訊息專區

中華資安國際Red Team團隊發現，國內某電子簽核平台具有多項漏洞(CVE-2021-28171、CVE-2021-28172、CVE-2021-28173)，包括不安全的認證機制、Path Traversal與任意檔案上傳弱點，影響範圍包含部分國內企業。【風險等級】高度威脅【影響範圍】電子簽核系統4.0版本【細節描述】CVE-2021-28171：攻擊者可透過竄改特定Cookie值來偽造任意使用者，並以該使用者權限瀏覽網頁，此漏洞可歸類於OWASP TOP 10 2017之A2 - Broken Authentication類型中。CVE-2021-28172：攻擊者可在不經過任何身分認證情況下，下載伺服器上的任意檔案，此漏洞可歸類於CWE之22 - Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)類型中。CVE-2021-28173：攻擊者可在不經過任何身分認證情況下，上傳任意類型的檔案來達到遠端程式碼執行，此漏洞可歸類於CWE之434 Unrestricted Upload of File with Dangerous Type類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此電子簽核系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-28171)NIST(CVE-2021-28172)NIST(CVE-2021-28173)

隨著網路科技的快速發展，軟硬體持續不斷更新，企業網站面臨防不勝防的網站應用程式零日漏洞(zero-day vulnerability)，使得企業曝露在駭客勒索、資料外洩的高風險危機之下。中華電信為解決企業痛點，攜手中華資安國際推出「HiNet WAF網站應用防火牆」服務，在HiNet骨幹網路機房築起一道保護企業網站安全的護城河，透過佈署電信等級的資安設備，並結合中華資安團隊的頂尖攻防專家調校，協助客戶有效阻擋來自Internet的網站入侵攻擊或傀儡程式騷擾，守護網站安全零時差。國內網站平均存在四個高風險漏洞首測超過七成有機會入侵資料庫根據中華資安國際情資中心研究2021年上半年網站攻擊趨勢顯示，國內企業網站平均存在四個以上高風險漏洞，包含跨站腳本攻擊(XSS)、SQL注入攻擊(SQL Injection)、遠端程式執行碼漏洞或伺服器目錄遍歷攻擊(Server Directory Traversal)漏洞等，在剛上線且尚未經過資安檢測的網站中，更有七成可直接駭入或者取得資料庫內容，若沒有WAF(應用層防火牆)保護，這些網站將更直接暴露在駭客攻擊的高風險中。網站免疫力超前佈署月租服務可節省維護經費 中華資安國際總經理洪進福表示：「從經驗來看，企業網站可能因為系統軟體有漏洞、開發的應用程式有瑕疵、參數配置不正確等原因造成安全缺口，輕則網站資料外洩，重則網站遭駭，駭客登堂入室控制企業內部網路，導致嚴重的資安事件，損及商譽，正所謂千里之堤，潰於蟻穴，不可不慎。」HiNet WAF網站應用防火牆服務是守護企業網站安全的第一道防線，提供企業7x24全年無休的資安防護及管理，及專業團隊處理複雜的網站防護政策，減少管理負擔及風險，更可專注於本業；企業可依網站流量規模以月租方式租用，同時節省高額的資安設備支出與維運成本，更可彈性調整租用容量，省錢又有效率。全方位的資安團隊提供網站安全最佳方案 國內行動金融軟體領導廠商三竹資訊分享：「網站開發者如未能即時修正最新發布之網站零日漏洞，HiNet WAF網站應用防火牆服務也能提前給予安全、周延的網站防護服務；同時支援專業的資安攻防顧問，協助企業分析、判讀、應變最新的資安風險，同時提供網站設計團隊修補弱點的方向與諮詢。因應新型態攻擊及網站程式持續改版強化，有中華電信資安團隊快速調校WAF防禦策略，才能確保網站萬無一失。」目前已有多家政府機關、資服業、金融業、超大型連鎖量販業與學校採用「HiNet WAF網站應用防火牆」服務，想了解更多資訊，請撥打企業客戶服務專線：0800-080-365。

