資安事件新聞週報 2020/6/15 ~ 2020/6/19





資安事件新聞週報 2020/6/15  ~  2020/6/19

1.重大弱點漏洞/後門/Exploit/Zero Day
GeoVision門禁控制設備 - Shared cryptographic keys
https://www.twcert.org.tw/tw/cp-132-3696-6601c-1.html

中華資安國際發現CVE弱點,日本知名電子郵件系統具有跨網站指令碼漏洞
https://www.chtsecurity.com/news/ca1c22e7-d523-4c8d-86c2-ebb43aa193df

WordPress 多個漏洞
https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/

蘋果電腦存在硬體漏洞?黑客5分鐘就可以入侵
https://kknews.cc/digital/x4elgmo.html

Intel CPUs Vulnerable to New 'SGAxe' and 'CrossTalk' Side-Channel Attacks
https://thehackernews.com/2020/06/intel-sgaxe-crosstalk-attacks.html

CVE-2020-13844 | ARM CPU SLS漏洞通告
https://www.venustech.com.cn/article/1/11830.html

79款Netgear路由器被曝遠程劫持0day,暫無補丁
https://www.secrss.com/articles/20405

Cisco WebEx 被發現記憶體傾印資安漏洞
https://www.twcert.org.tw/tw/cp-104-3717-c993a-1.html

多款Cisco產品輸入驗證錯誤漏洞(CNVD-2020-32900)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3228

IBM QRadar SIEM代碼問題漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4509

CVE-2020-10541 ZOHO ManageEngine OpManager安全漏洞-漏洞情報,漏洞詳情,安全漏洞
https://bit.ly/30YeHL8

UPnP協定漏洞波及數十億連網裝置,可造成DDoS攻擊
https://www.ithome.com.tw/news/138230

UPnP 安全漏洞危及數十億裝置 資料外洩 + DDoS 攻擊
https://unwire.hk/2020/06/17/upnp-attack/tech-secure/

LoRaWAN首曝通用安全漏洞,數億物聯網設備倍感“威脅”
https://tech.sina.com.cn/roll/2020-06-18/doc-iircuyvi9206277.shtml

Ripple20漏洞曝光:全球數億物聯網設備受到影響
https://www.cnbeta.com/articles/tech/992031.htm

恐危害工業、醫療、企業與家用數十億連網裝置,嵌入式TCP/IP函式庫含有Ripple20漏洞
https://www.ithome.com.tw/news/138291

Patch Tuesday 造成多廠牌印表機運作失常、找不到連接埠
https://www.ithome.com.tw/news/138231

快更新!美國國安局:駭客利用微軟舊漏洞掀攻擊潮
https://newtalk.tw/news/view/2020-06-15/421691

快回頭按更新!舊微軟 Windows 10「嚴重漏洞」掀攻擊潮
https://3c.ltn.com.tw/news/40714

【安全性更新又出包】Win10 更新傳災情,修補漏洞卻登出用戶帳號
https://buzzorange.com/techorange/2020/06/17/windows-10-bugs/

Microsoft Patch Tuesday for June 2020 — Snort rules and prominent vulnerabilities
https://blog.talosintelligence.com/2020/06/microsoft-patch-tuesday-for-june-2020.html

安全:Microsoft在.NET Core中更新DoS漏洞
https://news.sina.com.tw/article/20200617/35497028.html

WebAuthn Passwordless Authentication Now Available for Atlassian Products
https://thehackernews.com/2020/06/webauthn-passwordless.html

D-Link路由器存在六個資安漏洞,請儘速確認並進行更新
https://www.tcrc.edu.tw/new/new-list/d-link

D-Link 路由器多個漏洞
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10174

D-Link家用路由器被曝多個嚴重漏洞未修復
https://www.freebuf.com/column/240395.html

GTP協議存在漏洞,可被利用對蜂窩網絡進行DoS攻擊
https://www.venustech.com.cn/article/1/11824.html

Xiaomi MIWiFi Xiaomi_55DD資源加載漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16307

Zoom 緊急修補 2 個可導致遠端執行任意程式碼的嚴重漏洞
https://www.twcert.org.tw/tw/cp-104-3686-02709-1.html

Vulnerability Spotlight: Two code execution vulnerabilities in Microsoft Excel
https://blog.talosintelligence.com/2020/06/vuln-spotlight-excel-code-execution-june-2020.html

Vulnerability Spotlight: Remote code execution vulnerability in Firefox’s SharedWorkerService function
https://blog.talosintelligence.com/2020/06/vuln-spotlight-firefox-shared-service-june-2020.html

Vulnerability Spotlight: Multiple vulnerabilities in Siemens LOGO! PLC
https://blog.talosintelligence.com/2020/06/vuln-spotlight-siemens-logo-june-2020.html

