訊息專區

中華資安國際數位鑑識暨資安檢測中心發現國際知名雲端攝影機之弱點(CVE-2023-38027、CVE-2023-38026、CVE-2023-38025、CVE-2023-38024)，指出此設備存在硬編碼之TELNET服務帳號、硬編碼明文之UBoot密碼、隱藏的TELNET服務開關功能以及命令注入弱點。遠端攻擊者不須權限，即可利用此漏洞執行任意系統指令，進而對系統進行控制，並中斷服務。【風險等級】高度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38027：攝影機之通訊協定存在命令注入漏洞。遠端攻擊者不須權限，即可利用此漏洞執行任意系統指令，進而對系統進行控制，並中斷服務。【風險等級】高度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38025：攝影機之通訊協定存在命令注入漏洞。遠端攻擊者不須權限，即可利用此漏洞執行任意系統指令，進而對系統進行控制，並中斷服務。【風險等級】高度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38024：攝影機存在硬編碼明文TELNET服務密碼並可以透過特定封包打開服務，攻擊者可以遠端登入對設備執行系統命令，最終取得控制權限。【風險等級】中度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38026：攝影機存在U-Boot硬編碼明文密碼，攻擊者可以輕易使用實體方式對設備進行串改，進而取得、串改檔案韌體系統內容，最終取得控制權限。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此設備，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：隨時保持產品更新於最新狀態。2.政府機關、企業：盡速聯絡軟體開發商修補，並通知使用者更新韌體。3.韌體開發商：建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報- Command InjectionTWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報 - Use of Hard-coded Cryptographic Key - 2TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報- Use of Hard-coded Cryptographic Key - 1TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報 - Command Injection

感謝臺灣好厲駭的邀請，學員們的成果發表十分精彩，活動圓滿落幕！歡迎各路好手加入中華資安國際！

8/25(五)2023政府機構數位技術應用研討會，由中華資安國際資安顧問鍾宜蒲專題演講從常見的資安問題，探討資安治理與因應之道。CIO/CIOS/CEO面對資安議題的常見需求與困境，例如：當法規的推陳出新，現況是否合規？資安管理制度如何導入？當新的漏洞、威脅情資或攻擊手法，能夠找誰協助持續了解掌握？中華資安國際之專家團隊能夠協助政府機構提出且實踐資安解決方案，幫助您突破困境！歡迎來信諮詢。

感謝友商TXOne邀請，中華資安國際8/23-26在台北國際自動化大展友商攤位展出 OT 資安服務，展出從制度、輔導、工控場域專用防護產品、到 7x24 監控的完整 OT 資安 Eco-system。

8/18(五)-8/19(六) HITCON CMT 2023 圓滿落幕！感謝大家的熱情參與！也恭喜成為種花大富翁的得獎者們~

現在攻擊者包裝惡意程式的花招百出，以往遇到 C/C++, Golang... 只要有課金都可以直接 F5，但這次竟然出現了 PHP ，還搭配商業殼加密，沒有 F5可按的我只好請出 AI 搭把手，當我的逆向小幫手！本講題分為四部分：Zend Engine 執行流程簡介加密殼的實現流程解析拆解加密殼的手法步驟著手訓練自己的 LLM 進行反編譯工作我們的鑑識小組於HITCON CMT 2023和各位分享如何解開加密殼，並訓練 AI 進行反編譯工作，讓我們更有效地理解和分析惡意軟體的行為！更多內容請見： AI 搭把手，推倒 PHP 加密源碼的高牆 | HITCON CMT 2023

恭喜代表臺灣參加 DEFCON CTF 2023 資安大賽的 TWN48 ，獲得第三名的佳績！中華資安國際是 TWN48 的贊助廠商，比賽活動現場有中華資安國際的旗幟，與有榮焉！照片來源：DEFCON CTF 臺灣團隊

