2025.01 Note #19

資安動態

1. 多國紛紛頒布電信業資安強化指引，因應中國駭客的惡意非法入侵 : 「增強電信通訊基礎設施可視性與防護指南」，目的是呼籲大家重視中國資助的駭客組織已成功滲透多家全球主要電信公司，並發動大規模網路間諜活動，因此提供最佳實踐，幫助電信公司的網路工程與防禦人員強化資安防護
2. 雲端破解 512 位元 DKIM 金鑰只需不到 8 美元 : 公開的RSA金鑰中提取私密金鑰，藉此模擬電子郵件的簽署並驗證這些偽造郵件是否能通過主要電子郵件提供商的DKIM驗證。測試結果： 通過（PASS）：Yahoo Mai、Mailfence、Tuta 失敗（FAIL）：Gmail、Outlook、Zoho、Fastmail、Proton Mail、GMX、OnMail 通過的表示攻擊者可以利用此漏洞偽造電子郵件，進行釣魚攻擊或其他惡意行為
3. iPhone 專用最新抓猴神器？手機解鎖、充電「全部監控自動報備」爆紅 :名為「Lookus」的APP，直呼比保護機密的監控系統MDM（行動裝置管理）還可怕，原來這款APP會一一報備使用者打開手機、充電、熬夜玩手機、邊走邊玩手機、接打電話、敏感設定、手機螢幕使用時間等
4. 美國政府公布智慧物聯網裝置的網路安全標章: 公布美國網路安全標章（U.S. Cyber Trust Mark），旨在推動智慧家庭聯網裝置符合進階網路安全標準，並鼓勵製造商採用標章以證明其產品的安全性
5. Matter公布新產品相容驗證作業(Driving Innovation with the Alliance Interop Lab and Two New Certification Programs)
   1) 方便Matter相容硬體產品獲得Google、蘋果等平臺大廠的承認
   2) 取得Matter驗證標章的快速通道再認證方案（FastTrack Recertification Program）: 發布軟體更新以修補不穩定、漏洞或更新功能，需再重新經過Matter認證的過程，造成時間及成本的浪費
   3) 組合認證方案（Portfolio Certification Program）多個成員的認證包成一個組合（portfolio），裝置廠商申請一次就能同時通過其他成員廠商的驗證
6. curl(libcurl, HTTP Hyper)、Prisma棄用，Rust
7. 代管.NET物件網域的CDN業者破產，微軟籲開發人員更新程式碼：CDN 業者即將易主，呼籲開發人員應儘速變更軟體內相關的連結。微軟以多個CDN提供.NET物件及更新版下載。其中以azureedge.net結尾，包括 "dotnetcli.azureedge.net" 和 "dotnetbuilds.azureedge.net" 的網域是代管在edg.io上。但是該網域代管CDN業者Edgio破產，並通知微軟移轉到新的CDN，未來也將使用新網域。微軟預期，前述二個網域未來幾個月內也會永遠終止。
8. KYC客戶識別受到挑戰，資安業者警告駭客於暗網系統性彙整能用於通過驗證的資料: 暗網發現一批資料，內含大量的身分證明文件、對應的臉部圖片，經他們確認這些資料就是駭客打算用來通過KYC驗證流程的工具
9. IntelBroker再度公布部分10月竊得的思科內部資料: 12月25日這些駭客公布了第二批思科資料，檔案大小約4.84 GB，涵蓋敏感資料，例如：軟體結構、網路組態、測試事件記錄、雲端伺服器映像檔、加密簽章、智慧財產等。駭客宣稱，這是他們竊得的4.5 TB資料一部分內容
10. 中華電信海底電纜疑遭陸貨輪拖斷 英媒：台灣向南韓求助: 國安危機?
11. Siri偷聽用戶對話挨告 蘋果將支付31億元和解金

公司遭駭

1. 新海瓦斯天然氣業者新海傳出遭遇勒索軟體攻擊，伺服器內部檔案被加密
2. 易飛網 遭駭 : 關閉虛擬私人網路，安排外部資安鑑識公司進行數位資安鑑識、檢視系統版本更新及升級、機房與系統平台對外資料之不明連線監測，將升級多因子認證登入系統及使用者防護檢測雙機制，持續提升公司資訊基礎架構之安全管控以確保資訊安全
3. 花蓮縣組團訪福岡城市交流個資外洩 :133頁個人資料在網路大公開 掃碼就能直接進入雲端硬碟，10多名參訪團成員的報名資料、護照影本、戶籍謄本都看得到，報名表上有出生年月日、手機號碼、身分證字號等個資全都露，連已報名、未入選者的個資也在雲端系統中