Zero-day flaws in widespread TCP/IP library open millions of IoT devices to remote attack
https://www.helpnetsecurity.com/2020/06/16/flaws-tcp-ip-library/

New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking
https://thehackernews.com/2020/06/new-critical-flaws-put-billions-of.html

Oracle E-Business Suite Flaws Let Hackers Hijack Business Operations
https://thehackernews.com/2020/06/oracle-e-business-suite.html

Dijit 跨站脚本漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4051

Docker for windows 版本出現遠程控制漏洞
https://www.21ic.com/article/786866.html

2.銀行/金融/保險/證券/支付系統/ 新聞及資安
行動銀行用量大增! FBI警告:小心駭客針對金融App攻擊
https://bit.ly/2Y1uZ41

台新金控資訊長孫一仕:金融機構也開始得重視IoT資安風險,可用3步驟因應
https://www.ithome.com.tw/news/138221

數位理財通/開放銀行新階段 安控成關鍵
https://money.udn.com/money/story/9740/4632045

黃天牧任金管會主委 朝野一致按讚
https://times.hinet.net/news/22936662

黃天牧: 開放純網保 有五大前提
https://ctee.com.tw/news/insurance/286146.html

黃天牧:五招強化金融戰力
https://money.udn.com/money/story/5613/4637998

黃天牧提疫後「振興IPO」
https://udn.com/news/story/7239/4638174?from=udn-catelistnews_ch2

《金融》科技人轉戰金融 擬正面表列
https://bit.ly/2BbvFe6

金管會新主委首次與科技業者對話,更揭露金融科技發展藍圖3大構面與4業務重點
https://www.ithome.com.tw/news/138290

中銀香港客戶資料「被送中」 開戶借貸審查文件交廣西附屬公司處理 金管局批准
https://bit.ly/3hkZSYK

純網銀Line Bank年底開業 辦公室搶進信義區點石大樓
https://udn.com/news/story/7239/4638673?from=udn_ch2_menu_v2_main_cate

LINE Bank 進駐,共享辦公空間 JustCo 點石中心正式開幕
https://technews.tw/2020/06/16/the-largest-justco-centre-dian-shih-in-taiwan/

銀行業補破網 「應不會再發生」
https://tw.appledaily.com/headline/20200618/E6RDP4AFICTNTCIDPTP2ZFIFT4/

知名飾品Claire's官網遭植入信用卡側錄程式
https://www.ithome.com.tw/news/138258

從Visa併購Plaid案件談台灣開放銀行的發展
https://www.bnext.com.tw/article/58109/visa-plaid-open-banking

【小心電腦裡的 Chrome】駭客利用擴充功能上傳惡意程式,竊取用戶電郵、銀行資料
https://buzzorange.com/techorange/2020/06/19/google-chrome-security-weakness/

銀行業亞洲徵才增溫
https://money.udn.com/money/story/5599/4645596

金管會「金融科技發展路徑圖」四大重點、五大面向
http://iknow.stpi.narl.org.tw/Post/Read.aspx?PostID=16742

South African bank to replace 12m cards after employees stole master key
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/

3.電子支付/電子票證/行動支付/ pay/新聞及資安
黑掉雷蛇支付電子錢包APP(Razer Pay Ewallet)
https://www.sohu.com/a/401602020_354899

《2020全球付款研究報告》指出 台灣企業準時付款比例居亞洲之首、全球第四
https://www.storm.mg/stylish/2769519

Russian hacker releases at least 14,000 Mexican taxpayer IDs
https://www.scmagazine.com/home/security-news/apts-cyberespionage/russian-hacker-releases-at-least-14000-mexican-taxpayer-ids/

4.虛擬貨幣/區塊鍊/數位貨幣/相關新聞及資安
創始人意外身亡被曝 2.15 億美元財務漏洞,加拿大最大的交易所竟是“龐氏騙局”
https://www.chainnews.com/zh-hant/articles/970219876772.htm

礦池龐氏騙局 BitClub|創辦人潛逃印尼被逮補,以「投資挖礦名目」吸金 207 億
https://www.blocktempo.com/bitcoin-ponzi-scammer-arrested-by-jakarta-police-for-sexual-assault/

駭客冒充 SpaceX 頻道詐騙,2 天獲利 150 萬美元的比特幣
http://technews.tw/2020/06/14/hackers-posing-as-spacex-channel-to-scam-1500-thousand-usd-in-bitcoin/

三個 YouTube 頻道被駭,用以假借 SpaceX 名義進行比特幣詐騙
https://www.twcert.org.tw/tw/cp-104-3704-e1e6c-1.html

5.資安事件新聞

A.病毒木馬 / 殭屍網路 / 勒索軟體 / Adware /APT /後門程式/IOC
勒索病毒全球橫行!資安專家建議企業這麼做避免受害
https://newtalk.tw/news/view/2020-06-14/420741