為響應政府DIGI+國家創新經濟、5+2產業創新等政策，協助產業數位轉型；搭配2021數位應用週「全球數位轉型台灣智慧共行」主軸，並聚焦產業及供應鏈資安議題，以通過資安能量登錄及自主認定為主，辦理「數位轉型資安共行」資安交流媒合會。中華資安國際將於9/28(二)下午3:00-3:30之產業資安威脅議題攻略場次，分享如何保護資料安全，邀請您一同參與。主辦單位：經濟部工業局執行單位：中華民國資訊軟體協會、工業技術研究院

數位轉型的大潮流下，網站已是公司業務發展最重要管道之一，越來越多商務均通過網站進行交易。但網站攻擊手法日新月異，稍一不慎就會成為入侵破口，根據Gartner報告指出，在保護企業網站應用最有效的技術中，WAF以73%高居首位。本次研討會將從「中華電信HiNet WAF網站應用防火牆服務」實際案例出發，透過中華資安國際專業服務團隊以及原廠資深顧問的經驗分享，說明如何運用此一服務有效阻擋來自Internet的網站入侵攻擊，提供客戶網站有效的護城河，維持企業網站正常運作。中華電信x中華資安國際x F5三強聯手，協助客戶快速部署HiNet WAF網站應用防火牆服務，強化縱深防禦安全機制。中華資安國際專業服務團隊分析最新攻擊手法電信等級備援機制F5進階安全策略管理、驗證、安全防護、與報表監控分析中華電信HiNet WAF/F5多層式防禦協助企業阻擋網站入侵時間：2021/9/28(二)下午2:30準時開播立即報名！活動好禮三重送：第一重勤學禮統一超商500元商品卡、第二重幸運禮Apple Home Pod、第三重問卷禮全家便利商店49元超值早餐兌換券等多樣好禮等您來拿！主辦單位：中華資安國際、F5 Networks

中華資安國際長期關懷弱勢團體，支持社會公益機構，今年中秋更以行動支持公益團體心路基金會，讓全體擁有身心靈皆富足的中秋節，並獲得高雄市政府頒發獎盃，感謝中華資安國際一同為公益付出。新聞來源：高雄市政府

