用於散布木馬程式Quasar RAT

惡意軟體PlayfulGhost假借提供中國應用程式散布

研究人員揭露大型語言模型越獄手法Bad Likert Judge

 

【漏洞與修補】

Progress修補網管軟體WhatsUp Gold重大層級漏洞

上個月Progress發布資安公告,指出旗下的網管軟體WhatsUp Gold存在漏洞CVE-2024-12105、CVE-2024-12106、CVE-2024-12108,呼籲用戶升級至24.0.2版緩解相關弱點。

根據CVSS風險評分,這一波安全性修補當中,最值得留意的是列為重大層級的CVE-2024-12106、CVE-2024-12108,其中又以CVE-2024-12108較為危險,攻擊者可利用公開API的存取WhatsUp Gold伺服器,風險評分達到9.6(滿分10分)。

另一個也相當危險的重大漏洞是CVE-2024-12106,因為攻擊者可在未經身分驗證的情況下,竄改LDAP的組態設定,CVSS風險為9.4。

微軟已修補的磁碟加密機制BitLocker仍存在漏洞,攻擊者若實體接觸電腦有機會竊取資料

資深安全研究員兼硬體駭客Thomas Lambertz於上週舉行的大型資安會議混沌通訊大會(Chaos Communication Congress,CCC)當中,於完全修補的Windows 11作業系統環境裡,展示針對磁碟加密機制BitLocker漏洞bitpixie(CVE-2023-21563)的攻擊手法。Thomas Lambertz指出,即便使用者已安裝微軟提供的更新程式,攻擊者仍然可以使用新的攻擊手法,藉由安全開機(Secure Boot)繞過BitLocker保護機制,取得Windows 11電腦的資料。

雖然這項攻擊手法需要實體接觸電腦,對於一般使用者的風險較低,但對於企業組織與政府機關而言卻不能掉以輕心,因為這項攻擊僅需短暫的接觸就能完成。研究人員指出,這項漏洞微軟並未完全修復,主要的挑戰在於UEFI韌體的儲存空間有限,無法以雜湊值黑名單撤銷所有曝險的憑證,微軟預計要到2026年才能完全更新安全開機的相關憑證。

其他漏洞與修補

微軟Dynamics 365、Power Apps Web API存在漏洞

 

【資安產業動態】

臺灣資安產品市場蓬勃發展!IDC臺灣預測2028年規模將達235億,密碼敏捷性與AI BOM將成2025年新焦點

市調機構IDC最近預測,未來四年臺灣資安產品市場將持續成長,市場規模從2024年的4.62億美元增至2028年的7.16億美元(相當於新臺幣235.4億元),年複合成長率達11.9%。其中,資安軟體的成長動能尤為強勁,年複合成長率高達13.3%。

IDC分析指出,目前許多企業優先導入密碼敏捷性(Crypto-Agility)框架,這是一種能快速應對加密威脅的資料加密實踐方式。與直接部署PQC相比,IDC表示,密碼敏捷性框架在部署成本與周期上更具效率,且在現有合規環境下實務可行性更高。

過去兩年,生成式AI(GenAI)的快速發展雖大幅提升了企業內部的生產力與效率,但同時也帶來了全新的資安挑戰,IDC指出,企業在資安策略上,明年將更注重建立明確的AI BOM(人工智慧物料清單),以加強AI資安防護能力,應對日益複雜的安全威脅。

其他資安防禦措施

針對Snowflake攻擊事故,美國逮捕涉嫌竊取總統通話記錄的士兵

 

近期資安日報

【1月2日】北韓駭客對開發人員發動新一波攻擊,意圖散布惡意軟體OtterCookie

【12月31日】駭客公布從思科、施耐德電機竊得的部分資料

【12月30日】駭客鎖定逾20款Chrome延伸套件發動供應鏈攻擊,意圖竊取使用者社群網站帳號

iThome Security

熱門新聞

Advertisement