勒索軟體防禦評估
https://www.fireeye.com/content/dam/fireeye-www/regional/zh_TW/services/pdfs/ds-ransomware-defense-assessment.pdf

QNAP NAS 設備漏洞遭勒索軟體攻擊,建議立即更新至最新版本
https://www.twcert.org.tw/tw/cp-104-3690-6ee46-1.html

美國頂尖航太供應商遭 Maze 勒贖軟體攻擊,損失資料量達 1.5TB
https://www.twcert.org.tw/tw/cp-104-3698-4a73f-1.html

本田汽車遭勒贖軟體攻擊,全球部分業務停擺
https://www.twcert.org.tw/tw/cp-104-3706-620d6-1.html

HONDA停工資安事件 疑EKANS新勒索病毒所為
https://news.cnyes.com/news/id/4492876

第一支手機病毒16歲了!誕生於2004年6月15日 靠發送加值服務簡訊撈錢
https://www.ettoday.net/news/20200615/1737888.htm

超過 300 種以上惡意軟體,利用肺炎全球大流行藉機肆虐
https://www.twcert.org.tw/tw/cp-104-3693-7456a-1.html

小心了,新版Thanos勒索軟體服務採用了可繞過大多數防毒軟體的RIPlace技術
https://ithome.com.tw/news/138229

Chrome擴充功能爆「資安漏洞」! Google急下架70↑惡意軟體
https://www.ettoday.net/news/20200618/1740841.htm

Android 間諜軟體ActionSpy, 用新聞網頁為餌進行漏洞攻擊
https://blog.trendmicro.com.tw/?p=64859

Ransomware: Hackers took just three days to find this fake industrial network and fill it with malware
https://www.zdnet.com/article/ransomware-hackers-took-just-three-days-to-find-this-fake-industrial-network-and-fill-it-with-malware/

India: Human Rights Defenders Targeted by a Coordinated Spyware Operation
https://www.amnesty.org/en/latest/research/2020/06/india-human-rights-defenders-targeted-by-a-coordinated-spyware-operation/

Valak Malware and the Connection to Gozi Loader ConfCrew
https://labs.sentinelone.com/valak-malware-and-the-connection-to-gozi-loader-confcrew/

Tor2Mine is up to their old tricks — and adds a few new ones
https://blog.talosintelligence.com/2020/06/tor2mine-is-up-to-their-old-tricks-and_11.html

Global Malicious Spam Campaign Using Black Lives Matter as a Lure
https://www.fortinet.com/blog/threat-research/global-malicious-spam-campaign-using-black-lives-matter-as-a-lure

Deep Analysis of a QBot Campaign – Part I
https://www.fortinet.com/blog/threat-research/deep-analysis-of-a-qbot-campaign-part-1

CRYSTALBIT / APPLE DOUBLE DLL HIJACK -- FROM FRAUDULENT SOFTWARE BUNDLE DOWNLOADS TO AN EVASIVE MINER RAGING CAMPAIGN
https://blog.morphisec.com/crystalbit-apple-double-dll-hijack

Cobalt: tactics and tools update
https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/cobalt_upd_ttps/

IcedID Banker is Back, Adding Steganography, COVID-19 Theme
https://threatpost.com/icedid-banker-adding-steganography-covid-19-theme/156718/

COVID-19 and FMLA Campaigns used to install new IcedID banking malware
https://blogs.juniper.net/en-us/threat-research/covid-19-and-fmla-campaigns-used-to-install-new-icedid-banking-malware

B.行動安全 / iPhone / Android /穿戴裝置 /App
我政府仍禁用Zoom 學者:資安治理落後他國
https://udn.com/news/story/6885/4632439

全球只剩台灣教育單位禁用 Zoom:已逐步改善資安
https://udn.com/news/story/6885/4632859

視訊軟體Zoom佮中國密切 咱國政府部門禁用
https://news.pts.org.tw/article/483429

你傳的訊息會被 LINE 看光光嗎?從通訊軟體的隱私議題,看中心化解法的極限
https://www.bnext.com.tw/article/58070/line-message-blockchain

德國推出匿名新冠App 可自願下載
https://bit.ly/2CeE4hk

WhatsApp點擊對話功能出包!30萬用戶電話號碼網上曝光
https://www.cheers.com.tw/article/article.action?id=5097095

散布疫情不實言論 推特大砍17萬個帳號
https://www.ftvnews.com.tw/news/detail/2020612W0115

【港版國安法】薯伯伯:資訊安全慎用通訊軟件
https://bit.ly/3cYmnQ0

手機充電站1分鐘收1元 民眾鑽漏洞狂印200張發票
https://www.ftvnews.com.tw/news/detail/2020613C07M1

手機竊聽準確率可達90%? 這一安全漏洞如何堵
https://kknews.cc/tech/zra4ypq.html

玩美移動聲明 App不會將用戶資料傳陸伺服器
https://udn.com/news/story/7238/4637032

最新協議漏洞或影響所有4G/5G手機
https://www.freebuf.com/news/240382.html

【發現漏洞!】當前 GPRS 隧道通訊協定,讓駭客找到機會攻擊 4G/5G 用戶
https://buzzorange.com/techorange/2020/06/17/mobile-internet-protocl-vulnerabilities-5g/

