【資安日報】6月12日,微軟發布6月份例行更新,總共針對49個漏洞進行公告
支付動態 · 2024-06-13

本週二微軟發布6月份的例行更新(Patch Tuesday),當中修補已被公布細節的DNSSEC零時差漏洞CVE-2023-50868,後續發展有待觀察

上週臺灣資安業者戴夫寇爾針對他們向PHP通報的重大層級漏洞CVE-2024-4577提出警告,呼籲網站管理者儘速套用新版PHP程式,或是採取緩解措施,由於全球有近八成網站採用PHP,這項漏洞很快就有駭客將其用於攻擊行動。

在PHP於6日發布新版軟體修補上述漏洞,隔日Shadowserver基金會就發現密罐陷阱出現漏洞嘗試利用的情況。接著在6月8日,資安業者Imperva發現勒索軟體駭客組織TellYouThePass利用這項漏洞從事攻擊,他們看到對方成功觸發漏洞後,於受害伺服器上執行PHP程式碼,利用名為system的功能進行寄生攻擊,透過執行檔mshta.exe執行攻擊者網頁伺服器上的HTML應用程式檔案,從而部署勒索軟體並加密檔案。

華邦電發布重訊說明疑似發生資料外洩,起因是合作廠商遭駭

記憶體大廠華邦電子在6月6日傍晚發布資安事件重大訊息,說明他們合作廠商的資訊系統遭不明人士入侵,導致該公司疑似發生資料外洩的狀況。

根據華邦電子公告指出,這次事件主要是合作廠商資訊系統遭不明人士入侵,由於合作廠商向他們通報,指出與華邦電合作相關資料有外洩疑慮的狀況,因此,華邦電針對這樣的情況發布重訊說明。不過,他們並未明確指出是哪家合作廠商的資訊系統遭入侵。

其他攻擊與威脅

荷蘭指出中國駭客鎖定全球Fortinet防火牆漏洞從事的網路間諜活動受害規模擴大,逾2萬臺防火牆遭到破壞

中國駭客組織SecShow在全球進行大規模DNS探測行動

日本影音共享平臺Niconico傳出遭到網路攻擊,被迫暫停相關服務

 

【漏洞與修補】

微軟發布6月例行更新,修補已被公布細節的DNSSEC零時差漏洞

微軟於6月11日發布本月例行更新(Patch Tuesday),總共修補49個漏洞,其中有一個零時差漏洞,而引起關注。

此為網域名稱系統安全擴充程式(DNSSEC)的設計缺陷漏洞CVE-2023-50868,存在於DNSSEC驗證機制當中,假如DNS解析器使用NSEC3回應請求,攻擊者可藉由要求來自DNSSEC簽章區域的回應,就有機會讓實作DNSSEC驗證機制的解析器耗盡處理器的運算資源,CVSS風險評為7.5分,微軟為Windows Server 2012至2022版,發布相關的修補程式。

這個漏洞有幾個特別的地方,首先,這項漏洞CVE編號並非微軟自行登記,而是由資安團體MITRE所為,而且,登記的時間在今年2月13日,距微軟發布修補程式間隔達4個月。

整合開發環境IntelliJ存在重大漏洞,恐曝露GitHub存取憑證

6月11日軟體開發業者JetBrains發布資安公告,指出他們在5月29日接獲通報,存在整合開發環境(IDE)IntelliJ平臺的漏洞CVE-2024-37051,有可能會影響拉取請求而被用於攻擊行動,CVSS風險評為9.3分。

該公司指出,這項弱點影響IntelliJ平臺所有2023.1以上版本的IDE,只要開發者同時啟用他們提供的GitHub外掛程式,就有可能曝險。他們提供新版IDE及外掛程式修補漏洞,並呼籲開發者若曾透過這套IDE拉取GitHub專案,應註銷外掛程式所用的Token。

其他漏洞與修補

SAP修補Financial Consolidation、NetWeaver高風險漏洞

開源機器學習程式庫PyTorch存在重大漏洞,恐導致敏感的AI資料遭竊

 

【資安產業動態】

AWS雲端安全會議強調資安文化,揭露多項幕後資安利器

「追根究底,資安文化是一切的根源。」AWS資安長Chris Betz在6月11日於美國費城舉辦的雲端安全會議re:Inforce 2024中強調資安文化的重要性。他指出,高階主管對資安的重視程度是建立文化的重要關鍵,AWS執行長與資安主管固定每週五與各部門總經理、產品經理與開發人員面對面討論資安問題,由執行長固定撥出時間討論資安,足以傳達高階主管對資安的重視程度。

而為了讓資安落實能擴及全組織,AWS也透過資安守護者計畫,將資安團隊的資安專家派駐在各個部門,一起參與軟體開發流程,從Spring衝刺規畫會議、站立會議到資安審核,提供資安觀點的建議,既協助開發安全的軟體,也將資安最佳作法傳播到全公司上下。

同時,AWS也推動員工自主決策的文化,任何同仁發現資安問題時,都有權力自主判斷將資安問題立即升級至必要的等級。Chris Betz指出,在他過往任職的經驗中,資安問題等級的提升往往代表負面意涵,然而在AWS的資安文化中,反而是要獎勵能及早意識到問題嚴重性,從而讓組織可以更快速採取行動的同仁。

 

【資安關鍵人物】

社群發展要有意識進行傳承,更應提供舞臺並讓參與者有收穫

資安社群在臺灣資安產業的發展過程中,扮演重要的關鍵角色。臺灣駭客協會理事長、也是資安公司戴夫寇爾執行長翁浩正表示,早期資安社群的領導者,因為對資安有高度熱情並具備理想性,透過分享知識與組織活動為目標,成功凝聚志同道合的人。

由於資安社群擁有獨特的文化,例如各種次文化和迷因梗圖,翁浩正認為,這些文化元素為社群的參與者,提供歸屬感和向心力。此外,定期舉辦的活動也吸引了許多外界的人參與和投入。為了保持社群的發展和存續,翁浩正也意識到,社群的領導者必須開始進行有意識的傳承和管理,提供機會給新成員參與組織和活動,鼓勵他們發揮創造力和領導能力,這都有助於社群的持續發展。

 

近期資安日報

【6月11日】紐約時報證實內部資料流入地下論壇,程式碼儲存庫帳密資料外流釀禍

【6月7日】勒索軟體駭客RansomHub聲稱入侵老牌筆電製造廠藍天電腦,引起國際資安媒體高度關注

【6月6日】病理學暨診斷服務供應商Synnovis遭到勒索軟體攻擊導致倫敦醫院服務中斷,傳出是駭客組織Qilin所為

熱門文章
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
What’s on the SBC Summit Conference Agenda in 2026?
Marketing
Indiana online casino bill stalls in House committee
Regulation
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
Vietnam's tightening online gaming policy creates new market opportunities
Southeast Asia
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
British gambling levy rates confirmed for each vertical
Regulation
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
首頁
遊戲
合作
發現
我的