訊息專區

中華資安國際Red Team團隊發現，國內某財產管理系統具有多項漏洞(CVE-2021-22856、CVE-2021-22857、CVE-2021-22858)，包括SQL Injection、任意檔案下載與跨權任意檔案上傳(RCE)弱點，影響範圍包含國內部分縣市政府。【風險等級】高度威脅【影響範圍】財產管理系統2021前的版本【細節描述】CVE-2021-22856：攻擊者對系統進行SQL injection攻擊，攻擊成功後可繞過系統登入機制，且可對資料下達任何資料庫查詢語法，此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。CVE-2021-22857：攻擊者可在不經過任何身分認證情況下,進行任意檔案下載攻擊，攻擊成功後可竊取伺服器上任何檔案，此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。CVE-2021-22858：攻擊者可在不經過任何身分認證情況下，進行任意檔案上傳攻擊，上傳功能未恰當的過濾的檔案格式與檔名，成功後便可執行任意程式碼。，此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此財產管理系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-22856)NIST(CVE-2021-22857)NIST(CVE-2021-22858)

狂賀中華資安國際同仁詹祐安榮獲2021雲端運算暨 AWS Jam 國際技能交流賽第二名！本次競賽主題為 Security on Cloud 雲端資安，以及其他Security、DevOps等主題。

恭喜本公司同仁 Wei-Chun Chang 榮獲IEEE邀請發表論文！本篇為IEEE VTC 2021-Fall的論文，IEEE VTC ( IEEE Vehicular Technology Conference) 為 IEEE VTS ( IEEE Vehicular Technology Society) 車載技術的旗艦會議，範圍涵蓋無線通訊、邊緣計算、自駕車技術、無人機技術等在國際研究上具有指標性的影響力。本公司同仁 Wei-Chun Chang 為第一作者，公司為中華資安國際。論文題目：邊緣計算的動態資源管理:資安和應用體驗質量的權衡論文摘要：由於5G和物聯網時代的發展，歐洲電信標準協會提出的行動邊緣運算，行動上網裝置透過異質性網路如智慧工廠網路和車載網路等可以低延遲的存取服務，此外，影音串流和線上遊戲的普及以及消耗網際網路半數以上的流量，因此，會有更多的邊緣運算伺服器部署在邊際網路以便卸載核心網路的流量，然而邊緣運算的伺服器因靠近接取裝置而更容易遭受攻擊，攻擊者可輕易透過多個受感染的物聯網裝置發動分散式阻斷服務攻擊，在此篇論文中，為了解決邊緣伺服器遇到的資安和資源管理的議題，我們提出邊緣計算的資源管理系統。 首先，在行動運算的服務中加入安全防護、影音串流和線上遊戲的應用，透過入侵偵測和防禦系統緩解分散式阻斷服務攻擊，並設計資源分配的演算法去分配邊緣應用程式的資源，比較不同使用者情境和攻擊種類，去分析和探討在有限資源狀況下的不同模型的結果，實驗結果顯示在攻擊的狀態下，我們的系統透過邊緣運算的資源管理可以有效的改善使用者體驗。IEEE VTC2021-Fall網址： https://events.vtsociety.org/vtc2021-fall/

中華資安國際獲得國際知名顧問公司 Frost Sullivan Awards 「2021台灣年度安全託管服務商大獎」（2021 Taiwan Managed Security Services Company of the Year Award)。

中華資安國際總經理洪進福10月28日參加Hitcon Defense 2021線上直播，分享資安防禦經驗。洪進福指出，良好的資安防禦，需要有層次性的計畫，首先是應用層，所有系統在開發時就需要帶入資安的概念，再來就需要在環境中佈署各類型資安設備形成縱深防禦，在管理方面，可以尋求專業的資安專家的協助以進行良好的資安管理，最後，所有資安防務的第一步，就是要了解需要防禦的範圍，也就是說資產盤是不可或缺的第一步。