工具 

1.  Git 2.48.0 released

漏洞

1. 微軟12月修補的LDAP阻斷服務漏洞細節，指出攻擊者有可能藉此讓伺服器當機
2. 1. Windows LDAP嚴重、高風險漏洞：
      RCE漏洞 CVE-2024-49112(CVSS 9.8)
      DoS漏洞 CVE-2024-49113(CVSS 7.5)
   2. 研究人員驗證此漏洞可行性的系統是Windows Server 2022及2019，但他們認為此手法也能攻擊其他版本的Windows Server
   3. XBS@20241218 會議上有提及 MIS 要 Patch 公司內部系統以及請鼎新過來 Patch ERP
2. GitLab Patch Release: 17.7.1, 17.6.3, 17.5.5 :  CVE-2024-6324, CVE-2024-12431, CVE-2024-13041, CVE-2025-0194
3. Visual Studio 權限提高弱點 ：Microsoft Visual Studio 2022  CVE-2025-21405 CVSS 7.3 (High)
4. Security update for the Linux Kernel :  SUSE Linux遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料及繞過保安限制
5. Palo Alto Networks修補PAN-OS弱點 : CVE-2024-3393
6. 1. Palo Alto Networks修補防火牆移轉工具多項弱點 :CVE-2025-0103，此為SQL注入漏洞
6. OpenVPN 資料洩露漏洞 ：CVE-2024-8474 CVSS 7.5 (High)
7. Redis Database
8. 1. [CVE-2024-46981]  Lua library commands may lead to remote code execution  , CVSS 7.0
   2. [CVE-2024-51737]  RediSearch – Integer Overflow with LIMIT or KNN Arguments Can Lead to RCE. CVSS 7.0 (High)
   3. [CVE-2024-51480]  RedisTimeSeries –  Integer Overflow Remote Code Execution Vulnerability. CVSS 7.0 (High)
   4. [CVE-2024-55656]  RedisBloom –  Integer Overflow Remote Code Execution Vulnerability. CVSS: 8.8 (High)
8. Apache Traffic Control : [CVE-2024-45387] 存在 SQL注入漏洞CVE-2024-45387 CVSS 9.9
9. Rsync contains 6 vulnerabilities : allow a client to execute arbitrary code on a device

AI 動態

1. search the arXiv : 用自然語言搜尋 arXiv
2. GodView : 自然語言搜尋地圖，我輸入新北市台北市10大美食測試
3. IEEE: AI 可以透過「聲音」檢測高血壓 ： 實驗結果
4. 1. 第一個閾值（135/85 mmHg）: 女性的準確度為 84%，男性為 77%。
   2. 第二個閾值（140/90 mmHg）: 女性的準確度為 63%，男性為 86%。
4. OpenAI 目標從「AGI」轉向「Superintelligence」
5. 黃仁勳：「機器人的 ChatGPT 時刻即將到來！」
6. 1. 1. 買整套自動駕駛軟硬體有賣，單純要買晶片Orin/Thor/hyperion任君挑選也可
      2. Project DIGITS : 發表DGX-One個人超級電腦個人型的AI電腦 $3,000 美元(聯發科合作) 比傳統 PC 或 Mac 快數十倍，巴掌大小，能跑 200B 參數的模型，Nvidia 使用自己的作業系統 - DGX OS 6 (Ubuntu 22.04 with the latest long-term Linux kernel version 5.15)
      3. Agentic AI Blueprints：可以根據需求打造 AI 代理，自動化各種企業工作流程
      4. Cosmos 開放模型許可平台，應用於開發物理 AI 系統，包括人形機器人、自駕車等技術
      5. 新一代車用晶片Thor效能較前一代Orin提升20倍
      6. 輝達將與TOYOTA合作 開發下一代自動駕駛汽車

科技動態

1. Google Data Commons : google 發起的公開資料集
2. 書街老牌「天瓏書局」恐淪都更孤島