2024.10 Note #12

資安動態

1. NIST 的密碼原則將禁止服務商要求「混合字元或連續重複字元」: 在 Special Publication 800-63B 這一份文件<Digital Identity Guidelines : Authentication and Lifecycle Management>中的 page 14，
   Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.
   # 驗證者對於密碼不應強制施加其他組成規則（例如，要求混合使用不同字符類型或禁止連續重複的字符）
   Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALLforce a change if there is evidence of compromise of the authenticator.
   # 驗證者不應要求任意更改（例如定期改密碼）記住的秘密。然而，如果有證據表明驗證者受到損害，驗證者應強制進行更改。
2. 密碼的逆襲！NIST 新指南擁抱常識，為何密碼仍是最佳安全防護:
   - NIST《SP 800-63-4 數位身份指南》長達三萬多字，其核心思想是將密碼選擇權交還給使用者，讓使用者為自己的密碼安全負責
   - 生物辨識技術看似安全，實則充滿風險。 你的指紋、臉部、虹膜等生物特徵皆可被輕易獲取，且無法更改
3. Kia網站漏洞可讓攻擊者駭入並控制車子，2013年以後車款受影響 : 示範影片中，研究人員照下車牌輸入開發的攻擊程式，即可成功存取車輛，並執行部份功能，像是車輛定位、開車門、發動車子、按喇叭等。其中數款還可以遠端啟動攝影機。
4. 金管會：電子簽章法修法為金融服務數位化發展提供重要基礎
5. 明碼儲存數位用戶密碼，Meta被愛爾蘭政府罰款9,100萬歐元 ：Brian Krebs報導2019年Meta的資安事件，估計共有2億到6億臉書用戶密碼以明文儲存，以致可為該公司2萬員工搜尋得到 #歐盟隱私法GDPR
6. 研究人員揭露鎖定數百萬臺Linux伺服器的惡意程式Perfctl
7. 數發部《網路詐騙通報查詢網》的App已經完成，並且開放下載測試 Android, iOS
8. 美國公用事業American Water遭駭客入侵 : 遭到駭客入侵，宣稱其供水或廢水設施，或是營運都沒有收到影響，但迄今該公司的官網與MyWater服務都還未恢復正常。

程式工具/

1. PostgreSQL 17 Released : 如 : 增加了 JSON_TABLE 功能，允許將 JSON 數據轉換為標準的 PostgreSQL 表、 在High concurrency情境下的寫入吞吐量提升了兩倍(透過改寫 write-ahead log (WAL))、  IN 查詢提高效能( B-tree indexes) 、 logical replication slot failover 跟 pg_upgrade 支援 migrate logical replication slot
   - 升級不再需要刪除Slot，簡化高可用性工作負載和主要版本升級的管理
2. LINE Notify結束服務公告 : 2025年3月31日結束本服務，費用的詳細資訊，請參考「Messaging API的費用」
3. google osv-scanner v1.9.0

公司被駭/資安事件

1. 台灣樂天信核處新臺幣250萬元罰鍰 :對資訊安全防護與客戶個人資料保護所涉缺失，顯示該公司未完善建立及確實執行內部控制制度
   - 未完善建立個人資料存取之管理機制
   - 未落實執行對防毒軟體告警訊息監測與處置之內部程序
   - 未落實執行高權限帳號控管之內部規範
   - 未按內部規範所定時程執行電子郵件查核作業等缺失
2. 第一銀行第e個網/青雲科技/緯創資通/聯電/台塑化/世芯 : DDoS

漏洞

1. TeamViewer修補兩個新揭露的高風險權限提升漏洞 : 高風險漏洞CVE-2024-7479、CVE-2024-7481，這些弱點有可能讓攻擊者提升本機權限，CVSS風險評分皆達到8.8，影響TeamViewer主機端（Host）與客戶端（Full Client）程式，該公司發布15.58.4版應用程式予以修補
2. pgAdmin存在重大漏洞，攻擊者可繞過OAuth身分驗證流程挾持用戶資料 ：pgAdmin 4發布8.12版，當中修補重大層級漏洞CVE-2024-9014，這項漏洞存在8.11版之前的所有版本，CVSS風險評分為9.9
3. Critical RCE Vulnerabilities Impacting HPE Aruba Networking Access Points: Aruba 網路設備的 Proprietary Access Protocol Interface (PAPI) 發現了三個嚴重弱點CVE-2024-42505, CVE-2024-42506, CVE-2024-42507，並發布了更新程式來修補這些弱點。嚴重程度等級為 9.8 分
4. Unix與Linux普遍內建的列印系統CUPS存在9.9分重大漏洞，攻擊者有機會遠端執行任意程式碼 : Unix通用列印系統（Common UNIX Printing System，CUPS）存在一系列的漏洞，攻擊者有機會從遠端連入具有此弱點的Unix或Linux系統，執行任意程式碼，並透露問題出在CUPS有CVSS風險評分達到9.9的漏洞，CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177，存在libcupsfilters、libppd、cups-browsed、cups-filters等元件。(使用者最好停用、刪除cups-browsed服務，並更新CUPS套件，若是無法採取以上措施，應封鎖所有UDP連接埠631埠的流量) 攻擊者就能從遠端進行惡意印表機的部署，若使用者利用這臺印表機進行列印，攻擊者的惡意指令就會在Unix或Linux本機系統執行
5. Microsoft ActiveX Data Objects 遠端執行程式碼弱點 : CVE-2024-43517，CVSS 8.8

AI 動態

1. 可100%破解reCAPTCHAv2的AI模型: 在解決人機驗證（Captcha）上的表現與人類相當，某些情況甚至超越人類，能夠100%繞過reCAPTCHAv2，並已於本月分享至開放的學術論文平臺arXiv (Breaking reCAPTCHAv2)
2. 微軟為Windows AI功能Recall加強安全功能 : Recall新增的安全功能，包括加密儲存、整合生物驗證功能Windows Hello，以及虛擬隔離區技術。首先，新版Recall中，快照（snapshot）和任何相關資訊都會保持加密儲存在向量資料庫中，加密金鑰經由晶片的信賴平臺模組（Trusted Platform Module，TPM）和用戶的Windows Hello進階簽入安全身份綁在一起，只能在虛擬化安全隔離區（VBS Enclave）中使用