三竹資訊的企業簡訊事業群採用中華電信「HiNet WAF網站應用防火牆」過濾惡意存取，確保網站免遭駭客癱瘓、竄改，贏得業界好口碑。三竹資訊為台灣大型資訊服務軟體業者，自1991年創立以來，經營方案主要聚焦於金融、證券相關之資訊軟體服務，結合科技應用與產業知識等核心價值，同時積極與硬體商及電信業者合作，三竹資訊旗下的眾多資訊系統皆為市場翹楚，包含金融智慧語音下單與行動資訊等服務，在台市占率均超過90%，同時商務簡訊的發送量亦居於全台之冠。導入「HiNet WAF網站應用防火牆」，維繫金融交易整體安全性三竹資訊的商務簡訊服務範疇涵蓋民生消費等各領域，特別是金融相關產業，例如，日常信用卡消費通知簡訊、網路銀行身份驗證簡訊等。三竹資訊企業簡訊事業群副總經理吳育霆指出，對銀行業者而言，簡訊認證服務也是金融交易的一環，因此流程中所有相關的環節都須比照相關金融資安管控要求，以確保整體交易過程的可靠度與正確性。為配合金融客戶打造更安全的服務環境，三竹資訊針對企業簡訊系統網站導入了中華電信「HiNet WAF網站應用防火牆」服務，以租賃方式快速強化網站的安全性，加上中華電信旗下的中華資安國際專業攻防團隊，協助進一步稽查、分析網站的連線是否為惡意的，及早阻斷潛在威脅，幫助三竹資訊以最少的資源提升企業簡訊系統的網站安全性。揪出不明連線，防護零日漏洞，及早阻斷網站被駭風險吳副總說明：「中華電信『HiNet WAF網站應用防火牆』整合了國際資安大廠的防護設備，能過濾來自駭客的惡意入侵，確保簡訊系統網站的完整與安全性；並於每日、每週、每月定時提供防護報表，除了可以給予三竹資訊參考外亦可提供給三竹簡訊服務之使用客戶作為查核佐證之用途，此外同時支援專業的資安攻防顧問，協助分析、判讀、應變，一方面滿足金融交易流程間的安全性要求，同時也能提供給網站設計團隊改善弱點的方向與顧問諮詢，即使網站開發者未能即時修正最新發佈之網站漏洞，HiNet WAF也能提前給予安全、周延的網站防護服務。」吳副總也分享了使用HiNet WAF資安統計圖表的經驗，從報表中就能觀察到所有進入網站連線的各種行為，這其中除了客戶的正常系統使用外，不乏有各大搜尋引擎的爬蟲程式來造訪，當然，也曾發現來自歐洲或中國等「行跡可疑」的連線。這些連線經過中華資安國際的專家團隊分析後發現，疑似是駭客集團透過自動化工具來連線「檢測」，企圖從網站中找到弱點。透過報表可以一目了然的掌握客戶連線狀況與潛在風險，進而利用HiNet WAF建立黑名單阻斷惡意連線，避免衍生更嚴重的資安損失。通過金融業例行資安稽核，滿足客戶續約所需安全感自今(2021)年3月完成了中華電信「HiNet WAF網站應用防火牆」建置後，三竹資訊從中獲得的最大效益，就是讓金融客戶群有更信賴的服務網站，而這種安全感是源自於專業的科學數據分析來佐證的。身為金融交易服務中的一環，三竹資訊轄下的服務經常會有來自客戶的資安稽查作業，也就是由業者的資安團隊、或其委託的第三方資安顧問公司到訪，針對系統、文件、管理流程等諸多層面檢驗，例如，資安防護系統是否具備完整報表、網站漏洞修正進度、軟韌體更新時程等，除了資訊系統面的技術問題，與系統相關的日常維運作業流程也會是客戶稽查的部分。「就商務簡訊系統的網站防護為例，這些資安稽查團隊會針對可能發生的入侵狀況提出疑慮，而三竹資訊就要備妥相關資料來佐證我們的網站與資訊系統有能力抵禦這類惡意攻擊，這時中華電信HiNet WAF紀錄的報表就能提供具公信力的佐證，為網站的安全性背書。」吳副總表示，三竹資訊合作的金融企業頗多，因此每年度都會有定期對三竹資訊的稽查工作，倘若安全防護不確實而導致稽查結果不理想，將無法得到客戶的信任以致可能面臨客戶流失，這是企業營運最不樂見的。報表分析詳實，助工程師修補網站漏洞為回應金融客戶高標準的安全稽核，三竹資訊會定期尋求專業的資安團隊協助網站進行弱點掃描與滲透測試，藉此揪出漏洞並加以補強，強化網站系統的資安防護力。針對網站防火牆的設置，吳副總表示，三竹資訊早在2019年就開始評估導入HiNet WAF來強化安全性，初期評估的方案為購入硬體設備；但由於建置成本較高，且維運這些設備必須要有專業的資安人員才能充分發揮其效益，然而資安人才的成本也很高，考量總體成本後只能暫時擱下，直到中華電信推出「HiNet WAF網站應用防火牆」，並經過充分了解服務內容後，決定嘗試導入相關方案。「中華電信集團是我們長期配合的資安夥伴之一，先前委託檢測網站弱點掃描時就觀察出他們的專業，除了技術領域的專業，中華資安的團隊表達與溝通能力也很全面，能幫助我們的工程師迅速掌握弱點的關鍵問題。」吳副總表示，部署「HiNet WAF網站應用防火牆」時，中華資安的團隊也都能積極協助調整HiNet WAF功能：「透過HiNet WAF導流後，提供給用戶瀏覽器的網站SSL憑證會有所異動，為了因應三竹資訊的網站所需，也配合改善網站SSL憑證機制，以符合客戶端的瀏覽器要求。」借力使力，打造讓客戶安心的資訊服務本身也是技術出身的吳育霆副總，多次提及資安專業團隊的重要性，他認為資安重要的是防護知識，也是導入資安方案時的必要考量。以「HiNet WAF網站應用防火牆」為例，需要專業人員針對最新的技術漏洞有一定程度的理解，不斷調校之後才能達到最佳效果，考量事業群內部暫無此類全方位資安專職人員的情況下，尋求中華電信集團的資安團隊這樣的專業服務，才能確保網站萬無一失。從報表與紀錄上觀察，三竹資訊在企業簡訊的網站防護成果相當顯著，配合中華電信集團的資安團隊協助，能為客戶打造出更安全可靠的資訊服務，隨著最新的「三竹智選股」、「三竹股市TV」等應用程式大受好評，三竹資訊也逐步規劃讓相關資安方案落實到各個資訊服務上，藉以構築更安全的系統環境，目標就是讓所有使用者都能從三竹資訊推出的服務中安心獲利。HiNet WAF: 請按此企業資安網站：https://secure365.hinet.net諮詢電話：0800-080-365新聞來源：iThome