行動廣告軟體 已成為常見網路威脅形式
https://udn.com/news/story/7240/4636993

新詐騙?LINE傳「謎片」你點開「DIY」駭客側錄勒索
https://www.setn.com/News.aspx?NewsID=763122

Facebook Messenger 曝安全漏洞,攻擊者可利用該漏洞“爲所欲爲”
https://www.chainnews.com/zh-hant/articles/626495971500.htm

A Bug in Facebook Messenger for Windows Could've Helped Malware Gain Persistence
https://thehackernews.com/2020/06/facebook-malware-persistence.html

New Mobile Internet Protocol Vulnerabilities Let Hackers Target 4G/5G Users
https://thehackernews.com/2020/06/mobile-internet-hacking.html

C.事件 / 駭客 / DDOS / APT / 雲端/ 暗網/ 徵才 / 國際資安事件
公務機關面臨空前駭侵攻擊 五大防線守護資訊安全
http://www.netadmin.com.tw/netadmin/zh-tw/snapshot/B61054A543294D118A7D682FB5A790FF

暗網潛航——洋蔥路由—Tor潛航安全注意事項(上)
https://bit.ly/3fvTts6

暗網潛航——洋蔥路由—Tor潛航安全注意事項(下)
https://bit.ly/2UYcMCG

駭客狂攻5G 「暗黑騎士」資安基金夯
https://www.chinatimes.com/realtimenews/20200615004391-260410?chdtv

不是蘋果電腦還跑MacOS?敢賣黑蘋果小心被蘋果告到哭
https://news.sina.com.tw/article/20200615/35466424.html

惡搞警公務電腦/輕則懲處 重則吃洩密等罪
https://news.ltn.com.tw/news/society/paper/1379823

跨國網路賭博專騙中國賭客 半年賭資約台幣20億元
https://m.ltn.com.tw/news/society/breakingnews/3200651

博奕遊戲APP 半年坑殺大陸民眾20億台幣
https://udn.com/news/story/7321/4641963?from=udn-catebreaknews_ch2

全國1850犯罪集團 安省洗錢網絡先進
https://bit.ly/3ftUIbb

美光案啟示:內賊難防加強資安(廖宜恩)
https://tw.appledaily.com/headline/20200615/KFAIS2PBDDMKOL347AGC2Q5TIY/

聯電判罰1億理由曝光 美光檔案儼然「不能說的公開機密」
https://tw.appledaily.com/property/20200612/BI7VGI3XU3IEWCS3EMJYXI6K2I/

酒吧餐廳剛復業 紐澳最大啤酒公司遭網攻停擺
https://money.udn.com/money/story/5599/4631948

為守護台灣安全 資訊戰專家:大同應切割國安業務
https://www.secretchina.com/news/b5/2020/06/15/936644.html

大同案中資疑雲》 這些個資一旦被拿走 台灣資訊戰直接投降輸一半
https://bit.ly/37wNW1A

德國會遭俄駭客入侵 梅克爾擬制裁
https://udn.com/news/story/6809/4636888?from=udn-catebreaknews_ch2

專家告訴你,就算把密碼設置為「jK8v!ge4D」仍然不安全
https://www.techbang.com/posts/78988-experts-tell-you-that-even-setting-the-password-to-jk8vge4d-is-still-not-secure

史上最大的僱傭間諜活動之一?不知名印度 IT 工作室 7 年入侵上萬電子信箱
https://technews.tw/2020/06/13/obscure-indian-cyber-firm-spied-on-politicians-investors-worldwide/

稱澳洲遭受大規模駭客攻擊 總理:有國家在背後主使
https://tw.appledaily.com/international/20200619/OCPX3V3EYWAACFQOFZN7HQRFFI/

CIA史上最大遭駭案 網路武器部門被竊22億頁文件
https://newtalk.tw/news/view/2020-06-17/422579

美CIA報告:駭客工具研發小組連自身都未保護好
https://money.udn.com/money/story/10511/4641588

CIA史上最大資訊外流案 源於「資安管制太寬鬆」
https://www.ydn.com.tw/News/386777

中國黑客攻擊拜登競選團隊 是為竊取情報還是干預美大選
https://www.secretchina.com/news/b5/2020/06/13/936397.html

