2024.07-Note #6

資安動態

1. Google 決定要停止信任 Entrust 頒發的憑證 :  對於 Entrust CA 在 2024/10/31 前發的憑證仍會信任，Mozilla 與 Apple 會跟進嗎 ?
2. NFC Multi-Purpose Tap : 7/1 NFC 論壇發布，可以一次輕觸完成多項用途，iPhone 有可能最先支援，但要到標準這一步需要證明安全性與時間發酵
3. TWQR : Taiwan QR Code，財金公司推出的 電支跨機構共用平台，目的是解決以往因各業者間QR Code 規格各異無法互通，以及商家櫃檯需擺放多個QRCODE。看到最近多個支付平台陸續支援這個 TWQR，想到幾年前的新加坡「全國共用付款QR碼(SGQR)」，當時的 SGQR 是世界上第一個做統一支付介面(Unified payment) 的標準，7年後台灣跟上了。其實不算晚，太早也不好，因為 QR Code 的釣魚詐騙至今無解(至少我還沒看到就是了)。
4. 政院修資安法 不配合調查可罰百萬 : 修法包含四大方向，一是明定主管機關及各機關權責；二是擴大資安稽核範圍，並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用的相關規範。第三是增訂應符合資通安全責任等級的要求設置資通安全專職人員，及重大資通安全事件的調度支援等規定；第四是增訂中央目的事業主管機關對特定非公務機關重大資通安全事件的調查權限
5. 台灣資安大聯盟成立 助攻本土業者打國際盃
6. 新加坡銀行將在3個月內汰除OTP : 新加坡的銀行將逐步停止使用容易受到網路釣魚攻擊的一次性密碼 (簡訊OTP); 星展銀行在2021年2月起已停止發放實體密碼產生器(physical token)
7. 韓國ERP系統的更新伺服器遭到供應鏈攻擊: 目前尚未釐清攻擊者如何入侵，但找到可疑的DLL程式庫，經分析後確認是能夠竊取系統資訊及執行攻擊者命令的後門程式Xctdoor，此惡意程式以Go語言打造而成，攻擊者透過Regsvr32.exe的處理程序載入執行。
8. 史上最大密碼資料庫曝光！100億帳號密碼的「rockyou2024.txt」檔案外洩，您的帳號安全嗎？: 較2021曝光的版本多出15億組資料，Cybernews 提供了一個網路工具「Leaked Password Checker」，幫助使用者檢查密碼是否外洩。使用者可以輸入自己的密碼，查看它是否出現在任何已知的洩露事件中，包括 RockYou2024。另外，「Have I Been Pwned」也提供了類似的查詢工具，可檢查您的電子郵件地址或密碼是否曾被洩露。
9. 調查局與美國聯邦調查局合作，首度偵破創世紀市場不法蒐集國人個資案 - 法務部調查局: 該網站除以網路匿蹤技術隱匿真實身分+虛擬貨幣匿蹤技術製造金流斷點，掌握主嫌虞員、林員及陳員等3人於創世紀市場購買多筆國人使用之社群平臺或蝦皮、露天等商用平臺之帳號密碼、手機號碼及身分證統一編號等網站權限，渠等蒐集之帳號權限已嚴重侵害我國民眾個人權益及網路身分安全
10. 專攻Linux系統的殭屍網路病毒Zergeca浮上檯面！因資安公司攔截到加殼惡意程式，後續有人上傳VirusTotal測試是否能被偵測而曝光 iThome
11. 2024 OT 與網路資安現況調查報告：三成企業組織 OT 環境遭入侵６次以上
12. 美軍推「自帶設備註冊」 兼顧資安與操作彈性 國際 - 美軍推「自帶設備註冊」 兼顧資安與操作彈性 : 美國空軍與太空軍決定跟進陸軍，推動「自帶設備註冊」（bring-your-own-device enrollment）計畫，讓官兵在個人通訊設備上安裝特殊程式，存取軍用電子郵件、程式與受管控機密資料，提升資安防護與操作彈性。
13. 涵蓋內部系統、外部網站、AI服務，趨勢打造單一遠端安全存取 : Vision One的AI Service Access 達成4個目標，包含：對於員工存取與使用AI應用系統的活動，提供集中管理功能；針對員工輸入的AI提問內容進行檢測，預防資料外洩與惡意注入內容的攻擊行為；提供上網內容過濾機制，以符合法規遵循的要求；對抗濫用大型語言模型而產生的網路攻擊活動，具備抵禦這類威脅的能力(可針對4種AI服務進行內容檢測（content inspection），包含：ChatGPT、Google Gemini、Microsoft Copilot、Microsoft Copilot for Microsoft 365)