隨著 5G、AI、物聯網等智慧應用興起，大量的設備增加了連網功能，舉凡網路攝影機、電視、燈泡、車輛、醫療儀器、工業製造機台等，新科技雖為智慧生活、智慧城市帶來了新契機，然而隨之而來的資安風險大增，引發眾多資安事件使得受駭的物聯網設備設備導致資料外洩、隱私受侵害、營運中斷、財務損失，甚至成為殭屍網路被用於其他攻擊，嚴重者更可能造成網路癱瘓或性命危害。針對智慧聯網設備營運安全防護，中華資安國際提供 IoT 物聯網資安服務，包括開發階段 SSDLC ( 安全的軟體開發生命週期 ) 輔導，協助設備商從根本提升系統安全性；於交付階段提供檢測服務，進行不同層面的測試，從硬體、軟體及無線通信界面，模擬駭客攻擊手法進行檢測，甚至以逆向工程手法，嘗試找出任何可能的入侵管道，以利事先修補漏洞。在物聯網設備上線營運階段，更協助監控與管理，超前佈署駭客誘捕蜜罐 ( Honey Pot ) ，一旦資安事故發生，即協助處理與鑑識。中華資安國際 IoT 服務說明。2020 年初國內曾發生 ISP 有近 300Gbps 大流量的 DDoS 攻擊事件，中華資安國際的專家團隊進行攻擊溯源與威脅誘捕，發現有高達22萬台特定型號的網路攝影機 ( IP Cam ) ，其中的3萬多台被入侵控制做為殭屍大軍，占有高達七成的攻擊量。在掌握駭客入侵管道與攻擊手法後，有效阻斷受駭的物聯網裝置，大幅縮短事件的應變時間，中華資安國際提供的網路資安聯防，助全台佈下嚴密的智慧城市防護網。中華資安國際至今協助多家IoT設備進行資安檢測，包括網路攝影機 ( IP cam ) 、門禁系統、數位監控設備 ( DVR ) 、印表機等設備，其中不乏許多國際知名且國內廣為使用之廠牌。現階段物聯網設備最常見的弱點包含對外曝露的管理界面、身份認證強度不足、連線及資料未加密等，不論是設備製造商或是使用設備之企業，都建議尋求專業資安公司進一步確認，從源頭提升 IoT 設備安全。除了擁有紥實的資安技術，中華資安國際在過去一兩年內累積挖掘了超過40個以上的重大公共漏洞和暴露 ( CVE ) 漏洞，其中不乏常見的物聯網設備的資安漏洞；此外，其「數位鑑識暨資安檢測中心」於去年正式通過 ISO 17025 認證，目前正在發展 IoT 資安檢測實驗室增項認證，可以提供企業針對 IoT 設備之逆向工程、模糊測試、滲透測試與資安規範檢測等。該公司長期致力於資安威脅情資之研究與追蹤，並將相關情資應用於「防駭守門員」等產品，協助企業用最簡單、最節約的方式，守護物聯網安全。近期亦參與「經濟部科技研究發展專案智慧城鄉生活應用補助計畫」的實際場域，協助進行全面像安全檢測，打造安全可靠的新世代智慧城市。中華資安國際協助國內15個縣市完成資安區域聯防，也協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，唯一連續三年獲得行政院資安服務廠商評鑑五項服務項目全數皆「A級」之最高評價，獨步全台。以多年的資訊安全攻防實戰經驗，提供事前檢測、事中監控、事後鑑識應變與回復的服務，一站式滿足政府及企業的資安需求，服務兩百多家政府機關及大型企業以及兩萬多家中小企業。新聞來源：工商時報