日本與歐洲多國製造業最近大舉遭駭,尤以能源產業為甚
https://www.twcert.org.tw/tw/cp-104-3691-9edc8-1.html

欲左右輿論 中共對臺開展「認知戰」
https://bit.ly/3da6Dta

前谷哥CEO:華為路由器傳輸的資訊 「毫無疑問」被中國掌握
https://ec.ltn.com.tw/article/breakingnews/3201977

港國安法曝漏洞!美司法部要求 Google 海底電纜繞過香港
https://technews.tw/2020/06/18/us-department-of-justice-requires-google-submarine-cable-to-bypass-hong-kong/

Hackers Target Military and Aerospace Staff by Posing as HRs Offering Jobs
https://thehackernews.com/2020/06/military-aerospace-hacking.html

InvisiMole Hackers Target High-Profile Military and Diplomatic Entities
https://thehackernews.com/2020/06/invisimole-hackers.html

AWS said it mitigated a 2.3 Tbps DDoS attack, the largest ever
https://www.zdnet.com/article/aws-said-it-mitigated-a-2-3-tbps-ddos-attack-the-largest-ever/

Cybersecurity risks in a possible US manufacturing resurgence
https://www.techrepublic.com/article/cybersecurity-risks-in-a-possible-us-manufacturing-resurgence/

中華電信校園資通訊人才線上招募開跑
https://www.storm.mg/article/2689030

培育新世代人才 中華電信祭出超過500萬高額獎金
https://www.chinatimes.com/realtimenews/20200616003489-260410?chdtv

中華電信子公司-資訊處(總部)-網路管理工程師
https://www.104.com.tw/job/6vcfd?jobsource=hotjob_chr

資安管理師
https://www.104.com.tw/job/5ii0u?jobsource=n104bank2

資安管理專業人員
https://www.104.com.tw/job/6nthj?jobsource=n104bank2

【資安】資安管理專業人員
https://www.104.com.tw/job/67bcx?jobsource=n104bank2

資安管理專才
https://www.104.com.tw/job/6hov3?jobsource=n104bank2

【資安】初階資安管理專業人員
https://www.104.com.tw/job/67bgp?jobsource=n104bank2

資深資安管理師
https://www.104.com.tw/job/6ylu4?jobsource=n104bank2

【資安】資深資安管理專業人員
https://www.104.com.tw/job/67b9e?jobsource=n104bank2

資訊_資安管理師
https://www.104.com.tw/job/6r1br?jobsource=n104bank2

LI3001-資安管理資深工程師/基礎資訊資深工程師-新竹區力行廠
https://www.104.com.tw/job/6mvmh?jobsource=n104bank2

網路管理及資安管理人員
https://www.104.com.tw/job/6c7x3?jobsource=n104bank2

D4000 資安管理工程師/資深工程師
https://www.104.com.tw/job/6yqfq?jobsource=n104bank2

資安管理師(資安防禦)
https://www.104.com.tw/job/5ii28?jobsource=n104bank2

D08-資訊資安管理專員/主任(越南、緬甸)
https://www.104.com.tw/job/6pi20?jobsource=n104bank2

網路暨資安管理師
https://www.104.com.tw/job/6smcw?jobsource=n104bank2

科技廠資安管理員
https://www.104.com.tw/job/5gljg?jobsource=n104bank2

網路管理/資安工程師
https://www.104.com.tw/job/6rzay?jobsource=n104bank2

【資訊管理部】資安顧問
https://www.104.com.tw/job/6jwy5?jobsource=n104bank2

儲備5G能量 中華電 8月招募600人
https://www.chinatimes.com/realtimenews/20200616000259-263401?chdtv

[台北] 臺灣大學計資中心誠徵碩士級資安人員
https://pttcareer.com/job/M.1592277816.A.B26.html

網路資安軟體服務工程師
https://www.104.com.tw/job/6yzqj

資訊安全工程師【SE三部】
https://www.104.com.tw/job/6ywg9

Software Security Engineer-資訊安全工程師
https://bit.ly/2Bpr1JO

D.資料外洩/個資法/GDPR/網路詐騙/網路釣魚/盜刷/假新聞
黑客利用Google免費程式 偷用戶瀏覽記錄數據
https://hk.appledaily.com/international/20200618/KNZDYMRSNSGCACRHJ5EIJJ2GRQ/

國際外送平台Foodora用戶個資72萬筆遭外洩!遍及全球14個國家
https://3c.ltn.com.tw/news/40721

Foodpanda母企逾72萬用戶資料遭洩露!香港亦有份
https://bit.ly/2ASiwqt

國際外送Foodpanda及其他國際外送平臺顧客資料外洩
https://www.twcert.org.tw/tw/cp-104-3711-3dcf1-1.html

