新聞

【資安日報】2月12日,Fortinet公布用於攻擊防火牆的身分驗證繞過漏洞

本週Fortinet更新一個月前發布的資安公告引起各界關注,他們指出駭客利用CVE-2024-55591的同時,也運用另一項先前未揭露的身分驗證繞過漏洞CVE-2025-24472建立管理員帳號

新聞 | 勒索軟體攻擊 | NAS | QNAP

威聯通NAS遭勒索軟體Qlocker攻擊,疑似甫修補的重大漏洞惹禍

自4月19日開始,傳出有威聯通科技(QNAP)的NAS設備遭到勒索軟體Qlocker攻擊,檔案全變成具有密碼保護的7-Zip壓縮檔案,對此威聯通表示,攻擊者入侵的管道很可能與他們最近發布公告的2個重大漏洞有關

2021-04-22

新聞 | SAP | RISE with SAP | 雲端

從傳統地端銷售轉向雲端訂閱模式,SAP在臺主打RISE with SAP服務銷售新策略,不僅提供企業ERP軟硬體,還能幫忙代管

SAP近日在臺改以RISE with SAP新銷售策略,搶攻雲端市場,將企業轉型上雲所需SAP產品,包含ERP軟體,打包成一套提供給顧客的單一整合服務。目前已有物流倉儲管理業者、高科技業者導入中。

2021-04-22

新聞 | 惡意軟體 | Google Play

Google軟體市集出現惡意行動App,鎖定西南亞和阿拉伯半島民眾

資安廠商McAfee本週發出警告,他們發現多個惡意行動App先以無毒版本上架至Google Play商店,隨後更新置換成惡意版本,以竊取用戶的訊息資料,以及未經授權的惡意活動

2021-04-22

新聞 | 明尼蘇達大學 | UMN | Linux核心 | 貢獻 | 臭蟲 | 學術研究 | 道德爭議 | 資安

把漏洞導入Linux核心來作實驗,Linux大老封殺明尼蘇達大學所有貢獻

一群明尼蘇達大學(UMN)的研究人員,以進行研究的名義,貢獻含有臭蟲的修補程式至Linux核心,引發社群反彈

2021-04-22

新聞 | Cellebrite | Signal | 駭客工具 | 資安

Signal在神展開的劇情下,破解了Cellebrite提供給極權政府的駭客工具

在不可思議地撿到Cellebrite的駭客工具包之後,Signal共同創辦人Moxie Marlinspike發現專門利用各種安全漏洞來破解行動裝置的Cellebrite,其實並不注重自身的軟體安全

2021-04-22

新聞 | MITRE ATT&CK評估計畫 | MITRE Engenuity | Carbanak | FIN7 | Wizard Spider | Sandworm

最新MITRE ATT&CK評估計畫結果出爐,第三輪29家資安業者較勁

第三輪MITRE ATT&CK評估計畫結果出爐,這次共有29家資安業者參與,比起前兩輪的12家與21家更多,企業可從中了解各業者對於知名APT駭客集團Carbanak與FIN7所用過的攻擊手法,在偵測防護能力上的表現。

2021-04-22

新聞 | Chrome | 資安 | 漏洞

Google Chrome再緊急修補已有攻擊的零時差漏洞

本周釋出的Chrome 90.0.4430.85版本,修補了7項漏洞,其中包括1個已經出現開採程式的漏洞

2021-04-22

新聞 | 掌紋辨識 | Amazon One | Amazon | 身分驗證 | 電子支付

西雅圖Whole Foods導入Amazon One掌紋支付

透過掌紋辨識來提供無接觸支付以及人員進出管控功能的Amazon One,已應用在Amazon多種實體商店如Amazon Go、Go Grocery,現在Amazon宣布旗下有機超市Whole Foods Market,也開始測試導入Amazon One

2021-04-22

新聞 | SonicWALL | 零時差漏洞 | 資安 | 修補 | SonicWall Email Security

SonicWall警告電子郵件安全產品有3項遭開採的零時差漏洞

已有駭客串聯CVE-2021-20021、CVE-2021-20022和CVE-2021-20023這3項漏洞,攻擊某家組織的SonicWall ES系統並植入web shell,取得指令控制臺及管理員帳號存取權限

2021-04-22

新聞 | RAT | 遠端存取木馬程式 | 圖片檔案濫用 | Lazarus Group | Hidden Cobra | APT 38 | Lazarus

藏匿惡意程式的手法越來越繁複!北韓駭客Lazarus濫用BMP圖檔及內嵌壓縮檔案,並搭配圖檔格式轉換等多重手法,來藏匿木馬程式

駭客運用圖片來隱藏攻擊工具的現象,可說是時有所聞,但許多是針對網站側錄(Web Skimming)而來。而最近,北韓駭客組織Lazarus將這種手法運用於散布木馬程式上,他們透過BMP圖檔與反覆的呼叫手法,來偷渡惡意程式,進而在受害電腦上竊密

2021-04-22

新聞 | 開源 | Grafana | AGPLv3

開源專案Grafana、Loki和Tempo也更改授權,防止雲端服務供應商濫用

在Elastic、Redis Labs和MongoDB開源公司之後,Grafana Labs也宣布要調整開源授權,不過並非使用SSPL,而是使用同為OSI授權條款的AGPLv3

2021-04-22

新聞 | 惡意廣告 | 網路釣魚

駭客組織冒用線上服務網站,鎖定南美洲民眾意圖竊取資料

利用應用程式的廣告,誘使瀏覽者點擊至惡意網頁進行下載,竊取個人資料。

2021-04-22