物聯網設備超出了安全控制的範疇，未受管的IoT和OT設備佔企業網路設備的30%以上。組織需要這些設備來支持自己的業務，但是又不能信任這些設備！物聯網設備存在巨大的網路安全風險，因為他們基本上不受監管，通常也都帶有漏洞，並且不受對外訪問的限制。很少讓參與採購的安全團隊發現，由於這些設備的構建方式極其多樣化，生命週期長，並且未得到傳統安全控制方案的覆蓋，因此保護這些設備非常具有挑戰性！CHT Security、Palo Alto Networks、鉅晶國際攜手線上開講，當天將有情境劇，以及辦公場域與醫療IoT OT資安參考架構介紹。各方專家開講，平時可是一位難求，機會非常難得！敬邀您於線上直播研討會一同探討IoT安全的重要性。●時間：2021/7/30(五)下午2:00-3:00，準時開播●費用：免費●LINE Points、藍芽喇叭、訂製造型面紙盒等多樣好禮等您來拿！●主辦單位：中華資安國際、Palo Alto Networks Taiwan、鉅晶國際●活動備註：1.電子禮券將於會後統整，以Email依序寄送兌換碼，故回填問券時請務必提供正確資訊。2.主辦單位保有報名資格審核權及變更活動內容、議程、講師、贈品等相關之權利。

全台受疫情影響，多數公司需辦理遠距或居家辦公，在讓員工方便辦公的狀況下，往往讓駭客有機可乘，對於資安經費有限的中小微企業來說更是一大風險，為保護廣大的用戶，中華電信與中華資安國際特別聯手推出早鳥優惠專案，搭配線路一起購買，資安防護閘道最高可享68折優惠，讓企業輕鬆享有最即時的防護 ! 員工順利辦公，網管輕鬆，老闆放心 !阻擋釣魚網站 ! 防病毒感染 ! 防駭客入侵攻擊 !與防火牆不同，不需設定、簡易安裝省麻煩！價格親民 ! 基礎防護最完整 !更多詳情請參閱活動網址：https://secure365.hinet.net/liteutm#

台灣長期以來極為重視高科技產業發展，也同時培植了極佳之資安實力，中華資安國際總經理洪進福認為國內資安公司可藉由拓展國際市場加速成長。Long-standing emphasis on high-tech development means Taiwan is well prepared to meet increased demand for information security. Jeff Hung (洪進福), general manager of Taipei-based CHT Security Co., sees the situation as a golden opportunity for homegrown companies to expand their target markets by going global. Established in 2018, the company is a subsidiary of Chunghwa Telecom Co., Taiwans largest telecommunications service provider. It offers security risk assessment and management as well as digital forensics for consumers, enterprises and government agencies, with its next-generation defense technologies receiving a U.S.-based Infosec Excellence Award and U.K.-based Infosec Quality Award.Given the rapidly changing threat landscape, cybersecurity solutions providers like CHT Security must continuously evolve to keep apace. The inclusion of cybersecurity in the six core strategic industries is a huge boon to those in the business, Hung said. The policy brings expanded government assistance with experimentation facilities, finance, talent cultivation, technology and regulatory frameworks.According to CHT Securitys Hung, public-private and cross-sector partnerships are also playing a crucial role in delivering results and meeting the policys objectives. For our part, were ready to team up with other ICT companies to bring secure products utilizing entirely homegrown hardware and software components to the international market, he said. Through collaboration and strong government support, Taiwan is set to become a worldwide leader in cybersecurity.(Photo by Chin Hung-hao, Design by Lin Hsin-chieh)Source:Taiwan Review