才爆發駭客事件!「閃亮亮」60萬IG慘遭盜用「被消失」 7年回憶全毀
https://www.ttshow.tw/kol/69691/

盜號頻傳!鼓鼓IG慘遭盯上 一個動作成功救回
https://ent.ltn.com.tw/news/breakingnews/3201262

鯰魚哥粉專遭盜勒索2000美金 全靠這兩招完璧歸趙
https://bit.ly/3hl9WRr

被勒索2千美金!男星差點掰了57萬粉 2招成功擊退駭客
https://star.setn.com/News/760920

網購個資外洩差點被詐騙?他錄下對話全過程霸氣反擊
https://bit.ly/2BjDHld

男網傳防疫雙標假訊息 調查局約談送辦
https://news.sina.com.tw/article/20200612/35453780.html

網傳陳時中說「投罷韓」居家檢疫可外出 1網友遭送辦
https://www.setn.com/News.aspx?NewsID=760715

抗議引發網路襲擊:美國大量警察個人資訊遭駭客泄露
https://ek21.com/news/tech/200033/

FBI親授密碼這樣設最安全…全球最爛密碼一併大公開
https://cnews.com.tw/137200614a01/

防疫實聯制被刷身分證 蒐集個資亂象多
https://www.cna.com.tw/news/ahel/202006140106.aspx

駭侵者針對 Office 365 遠距工作用戶發動釣魚郵件詐騙攻擊
https://www.twcert.org.tw/tw/cp-104-3689-33dfd-1.html

Covid- 19 目標式釣魚郵件攻擊事件說明
https://www.twcert.org.tw/tw/cp-104-3703-f3aea-1.html

散播台港假消息 推特關閉17萬個中國網軍帳號
https://tw.appledaily.com/international/20200612/4TV3RUPV76OSWHOXQVZO3EDN7Q/

「快篩」釣魚郵件不上鉤:4模式、8破綻、3鐵則、6對策
https://secbuzzer.co/post/203

臉書提告歐美網路服務商!違法搜刮資料超過5千名受害者
https://bit.ly/3fI2heD

刑事局公布詐騙高風險平台 盼消費者提高警覺
https://udn.com/news/story/7320/4646848

Dating Apps Exposed 845 GB of Explicit Photos, Chats, and More
https://www.wired.com/story/dating-apps-leak-explicit-photos-screenshots/

Report: Niche Dating Apps Expose 100,000s of Users in Massive Data Breach
https://www.vpnmentor.com/blog/report-dating-apps-leak/

E.研究報告
錯誤配置K8s機器學習框架Kubeflow易招來挖礦攻擊
https://www.ithome.com.tw/news/138238

繞過WAF運行命令執行漏洞的方法大全
https://www.anquanke.com/post/id/208398

SSRF 漏洞危害大,應避免被利用攻擊內網應用!| 原力計劃
https://www.sohu.com/a/401419323_115128

洩漏機密的連結:Google 文件共享的資安意外
https://www.isecurity.com.tw/news-and-events/accidental-exposure-in-google-link-sharing/

SRC漏洞挖掘信息收集與挖掘技巧
https://www.freebuf.com/articles/web/237876.html

一行代碼引來的安全漏洞,就讓我們丟失了整個服務器的控制權
http://www.cocoachina.com/articles/898898?filter=rec

漏洞代碼調試(一):Strtus2-048代碼分析調試-(CVE-2017-9791)
https://zhuanlan.zhihu.com/p/146515591

小米Redmi 5 Plus 身份驗證繞過漏洞分析
https://www.4hou.com/posts/yMmg

Pwn2Own撰寫:感應自動化產品的突破利用三重奏
https://www.anquanke.com/post/id/208464

CVE-2020-5410 Spring Cloud Config目錄穿越漏洞
https://xz.aliyun.com/t/7877

空客安全團隊對SMBLost 漏洞的分析(CVE-2020-1301)
https://www.4hou.com/posts/Km58

CVE-2020-9296-Netflix-Conductor-RCE-漏洞分析
https://xz.aliyun.com/t/7889

D-Link DIR878路由器命令執行漏洞分析
https://www.freebuf.com/vuls/237533.html

D-Link 路由器曝多個安全漏洞
https://www.chainnews.com/zh-hant/articles/521238681170.htm

RCE姿勢學習:從存儲型XSS漏洞到RCE利用
https://zhuanlan.zhihu.com/p/148946753

攻擊者可利用'USB for Remote Desktop'中的漏洞添加虛假設備
https://www.freebuf.com/column/240749.html

OSSのSOAR『Shuffle』 Workflow作成
https://fatsheep.hateblo.jp/entry/2020/06/19/143907

Updates to Snort setup guides
https://blog.talosintelligence.com/2020/06/updates-to-snort-setup-guides.html

Real-time third-party code injection
https://medium.com/cloud-security/real-time-third-party-code-injection-4ac081acaac5

Dark Basin Uncovering a Massive Hack-For-Hire Operation
https://citizenlab.ca/2020/06/dark-basin-uncovering-a-massive-hack-for-hire-operation/

malware-indicators/202006_DarkBasin
https://github.com/citizenlab/malware-indicators/tree/master/202006_DarkBasin

