| CVE-2022-24348 | Argo CD | 零時差漏洞 | GitOps | 安全漏洞

Argo CD修補涉及所有版本的機密資訊外洩漏洞

Argo CD團隊釋出v2.3.0、v2.2.4及v2.1.9等新版本,呼籲所有Argo CD版本用戶儘快部署,以修補能允許駭客存取機密資訊的漏洞

2022-02-07

| 多因素驗證 | MFA | 憑證攻擊 | 網釣 | 暴力破解 | 微軟

微軟聲稱只有22%的Azure AD用戶採用強大身分認證機制

觀察到國家級駭客去年發動大量暴力破解、網釣等憑證攻擊行動,微軟提醒組織應採取多因素驗證(MFA)以強化身分認證防護

2022-02-07

| 華盛頓監理站 | 專業證照 | 職業證照 | 資料外洩 | Polaris

華盛頓州有25萬個證照資料外洩

華盛頓州監理站坦承該單位管理的POLARIS系統疑似遭非法存取,POLARIS存放了39類職種的專業證照申請者及所有人資料,包含社會安全碼、生日及駕照號碼

2022-02-07

| 華爾街日報 | News Corp | 網路攻擊 | 中國駭客 | 竊密

華爾街日報母公司新聞集團1月遭網路攻擊

協助新聞集團(News Corp)調查資安事件的Mandiant對媒體透露,他們推測是中國駭客發起這起攻擊行動,目的在蒐集情資。華爾街日報則報導自家公司和道瓊公司、紐約郵報及英國新聞部門、新聞集團總部等都受到影響

2022-02-07

| Merry Maker | 網頁防側錄工具 | Target | 網站掃瞄 | 網頁側錄 | Magecart

美零售業者Target開源自家網頁側錄偵測工具

網頁防側錄工具Merry Maker是由Target自家安全人員所開發,專門用於大型網站的掃瞄作業

2022-02-07

| UEFI | 韌體 | 安全漏洞 | InsydeH2O

UEFI韌體程式碼爆23項漏洞,影響微軟、Dell、HPE等業者

安全廠商Binarly發現臺灣廠商系微的InsydeH2O韌體含有23項安全漏洞,影響採用該韌體的眾多筆電、伺服器、路由器及工控系統業者

2022-02-04

| DeFi | 加密貨幣平臺 | WormHole | 網路攻擊 | 區塊鏈 | 安全漏洞

加密貨幣平臺Wormhole遭駭,損失價值3.2億美元的以太幣

在周三傍晚發現合約被駭後,Wormhole當天修補了漏洞,並在周四讓平臺重新上線,《The Verge》認為攻擊者可能是透過Wormhole的GitHub儲存庫,掌握到Wormhole一項已被揭露卻尚未被修補的安全漏洞

2022-02-04

| NSO Group | iOS | 零時差漏洞 | CVE-2021-30860 | iPhone | Forcedentry | QuaDream | 攻擊程式

另一家以色列業者QuaDream也利用零點擊攻擊程式自遠端攻陷iPhone

根據《路透社》報導,QuaDream與遭蘋果提告的NSO Group兩者打造的非法監控程式相似度高,都開採同樣iOS零時差漏洞,入侵手法也雷同,也凸顯了數位裝置進行安全更新的重要性

2022-02-04

| APT | 中國駭客集團 | Antlion | 臺灣 | 金融 | 製造 | xPack | 後門程式

中國駭客集團以xPack後門鎖定臺灣金融與製造業

博通旗下資安部門Symantec偵測到中國駭客集團Antlion在2020年底對臺攻擊行動,利用xPack後門程式等工具,成功潛伏在某家金融業者系統長達250天以竊取機密

2022-02-04

| 北韓駭客 | 資安研究人員 | 網路攻擊 | 北韓

遭到北韓駭客入侵的美國資安研究人員,以一己之力癱瘓北韓網路

近期北韓二度傳出遭攻擊導致境內網路中斷,一名美國資安研究員向媒體Wired透露他是始作俑者,他也是去年初北韓駭客集團鎖定資安社群攻擊行動的受害者

2022-02-03

| Microsoft Defender for Endpoint | Android | iOS | 漏洞管理

微軟Defender for Endpoint漏洞管理功能開始支援Android、iOS裝置

微軟強化Defender for Endpoint管理功能,讓IT管理員能全面檢視公司網路中的Android/iOS及iPadOS裝置,是否含有安全漏洞

2022-02-03

| Chrome 98 | 安全漏洞 | 安全更新 | Chrome

Google釋出Chrome 98,修補27項安全漏洞

針對分別位於Chrome安全上網(Safe Browsing)及閱讀器模式(Reader Mode)的2項高風險漏洞,Google提供漏洞通報者2萬美元抓漏獎金

2022-02-03