程式工具

1. google/osv-scanner v1.8.2 : Adding CycloneDX 1.4 and 1.5 output format.
2. Maciej Walkowiak PostgreSQL and UUID as primary key : 這一篇講的是假設已經決定要用 UUID(16 Byes) 當作PK的前提下的分析，以前的 UUID 是 UUIDv4 ，對B-TREE Index 沒有效率，但現在已經可用 UUIDv7(有 timestamp)，大幅提升 Index 效能(因有排序)約2倍以上

漏洞

1. 鎖定Oracle WebLogic伺服器已知漏洞而來，透過PowerShell指令碼散布挖礦軟體: 針對Oracle WebLogic伺服器已知漏洞CVE-2017-3506、CVE-2023-21839而來，透過PowerShell指令碼，最終在受害伺服器植入挖礦程式XMRig
2. Microsoft發布近期已遭利用之高風險漏洞資訊 : CVE-2024-37985與CVE-2024-35264漏洞已被公開，而CVE-2024-38080與CVE-2024-38112則是已遭駭客利用；另有5個被列為重大（Critical）等級的安全漏洞 (143個漏洞，修補規模，超過5月、6月兩個月的總和)
3. RADIUS協定可讓駭客發動MitM攻擊：Blast RADIUS，正式名稱為CVE-2024-3596
4. Apache基金會修補網頁伺服器HTTP Server的原始碼洩露弱點 : Apache基金會發布2.4.61版網頁伺服器系統HTTP Server，主要是修補一項漏洞CVE-2024-39884，這項漏洞帶來的影響，是在handlers組態透過AddType設置時，有可能導致原始碼資訊洩漏的情況，在2.4.60版以前的HTTP Server都可能會曝險
5. GitLab發布社群版及企業版更新，修補能讓任意用戶執行自動化工作Pipeline的重大漏洞：漏洞影響15.8至16.11.5版、17.0至17.0.3版，以及17.1至17.1.3版GitLab，一旦攻擊者利用這項漏洞，就有機會在特定情況下，冒用任意使用者身分執行Pipeline工作流程，CVSS風險評為9.6分

資安事件/公司被駭

1. 東元電機和宅配通遭受駭客網路攻擊
2. 富士通證實駭客入侵致客戶資料外流: 人數不詳的客戶個人姓名及公司資料外流。log分析發現，這些電腦上的惡意程式已針對部分檔案下達複製指令，因此他們研判這些檔案已經被非法取得。外洩的資訊包括部分客戶姓名和公司資訊
3. 崴寶精密科技與其客戶遭遇BEC詐騙，駭客冒名發送電子郵件騙走3千萬
4. 聖暉系統工程代子公司公告，揭露聖暉系統集成集團發生資安事件
5. 英保健署遭駭 3億筆資料流暗網 國際 - 英保健署遭駭 3億筆資料流暗網 - 青年日報:（NHS）月初遭受俄國駭客組織「麒麟」發動網攻，導致約3億筆病患資料外洩，並遭暗網公開揭露
6. Disney傳遭駭客攻擊，超過1.1TB資料外洩、包含未發佈電影計畫、概念圖
7. 日本航太研究機構JAXA伺服器、Microsoft 365環境被駭，疑導致上萬份資料外洩
8. 幾乎所有AT&T無線用戶的通話及簡訊紀錄都外洩

科技動態

1. 國科會預告我國AI基本法草案，揭露隱私保護、資料安全、透明可解釋及問責等7大原則: 草案揭露我國AI發展的7大原則及4大推動重點，共計18條條文，預告60天，後續施行日將由行政院決定
2. SpaceX 推出 Starlink Mini :體積較小且整合了 Wi-Fi 路由器的產品，免綁約的移動網路 (台灣不是販售地區)