SQLMap – Testing With SQL Injection
https://linuxsecurityblog.com/2016/03/12/sqlmap-testing-with-sql-injection/

EvilDLL - Malicious DLL (Reverse Shell) Generator For DLL Hijacking
https://www.kitploit.com/2020/06/evildll-malicious-dll-reverse-shell.html

Discover & Attack Raspberry Pi’s on a Network
https://linuxsecurityblog.com/2020/06/16/discover-attack-raspberry-pis-on-a-network/

IPv6 Exploitation in AD environment
https://medium.com/@browninfosecguy/ipv6-exploitation-in-ad-environment-b22a7c3ec8af

15 Best Security Tools You Should Have on Linux
https://medium.com/nuevas-ideas-digitales/15-best-security-tools-you-should-have-on-linux-327ef1681e8e

#BugBounty — Compromising User Account- ”How I was able to compromise user account via HTTP Parameter Pollution(HPP)”
https://bit.ly/30Ladr0

EvilPDF v1.1
https://github.com/thelinuxchoice/evilpdf

F.商業
光纖上網進入1G時代!中華電信「頻寬分流」、「上網守衛」滿足智慧生活需求
https://www.bnext.com.tw/article/57852/hinet202006

Bureau Veritas IoT資訊安全評等為客戶嚴密把關
https://www.digitimes.com.tw/tech/dt/n/shwnws.asp?cnlid=14&id=0000586604_IGO5EMR91EUVWW3ARMOBR

精誠用這3大策略進取全球 要挑戰千億市值
https://www.wealth.com.tw/home/articles/26152

ASRC 2020年第1季電子郵件安全趨勢
https://www.digitimes.com.tw/tech/dt/n/shwnws.asp?cnlid=13&id=0000586707_bet64b9y1qf8eg6bkjvsa

遠端工作資安評估
https://www.fireeye.com/content/dam/fireeye-www/regional/zh_TW/services/pdfs/ds-remote-security-assessment.pdf

零壹科技宣布成為Lucent Sky AVM台灣授權代理商『攜手強化並縮短客戶端應用程式開發流程』
https://www.zerone.com.tw/Content/Product/6B52AC959AFCA6D6

F5發布2019應用安全報告 有價資料外洩災情頻傳 攻擊者砲火瞄準API 試探漏洞弱點入侵竊資
http://www.netadmin.com.tw/netadmin/zh-tw/trend/2EAE8CF0A28E46449C9BA0F1F19D40C8

英特爾 Tiger Lake CPU「將」內建 CET 安全技術,白帽專家已研發出規避方法
https://technews.tw/2020/06/17/intel-will-soon-bake-anti-malware-defenses-directly-into-its-cpus/

維運工程師的救星來了!奔騰網路打造自動化維運平台,IT不必再 24 小時全年無休
https://meet.bnext.com.tw/articles/view/46531

Check Point揭密企業步入「新常態」後的首要資安任務
https://www.techbang.com/posts/79268-check-point-unveils-the-first-task-of-capital-security-after-companies-enter-the-new-normal

「鴻海研究院」正式成立 F3.0轉型升級全面啟動
https://money.udn.com/money/story/5612/4640910

資安業者Fortinet澄清非中國背景 保證絕對合法
http://www.netadmin.com.tw/netadmin/zh-tw/market/5065525FE78F42D48F24C30ECB57F51C

Solution Providers Can Now Add Incident Response to Their Services Portfolio For Free
https://thehackernews.com/2019/09/msp-incident-response.html

UEFI scanner brings Microsoft Defender ATP protection to a new level
https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/

Purposefully Insecure and Vulnerable Android Application (PIVAA): Part 1
https://medium.com/@timmccann222/purposefully-insecure-and-vulnerable-android-application-pivaa-part-1-6af8941b54d3

BurpCrypto
https://github.com/whwlsfb/BurpCrypto

G.政府
沈榮津接副閣揆 在野黨肯定也期待
https://bit.ly/37rYKhz

新任國安會資安諮詢委員由臺科大資工系教授李漢銘接任
https://tnews.cc/038/newscon141685.htm

經濟部組檢測團隊 助企業把關資安
https://money.udn.com/money/story/10860/4637615

李副總長慰勉外島駐軍 勉高科技守護數位國土
https://www.ydn.com.tw/News/386567

國家資安漏洞? 綠委:政府供應商具中國背景
https://udn.com/news/story/6656/4641036

國安大漏洞?綠委爆:國防、國安、調查局都採購這家有中共背景資安公司產品
https://www.cmmedia.com.tw/home/articles/21938

