| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 勒索軟體 | 竊密軟體 | 木馬程式 | 資料外洩 | 漏洞揭露 | 資安事件
【資安週報】2023年1月16日到1月19日
CentOS主機網頁管理介面元件Control Web Panel(CWP)三個月更新修補的漏洞CVE-2022-44877要特別注意,已有攻擊者開始鎖定利用;研究人員發現微星主機板存在預設執行任意程式的情形,呼籲用戶變更相關配置為拒絕執行,以發揮安全開機的作用
2023-01-22
| 資安日報 | 漏洞揭露 | 漏洞濫用 | 勒索軟體解密工具 | AI資安威脅 | 資料外洩 | OT漏洞 | 資料破壞攻擊
【資安日報】2023年1月19日,Git修補3個重大RCE漏洞;印度人力銀行網站因資料庫配置不當而曝露近千萬筆個資
1月17日GitHub揭露3個漏洞,其中兩個的嚴重程度屬於重大等級,另一個屬於高度嚴重,影響2.39版的Git;資料庫系統因不當設定而在網際網路上裸奔的事故再度發生,這次是印度求職網站,在去年12月中被資安新聞網站披露,將近9百萬找工作的民眾個資面臨外洩危機
2023-01-19
| 資安日報 | 資料外洩 | 漏洞揭露 | 零時差漏洞 | 供應鏈攻擊 | 勒索軟體 | 竊密軟體
【資安日報】2023年1月18日,研究人員揭露濫用GitHub Codespaces的攻擊手法,微軟修補Azure服務4項SSRF漏洞
資安業者提出警告,GitHub於去年底正式上線的雲端IDE服務GitHub Codespaces,有可能被駭客用於散布惡意軟體;微軟在2022年10月至12日,針對Azure提供的服務修補了4項伺服器端請求偽造(SSRF)漏洞,有資安業者近日說明細節
2023-01-18
| 資安月報 | 資安一周 | 資安周報 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 供應鏈攻擊 | 惡意程式 | 漏洞揭露 | 漏洞獎勵計畫 | 殭屍網路 | 個資外洩 | 駭客入侵
【資安月報】2022年12月
這一個月有三大資安議題值得仔細探討,包括針對微軟Exchange漏洞攻擊的消息,出現與CVE-2022-41080相關的攻擊手法,以及駭客利用搜尋引擎廣告散布惡意假網站的態勢,連美國FBI都提出警告,而在資安防護新聞中,包括Google新推OSV-Scanner,以及GitHub推出Secret scanning等成開發與資安人員關注焦點
【資安日報】2023年1月17日,雲端資安業者Datadog金鑰因CircleCI遭駭而曝光、主機管理介面元件CWP漏洞已被用於攻擊行動
資安業者Datadog證實,因CircleCI的資安事故而可能影響部分Linux用戶;研究人員提出警告,CentOS主機管理介面元件CWP於10月修補的漏洞,已出現攻擊行動
2023-01-17
【資安日報】2023年1月16日,WordPress網站外掛程式存在SQL注入漏洞、網路監控系統Cacti漏洞被用於植入惡意軟體
研究人員揭露3款WordPress外掛程式的SQL注入漏洞,其CVSS風險評分介於8.8分至9.8分;多家資安機構提出警告,網路監控系統Cacti於12月修補的命令注入漏洞CVE-2022-46169,已出現攻擊行動
2023-01-16
| 資安週報 | 資安一周 | 資安周報 | IT周報 | 漏洞修補 | 竊密軟體 | 勒索軟體 | 木馬程式 | 資料外洩 | 漏洞揭露 | 資安事件
【資安週報】2023年1月9日到1月13日
這一週有兩個漏洞攻擊利用情形受關注,包括微軟本月修補的CVE-2023-21674,與11月修補的CVE-2022-41080,在資安事件方面,國際上有法國航空、荷蘭航空通知用戶Flying Blue帳號異常,客戶資料遭駭客存取,國內有華航傳出60筆會員資料被公開於地下論壇的消息
【資安日報】2023年1月13日,SAP修補旗下產品多項重大漏洞、逾百款西門子PLC設備韌體存在漏洞而可能曝險
本週SAP針對旗下產品發布一月份例行修補,其中的CVE-2023-0014可能影響該公司大部分用戶;研究人員揭露西門子PLC設備的韌體漏洞,並指出一旦駭客成功利用,就能讓設備啟動的相關安全機制失效
2023-01-13
【資安日報】2023年1月12日,惡意軟體Gootkit假冒VLC影音播放器攻擊醫療機構、駭客組織Dark Pink鎖定亞太地區政府與軍事單位
惡意軟體Gootkit針對澳洲醫療機構而來,並假借提供VLC Media Player的名義散布;亞太地區多個國家的政府機關、軍事單位遭到駭客組織Dark Pink攻擊,至少有7個組織受害
2023-01-12
【資安日報】2023年1月11日,微軟1月份例行修補緩解近百個漏洞、Trojan Puzzle攻擊手法可訓練AI助理產生惡意程式碼
昨日微軟發布1月份例行修補,共解決98個漏洞;研究人員揭露能讓AI助理產生惡意程式碼的攻擊手法,而且難以透過現有的檢查機制發現異狀
2023-01-11
【資安日報】2023年1月10日,研究人員揭露Text-to-SQL機器學習模型弱點、NPM套件JsonWebToken漏洞恐導致2.2萬專案曝險
透過自然語言(NLP)輸入而能對SQL資料庫進行簡易查詢的機器學習模型,有可能被濫用於執行惡意程式碼;研究人員揭露NPM套件JsonWebToken的高風險漏洞,並指出影響範圍相當廣,當中不乏大型IT業者的專案
2023-01-10
【資安日報】2023年1月9日,程式碼編輯器VS Code外掛程式市集恐遭駭客濫用、惡意PyPI套件透過Cloudflare隧道服務繞過防火牆
研究人員發現程式碼編輯器Visual Studio Code的外掛程式市集裡,已出現惡意外掛;透過PyPI套件散布的惡意軟體出現新的迴避偵測手法,駭客濫用Cloudflare Tunnel服務,目的是繞過防火牆等資安防護措施
2023-01-09