第53屆於7/13~7/17盛大舉行，中華資安國際也以行動支持每一位參賽者。希望透過不斷地投注心力，協助培育出更多的優秀資安人才，讓世界更認識台灣！

專家根據紅隊檢測的經驗，提醒企業不可輕忽潛在邊界及供應鏈安全，並分享紅隊檢測實例，點出企業在資安防護上可能的盲點。「登上新聞報導的資安事件只是冰山一角，從資安業者的角度，真正發生的資安事件更多，正確妥善處理事件能夠避免擴散，產生災難性的結果」，中華資安國際檢測部經理林峰正在今年臺灣資安大會中表示。林峰正主要負責事前檢測部分，主要為紅隊檢測，他擅長從攻擊方角度，協助企業檢測防護上的弱點。在今年資安大會中，他以攻擊方的角度，分享如何看企業的邊界安全、供應鏈安全等等。他借用瑞士乳酪理論，嚴重事件的發生就像穿透每一層乳酪的孔洞，因此事件發生通常是一連串疏失導致的結果。從表面上看，通常會將事件發生的原因歸究於單一原因，但經過調查後往往會發現背後是一連串疏失導致的結果，資安事件也是如此。以發生勒索軟體攻擊為例，利用根因分析（Root Cause Analysis）發現一連串的疏失，駭客最初利用社交釣魚郵件，首先通過郵件防護偵測，在人員缺乏警覺心之下點擊信件，加上防毒軟體未能偵測攔截到變種勒索病毒，以及未做好網段主機隔離，主機在未更新下，致使攻擊擴散至各網段及服務主機，最後導致企業遭受勒索軟體加密攻擊。「解決資安事件時，我們希望將（乳酪）每一層的洞補起來，因為只要中間有一層斷開，事件就不會發生」，林峰正表示，以勒索軟體攻擊為例，即使前面幾層的防護都有疏失而未能攔下攻擊，但是網段主機如果作好隔離及更新，蠕蟲就不容易橫向移動，攻擊事件就不會發生。因此，資安事件調查，必需找出導致事件發生的多重因子，再進行多重修補。2022年中華資安在調查的上百件資安事件，惡意程式類型最多為WebShell（31%），駭客入侵手法，第1名是以對外服務的網站為主，第2名是取得有效帳號，林峰正指出，取得有效帳號在前幾年曾是入侵手法的第1名，因為受到疫情影響，不少企業使用VPN外部工作模式，從資安事件調查中發現，駭客取得有效帳號，在企業內部活動，即使降到第2名，但代表企業採用VPN遠端工作模式，難以辨別該帳號的使用者身分，需搭配身分安全保護方法，例如雙因子、裝置認證、FIDO等。林峰正表示，企業就像乳酪蓋成的城堡，邊界防禦如同一層一層的乳酪縱深防禦，上面有許多的孔洞，例如企業對外開放防火牆、開放部分服務、網站存在漏洞，內部使用弱密碼、網路隔離未落實等等，如果這些孔洞沒有被貫穿，攻擊事件就不會發生。企業作好防護的第一步是，先定義邊界，但現實的邊界可能比我們想像更廣闊，例如WFH將防禦邊界擴大到家庭的網路環境，但家用環境不會有DDoS、APT等防護機制，允許員工隨意攜帶辦公裝置、隨意插USB，造成風險大增。物聯網設備增加邊界的資安風險林峰正表示，儘管企業委託資安業者每年檢測核心系統，例如官網、交易平臺安全，但是從資安事件調查的經驗來看，很多是從意想不到地方發生，邊界系統反而是脆弱點，這些邊界系統包括雲端空間、次級系統（例如訪客登錄、打卡系統）、IoT裝置（IP Cam、印表機、電視、視訊系統）、外包系統（員工訓練、公文系統）等等。物聯網為企業帶來新的入侵攻擊面，例如駭客利用電話線及傳真號碼攻陷印表機，或是從智慧溫度計的無線介面入侵取得賭場資料庫的資料，或是利用裝置的麥克風及揚聲器，利用聲音進行數據傳輸，還有從掃地機器人監聽特定的對象等。林峰正表示，駭客可以取得物聯網裝置，找出其系統韌體中的漏洞加以驗證。他所帶領的檢測團隊就曾經研究多媒體機，發現在特殊觸控模式下可進入除錯工程模式，搭配舊版系統已知漏洞升級權限，成功入侵系統底層，任意安裝App，並取得最高權限。供應鏈從作業系統底層、韌體到App，每一層由不同開發商負責，經過系統整合後提供給消費者，如果每一層埋下後門的工程模式，整個供應鏈留下多個後門。因此，企業作管理供應商時，應要求供應商不要留下後門，不要開啟除錯模式等等，否則最後的系統整合商並不清楚存在哪些後門。另一個紅隊檢測的案例是，儘管保全人員就在一旁，仍可從櫃檯的訪客電腦入侵至內網。入侵的手法利用訪客電腦防護上的疏忽，先解鎖瀏覽器proxy、訪客模式限制，再利用另存新檔，瀏覽器功能寫入檔案，突破檔案瀏覽的封鎖，再執行命令列，進而發現公用電腦與企業內網連接，再以PowerShell或免安裝工具掃描網段，發現未設有身分驗證的檔案分享目錄，之後發現資產管理代理程式、維運用提權程式、Script，再從伺服器記憶體中取得OS密碼，成功以管理者身分登入其他內網主機的遠端桌面。