立委踢爆資安業者Fortinet產品來自中國,政府清查中,Fortinet喊冤
https://www.ithome.com.tw/news/138272

林俊憲:下架並禁購中國製疑慮資安產品
https://bit.ly/2AGqOSw

國安再爆漏洞!3名前立委助理涉犯共諜案 部會機密情資外洩中國
https://newtalk.tw/news/view/2020-06-18/423045

國安又出漏洞!前國會助理涉共諜案 3嫌深夜遭移送約談
https://www.ettoday.net/news/20200618/1740370.htm

鼻子過敏變死亡、驗孕變流產?健康存摺App就醫紀錄漏洞百出,健保署回應了
https://www.bnext.com.tw/article/58114/myhealthbank-error

我業者籲政府單位 全面盤點護資安
https://m.ltn.com.tw/news/politics/paper/1380591

資策會推廣物聯網資安認證 建立產業標準
https://money.udn.com/money/story/10860/4639731

16校採購1089支「海康威視」監視器 政院禁購清單無下文
https://news.ltn.com.tw/news/politics/breakingnews/3199928

超商買口罩會不會個資外洩?財政部告訴你安啦
https://udn.com/news/story/7238/4645022

斥資2.5億元跨國科技合作!台灣與瑞典37位研究員投入計畫
https://bit.ly/2Yhx2RM

談台灣數位身分證New eID、港版身分證、中國公安部eID
https://www.peoplenews.tw/news/bcb81f56-f3e4-4a3c-ba03-f1f59cbd0ff3

H.工控系統/SCADA/ICS
工業4.0重大駭客手法/假解密工具,真勒索/監視攝影機成第二受歡迎智慧家庭裝置
https://blog.trendmicro.com.tw/?p=64819

頂象發現並協助施耐德修復PLC漏洞,獲官方致謝頂象獲得施耐德致謝
http://china.qianlong.com/2020/0615/4285679.shtml

Siemens LOGO! Controllers存在超危漏洞,尚未修復
https://www.freebuf.com/column/240265.html

Mitsubishi控制器存在安全漏洞,攻擊者可干擾生產過程
https://www.freebuf.com/column/240264.html

Schneider Electric Easergy T300 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7508

I.教育訓練
109資安人才培訓課程審查結果-遴選結果公告
https://www.acwacademy.org.tw/109anrencaipeichengchaguo-linguogonggao/

Free Cybersecurity Training
https://www.fortinet.com/training/cybersecurity-professionals

How to use NMAP Script to find Vulnerabilities
https://hackingpassion.com/how-to-use-nmap-nse-scripts-to-find-vulnerabilities/

J.物聯網/IOT/人工智慧/車聯網/光聯網/深度學習/機器學習/無人機/人臉辨識
以色列最新間諜技術:「監聽」你家的燈泡
https://www.inside.com.tw/article/20056-Spies-can-eavesdrop-by-watching-a-light-bulb-variations

Spies Can Listen to Your Conversations by Watching a Light Bulb in the Room
https://thehackernews.com/2020/06/lamphone-light-bulb-spy.html

人工智慧用於高仿視覺詐欺 混淆視聽易陷信任攻擊  Deepfake技術親手實驗 感受深度造假影片威力
http://www.netadmin.com.tw/netadmin/zh-tw/technology/DCF13461B4D24363A7BBE6CE61A19788

How an IoT botnet attacks with DDoS and infects devices
https://internetofthingsagenda.techtarget.com/feature/How-an-IoT-botnet-attacks-with-DDoS-and-infects-devices

6.近期資安活動及研討會
數位轉型攻略:後疫時代企業生存法則 全球化沒有消失而是變形更數位了 6/22
https://event.ithome.com.tw/live/20200601/signup.html?v=1590718274?v=

設計新興雲端安全防護架構: Container & Serverless Security安全藍圖 6/23
https://bit.ly/2VzDodV

交通大學駭客書院 -     企業網域控管-Active Directory攻擊與防禦 6/27
https://hackercollege.nctu.edu.tw/?p=1164

CompTIA Security+ 國際網路資安認證班 7/4 ~ 7/12
https://www.iiiedu.org.tw/courses/msa293t2002/

數據分析與機器學習案例實務(三)影像分類技術 7/20
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3897&from_course_list_url=course_index

CYBERSEC 2020 臺灣資安大會 8/12
https://cyber.ithome.com.tw/

認證系統安全從業人員 SSCP 輔導班 9/5 ~ 9/13
https://www.iiiedu.org.tw/courses/asq902t2001/

邊緣計算系統之大數據與深度學習應用 9/11
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3895&from_course_list_url=course_index

數據分析與機器學習案例實務(四)應用實例 9/14
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3898&from_course_list_url=course_index


沒有留言:

張貼留言

資安事件新聞週報 2020/9/14 ~ 2020/9/18

    資安事件新聞週報 2020/9/14  ~  2020/9/18 1.重大弱點漏洞/後門/Exploit/Zero Day PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在安全漏洞(CVE-...