2024.09 Note #10

資安動態

1. 新的 QR 碼網路釣魚活動(利用 Microsoft Sway) : 攻擊者利用 Microsoft Sway 托管假頁面，通過 QR 碼將用戶重定向到釣魚網站(目的是竊取受害者的Microsoft 365帳號)
2. New Eucleak attack lets threat actors clone YubiKey FIDO keys : Yubico旗下FIDO裝置，透過 side-channel 取得 ECDSA 金鑰(create a clone of the FIDO device)
3. FreeBSD得到STF近69萬歐元 : 重點在5點改善 1) Zero Trust Builds 2) CI/CD Automation 3) Reduce Technical Debt 4) Security Controls 5) SBOM Improvements
4. 中國駭客Earth Lusca打造跨平臺後門KTLVdoor: 以Go語言打造而成的跨平臺後門程式KTLVdoor，此惡意程式駭客經過高度混淆偽裝成各式公用程式，例如：sshd、java、sqlite、bash、edr-agent

程式工具/

1. [security] Go 1.23.1 and Go 1.22.7 釋出 :  3 security fixes 
   a. go/parser :  CVE-2024-34155 
   b. encoding/gob: CVE-2022-30635
   c. go/build/constraint: CVE-2024-34158
2. microsoft sbom-tool v2.2.8
3. 開源專案 Poku : JavaScript 的單元測試工具，號稱性能比 Vitest, Jest, Mocha 更好
4. JavaScript 打包工具 Rspack 正式推出 v1.0 : 用 Rust 寫的，速度比 Webpack 快超過十倍 ( 注意: 由字節跳動所開源 !?)
5. Elastic與AWS授權爭議落幕，Elasticsearch重新提供開源授權 : Elasticsearch除了SSPL和ELv2雙授權，現增加開源授權AGPL新選項 (授權爭議後轉往AWS的OpenSearch是不是來不及了? )
6. Docker-OSX映像檔儲存庫遭蘋果要求移除: 在Docker上安裝macOS測試的Docker-OSX映像檔儲存庫，上周遭到蘋果以侵犯著作權的理由，要求移除

漏洞

1. D-Link旗下路由器設備DIR-846W存在4個嚴重的RCE漏洞: 其中3個可在未經身分驗證的情況下利用，9月1日D-Link發布資安公告證實確有此事，但因為這款設備已於2020年終止支援（EOS），他們不會進行修補，呼籲用戶應停止使用。(CVE-2024-41622、CVE-2024-44340、CVE-2024-44341，以及CVE-2024-44342，CVSS風險評分介於8.8至9.8)
2. Red Hat Satellite 生命週期管理軟體身份驗證繞過漏洞(Foreman) : CVE-2024-7012 ，CVSS score : 9.8，影響所有活躍的 Red Hat Satellite 部署版本，包括 6.13、6.14 和 6.15
3. Apache基金會修補ERP系統OFBiz重大風險漏洞: ERP系統OFBiz漏洞CVE-2024-45195(CVSS 9.8)，並指出該漏洞能夠被用來繞過今年Apache基金會修補的3項弱點CVE-2024-32113、CVE-2024-36104、CVE-2024-38856
4. Kibana存在重大漏洞，可被用於執行任意程式碼 : Kibana安全性更新8.15.1版，修補2項重大層級的漏洞CVE-2024-37288、CVE-2024-37285
5. Microsoft SQL Server 權限提高弱點 : CVE-2024-37980，CVSS: 8.8

公司被害/資安事件

1. 勞發署出包！484部硬碟資料「一夕消失」　疑工程師輸錯代碼 : 資產管理系統下達指令中的 *.exe誤鍵為 * .exe（星號 * 後面多一個空白字元）
2. 台灣三洋電機遭駭 :
3. 駭客入侵農業部監視器　直播國軍部隊動態
4. 世鎧 遭受加密攻擊

AI 動態

1. Google: Project Green Light(綠燈計畫): 這篇文章(How Google uses AI to reduce stop-and-go traffic on your route — and fight fuel emissions) 說明了如何利用AI來優化交通號誌的計劃
   (a) 目的 : 減少停停走走的交通 + 降低燃油排放(預計減少10%)
   (b) 利用 Google Maps 數據 + AI 模型分析：AI 模型會測量交通流量，包括啟動和停止的模式、平均等待時間以及相鄰十字路口之間
   (c) 現有數據，無需投資新的軟硬體
   (d) 顯著減少停車次數： 次數減少高達 30%
2. 數位部擬於12月提出公務機關AI應用指引，要教機關評估AI工具、專案管理及做好風險控管
3. Lawsnotes QA : 法律界的Google，過去 AI 的幻覺問題，在法律層面是不可接受的，Lawsnote 利用搜尋檢索的技術整合LLM 變成Perplexity, FeloSearch 的法律版

科技動態

1. 桌機版Chrome瀏覽器終於能用Google Lens 智慧鏡頭，免鏡頭也能快速辨識