「企業在安全防禦上難免會有盲點，透過檢測或駭客角度可以找出這些盲點」，林峰正說。其他類似的實體入侵手法也可用在ATM、機上娛樂系統、繳費機、門禁發卡系統、博物館導覽互動系統等等。除了有形的邊界，無形邊界也是容易被忽略的一部分，例如企業常用的Wi-Fi，因為無線網路溢波問題，駭客只要利用可攜式設備、高功率天線就可能從外部設法接取，無線AP、投影機、事務機等設備可能開放管理界面、較弱的SSID密碼保護，這些也讓駭客有可趁之機，其他無線通訊技術，如藍牙、LoRa也增加攻擊面及資料外洩管道。林峰正的團隊還曾發現，企業專門提供給訪客使用的Wi-Fi，曾有員工基於方便的原因也使用訪客Wi-Fi，該名員工為開發人員，在其電腦上架設CMS管理服務，使用預設帳號密碼，加上未修補CVE漏洞，在使用同一個訪客Wi-Fi之下，讓檢測團隊成功入侵取得企業官網的原始碼。「過去滲透測試選擇系統進行測試，不太可能測試到這樣的情境，需要從不一樣的角度去檢測」。從紅隊檢測實例看供應鏈安全風險無論企業為邊界築起的城牆有多高多厚，還是要打開城門開放進出，例如以VPN供外部員工、供應商使用，但如果供應商是豬隊友，可能為企業帶來更大的資安風險。其中軟體開發供應鏈風險不容輕忽。法務部調查局資安工作站在2020年曾發出警告，10個政府單位、4家資訊服務商受到中國駭客組織所滲透，駭客攻擊政府單位手法，利用資訊服務商的VPN特許帳號進入，或取得程式碼利用高風險漏洞進行攻擊。而從開發流程看APT攻擊手法（下圖），從過去的案例可以發現，從開發、更新、維護都可能遭受攻擊的風險，例如對開發工具加料，或是對開放原始碼加料，加入挖礦程式，在更新網站或是下載網站掛馬，或是對開發人員釣魚發動內部攻擊等等。駭客對軟體供應鏈進行攻擊，以駭入鎖定的目標，例如2020年底發生的SolarWinds事件，就是駭入網路監控產品SolarWinds Orion平臺，在Orion植入後門程式，通過軟體更新，入侵使用Orion的企業及政府單位，此一攻擊避開美國的網路攻擊防禦系統Einstein偵測，美國國土安全部以緊急指令，要求使用單位關閉SolarWinds。林峰正也分享紅隊的檢測實例，從測試環境找到漏洞，以入侵正式環境。檢測人員先蒐集供應鏈情資，選擇從目標（受測對象）的網站開發商著手，發現該開發商將A、B、C客戶的系統測試站都設在同一個Web主機，便利用入侵系統B測試站，取得同一主機上的系統C原始碼進行分析，再利用找到的系統C零時差漏洞，入侵系統C的正式站。甚至，還有開發商將客戶的程式碼放在GitLab，由於沒有做好控管，致使程式碼曝露在外網。他建議企業做供應鏈的安全管理，應該分層、區分責任，可以參考Cloud Security的SRM（Shared Responsibility Model）模型，企業委外時應區分不同層級，以及委外的工作類型畫分責任。從近10個紅隊檢測的實例來看，不少的入侵管道和程式開發有關，因此開發的安全性相當重要。根據中華資安2022年資安檢測統計，針對約290家機關或公司，1,500個以上系統的高風險漏洞類型統計，前10大高風險漏洞統計，前3名為XSS跨站腳本攻擊、SQL Injection、權限跨越。林峰正認為，前幾大漏洞類型的變動不大，對人員進行開發訓練時，掌握這些漏洞，約可杜絕8成的漏洞風險。此外，企業可以導入安全程式開發流程（SSDLC），從需求評估、標準文件、教育訓練、作業整合落地端，確保業務可以執行，例如訂定安全程式碼的開發範例。如下圖所示，紅隊檢測可為企業界定防禦的邊界，協助評估潛在面臨的風險：然而，林峰正也直言，企業必需認識到紅隊演練有其侷限性，由於是針對系統的深度測試，因此並非做完紅隊測試，代表所有系統都是安全的。有些企業期望紅隊演練來磨練自家藍隊的實力，他認為對等的交手才能使藍隊進步，此外，紅隊演練終究是黑箱測試，可能僅能發現外部表面的問題，加上由外而內的強化，內部的問題不一定修補。還有，紅隊演練的效益會逐次下降，企業不能過分倚重紅隊檢測，應該重視資安投資的平衡性。當企業界定好防護的邊界，並縮小攻擊面，採用安全設備、建立安全架構防護措施後，林峰正認為，人員是最後一道防線，只有透過定期教育訓練、事件案例分享、社交工程、紅隊演練等方法持續提高人員的資安認知。如同一開始提到的乳酪理論，透過加強各種縱深防護避免事件發生，如漏洞管理、改善SOC監控規則、端點安全強化、流量監控、增加可視性等等。全文詳見：資安專家從紅隊演練實例剖析企業如何強化邊界、供應鏈安全 | iThome