全球知名顧問公司Frost Sullivan日前頒發「亞太最佳實踐獎」 (2021 Frost Sullivan Best Practices Awards)，中華資安國際獲得「2021台灣年度安全託管服務商大獎」（2021 Taiwan Managed Security Services Company of the Year Award)，為台灣首家獲得此一殊榮之資安專業公司。Frost Sullivan指出，中華資安國際是台灣電信龍頭中華電信的子公司，在台灣電信市場具有高度領先地位，這使中華資安國際具有優勢獲取眾多第一手網路攻擊情資，並致力提供企業更完整的資安專業服務，公司的資安專業團隊人數與營收獲利也規模有呈現倍數擴張，並積極進入MDR、OT與物聯網資安等領域。中華資安國際總經理洪進福對Frost Sullivan的肯定表達感謝，他指出，中華資安國際自2018年揭牌營運以來，員工人數從40人成長至今超過200人，營收與獲利也快速成長，2020年更繳出近9.5億元營收的亮眼成績單，已成為台灣資安市場的領導廠商，預期今年營運還會更上層樓。在專業部分，中華資安國際有能力發掘別人看不見的資安漏洞或缺口，已累積挖掘超過48個以上的系統軟體、網站、物聯網設備之重大公共漏洞和暴露(CVE)漏洞，更是國內唯一連年榮獲行政院資安服務廠商評鑑全數項目A級特優評價之資安公司，團隊更取得ISO 20000、ISO 27001、與ISO 17025證書，專業獲得肯定。洪進福表示，很榮幸獲頒『2021台灣年度安全託管服務商』大獎，中華資安國際身為資安服務領導品牌，具備堅強的資安核心技術，公司仍會持續精進，致力提供最專業可信賴的資安專業服務，並投入開發具高度競爭力的資安產品，為資安產業帶來更多能量，也成為政府與企業的強大後盾。中華資安國際也將持續強化服務涵蓋，除提供事前檢測、事中監控、事後鑑識應變與回復等服務，在近年來基礎建設、製造業環境遭受資安攻擊日益加劇下，更從IT領域進軍到OT領域，在防禦以及檢測兩個面向，持續提供企業全面且完整的保護力，協助各產業守護重要資產。中華資安國際擁有安全可靠『以電信網路為中心』的資安解決方案，協助國內15個縣市完成資安區域聯防，協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業，並獲得Enterprise Security 雜誌「Top Enterprise Security Startup in APAC - 2020」、BSI「資訊服務品質深耕獎」、中華徵信所「其他資訊服務業第一名」等知名獎項。

中華資安國際Red Team團隊發現，國內某電子簽核平台具有多項漏洞(CVE-2021-28171、CVE-2021-28172、CVE-2021-28173)，包括不安全的認證機制、Path Traversal與任意檔案上傳弱點，影響範圍包含部分國內企業。【風險等級】高度威脅【影響範圍】電子簽核系統4.0版本【細節描述】CVE-2021-28171：攻擊者可透過竄改特定Cookie值來偽造任意使用者，並以該使用者權限瀏覽網頁，此漏洞可歸類於OWASP TOP 10 2017之A2 - Broken Authentication類型中。CVE-2021-28172：攻擊者可在不經過任何身分認證情況下，下載伺服器上的任意檔案，此漏洞可歸類於CWE之22 - Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)類型中。CVE-2021-28173：攻擊者可在不經過任何身分認證情況下，上傳任意類型的檔案來達到遠端程式碼執行，此漏洞可歸類於CWE之434 Unrestricted Upload of File with Dangerous Type類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此電子簽核系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-28171)NIST(CVE-2021-28172)NIST(CVE-2021-28173)

