【資安日報】2月2日,美國下令聯邦機構限時切斷Ivanti Connect Secure與內部網路環境之間的連線並著手清查
· 2024-02-04

針對1月上旬公布的Ivanti Connect Secure零時差漏洞所造成的威脅,美國網路安全暨基礎設施安全局(CISA)下達緊急指令,要所有聯邦機構清查受害情況,並著手部署緩解措施

資安業者OneDegree針對臺灣30家壽險、產險業者調查其資安防護的情況,並依據網路服務、網站、電子郵件、帳號密碼、雲端安全等領域進行分析,並與2021年的態勢進行比對。結果發現,落差最顯著的是帳號密碼保護的部分,約有8成的業者使用的SaaS平臺發生帳密外洩的情況,其中最常使用及出現洩露帳密的服務,包含Adobe、Canva、Dropbox、LinkedIn等,而在帳密保護的評比上平均落在C級,這樣的情況相較於2021年的調查結果差異最大,當時平均為A級,僅有2成保險公司被評為C級。

而對於本次調查結果,研究人員推測有以下因素造成,其中之一是影子IT(Shadow IT)的問題,未被企業IT列管、卻被員工在工作場合私自使用的IT系統,很有可能被駭客拿來做為社交工程攻擊的媒介;另一個因素則是近年來快速發展的生成式人工智慧(GenAI),雖然ChatGPT能讓企業增加生產力,但駭客也同時拿來用於社交工程攻擊,企圖藉此讓員工帳密流入暗網。

但為何影子IT是導致帳密外洩的主要原因?研究人員並未進一步說明。但我們認為,員工使用影子IT的裝置或服務,企業IT並不知情,無法對其進行管理或是控制,再加上歷經3年的COVID-19疫情後,這種現象變得更加難以管控,而讓帳密曝險的情況惡化。

 

【漏洞與修補】

混合實境裝置Vision Pro上市在即,蘋果為其修補WebKit零時差漏洞

1月8日蘋果發表Vision Pro,預計2月2日上市,但在此之前,該公司對其進行修補。

31日蘋果對此裝置搭載的作業系統visionOS發布1.0.2版更新,當中修補了已被用於攻擊行動的零時差漏洞CVE-2024-23222,此漏洞存在於瀏覽器排版引擎WebKit,為類型混淆弱點。

但Vision Pro並非唯一曝險的蘋果產品,一週前蘋果也發布iOS 17.3、iPadOS 17.3、macOS 14.3、tvOS 17.3,修補行動裝置、Mac電腦、Apple TV上的漏洞。

Ivanti針對已出現攻擊行動的零時差漏洞著手調查,SSL VPN、NAC產品線又有新漏洞

3週前Ivanti公布零時差漏洞CVE-2024-21887、CVE-2023-46805,該公司SSL VPN系統Connect Secure(ICS)、Policy Secure(IPS)均受到影響,他們針對此事著手進行調查,結果發現了新的漏洞CVE-2024-21888、CVE-2024-21893。

其中,CVSS風險評分較高的是權限提升漏洞CVE-2024-21888,存在於Web元件,攻擊者一旦利用,就有可能取得管理員權限,風險評分為8.8;另一個是伺服器請求偽造(SSRF)漏洞CVE-2024-21893,存在於SAML元件,攻擊者能在無需身分驗證的情況下,用來存取受到管制的資源,CVSS風險評分為8.2。

值得留意的是,該公司指出已有部分客戶受到CVE-2024-21893攻擊,而且,該漏洞不光影響ICS、IPS產品線,也波及零信任閘道系統Ivanti Neurons for ZTA。

 

热门文章
BETFAIR 网络攻击80万用户资料泄露
游戏风向
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
首页
游戏
合作
发现
我的