隨著網路科技的快速發展，軟硬體持續不斷更新，企業網站面臨防不勝防的網站應用程式零日漏洞(zero-day vulnerability)，使得企業曝露在駭客勒索、資料外洩的高風險危機之下。中華電信為解決企業痛點，攜手中華資安國際推出「HiNet WAF網站應用防火牆」服務，在HiNet骨幹網路機房築起一道保護企業網站安全的護城河，透過佈署電信等級的資安設備，並結合中華資安團隊的頂尖攻防專家調校，協助客戶有效阻擋來自Internet的網站入侵攻擊或傀儡程式騷擾，守護網站安全零時差。國內網站平均存在四個高風險漏洞首測超過七成有機會入侵資料庫根據中華資安國際情資中心研究2021年上半年網站攻擊趨勢顯示，國內企業網站平均存在四個以上高風險漏洞，包含跨站腳本攻擊(XSS)、SQL注入攻擊(SQL Injection)、遠端程式執行碼漏洞或伺服器目錄遍歷攻擊(Server Directory Traversal)漏洞等，在剛上線且尚未經過資安檢測的網站中，更有七成可直接駭入或者取得資料庫內容，若沒有WAF(應用層防火牆)保護，這些網站將更直接暴露在駭客攻擊的高風險中。網站免疫力超前佈署月租服務可節省維護經費 中華資安國際總經理洪進福表示：「從經驗來看，企業網站可能因為系統軟體有漏洞、開發的應用程式有瑕疵、參數配置不正確等原因造成安全缺口，輕則網站資料外洩，重則網站遭駭，駭客登堂入室控制企業內部網路，導致嚴重的資安事件，損及商譽，正所謂千里之堤，潰於蟻穴，不可不慎。」HiNet WAF網站應用防火牆服務是守護企業網站安全的第一道防線，提供企業7x24全年無休的資安防護及管理，及專業團隊處理複雜的網站防護政策，減少管理負擔及風險，更可專注於本業；企業可依網站流量規模以月租方式租用，同時節省高額的資安設備支出與維運成本，更可彈性調整租用容量，省錢又有效率。全方位的資安團隊提供網站安全最佳方案 國內行動金融軟體領導廠商三竹資訊分享：「網站開發者如未能即時修正最新發布之網站零日漏洞，HiNet WAF網站應用防火牆服務也能提前給予安全、周延的網站防護服務；同時支援專業的資安攻防顧問，協助企業分析、判讀、應變最新的資安風險，同時提供網站設計團隊修補弱點的方向與諮詢。因應新型態攻擊及網站程式持續改版強化，有中華電信資安團隊快速調校WAF防禦策略，才能確保網站萬無一失。」目前已有多家政府機關、資服業、金融業、超大型連鎖量販業與學校採用「HiNet WAF網站應用防火牆」服務，想了解更多資訊，請撥打企業客戶服務專線：0800-080-365。

為響應政府DIGI+國家創新經濟、5+2產業創新等政策，協助產業數位轉型；搭配2021數位應用週「全球數位轉型台灣智慧共行」主軸，並聚焦產業及供應鏈資安議題，以通過資安能量登錄及自主認定為主，辦理「數位轉型資安共行」資安交流媒合會。中華資安國際將於9/28(二)下午3:00-3:30之產業資安威脅議題攻略場次，分享如何保護資料安全，邀請您一同參與。主辦單位：經濟部工業局執行單位：中華民國資訊軟體協會、工業技術研究院

數位轉型的大潮流下，網站已是公司業務發展最重要管道之一，越來越多商務均通過網站進行交易。但網站攻擊手法日新月異，稍一不慎就會成為入侵破口，根據Gartner報告指出，在保護企業網站應用最有效的技術中，WAF以73%高居首位。本次研討會將從「中華電信HiNet WAF網站應用防火牆服務」實際案例出發，透過中華資安國際專業服務團隊以及原廠資深顧問的經驗分享，說明如何運用此一服務有效阻擋來自Internet的網站入侵攻擊，提供客戶網站有效的護城河，維持企業網站正常運作。中華電信x中華資安國際x F5三強聯手，協助客戶快速部署HiNet WAF網站應用防火牆服務，強化縱深防禦安全機制。中華資安國際專業服務團隊分析最新攻擊手法電信等級備援機制F5進階安全策略管理、驗證、安全防護、與報表監控分析中華電信HiNet WAF/F5多層式防禦協助企業阻擋網站入侵時間：2021/9/28(二)下午2:30準時開播立即報名！活動好禮三重送：第一重勤學禮統一超商500元商品卡、第二重幸運禮Apple Home Pod、第三重問卷禮全家便利商店49元超值早餐兌換券等多樣好禮等您來拿！主辦單位：中華資安國際、F5 Networks