獨家SOC+MDR 724小時主動回應惡意威脅(上圖為群益金鼎證券副總經理丘建華)金融產業向來是嚴重遭受駭客攻擊的行業之一。群益金鼎證券在保護商譽與資產前提下，引進獲得 2022 COMPUTEX Best Choice獎項肯定之中華資安國際SOC+MDR服務，強化整體資安防護力，提升市場整體競爭力。在獲取龐大經濟利益的誘因下，擁有大量客戶個資的金融產業，一直是駭客組織鎖定的攻擊目標，全球各地不時傳出金融業者遭到入侵的憾事，損失金額與商譽難以估計。為了保護公司商譽、數位資產，並符合金管會的法規要求，強化資安防護力已成為台灣金融產業的共識。群益金鼎證券在強化回應惡意威脅能力的前提下，選擇中華資安國際的SOC+MDR服務，除有助於掌握最新資安威脅狀態外，也可讓寶貴資安人力用於其他更高價值的專案上。群益金鼎證券副總經理丘建華表示，「群益金鼎證券致力為客戶提供安全無虞的交易環境，保護客戶數位資產之外，也全力降低公司的營運風險，以落實永續經營的企業理念。在台灣眾多資安服務公司中，中華資安國際是唯一可提供SOC結合MDR服務的業者，能大幅提升群益金鼎證券的整體資安防護力，強化本公司在金融市場中的整體競爭力。」駭客攻擊手法多變 引進資安服務迫在眉睫在台灣證券市場以良好服務獲得眾多用戶肯定的群益金鼎證券，長期投入整合集團金融服務，致力打造全球最佳金融科技服務平台，讓客戶能在最安全、最便捷的環境下進行交易。隨著 AI應用於金融服務領域範圍越來越廣泛，擁有系統自主研發及客製化能力的群益金鼎證券，亦將 AI技術運用於證券交易、資產管理和投資策略等領域。透過AI技術分析大量客戶資料，協助第一線業務同仁了解客戶的偏好、需求和行為模式，提供最合適的產品、服務、投資建議等。群益金鼎證券向來非常注重資安防護工作，除早已通過ISO 27001驗證外，也運用PDCA（Plan-Do-Check-Act）規範，定期執行查核與改善等作業，持續維持ISO驗證之有效性。另外，為貫徹資訊安全策略，確保所有資訊與資訊資產獲得適當保護，也參照金管會推動的金融行動方案1.0/2.0，及證券期貨業的永續發展轉型執行策略，持續強化相關規範及防護措施。然而考量到駭客攻擊手法日新月異，群益金鼎證券希望引進專業資安服務公司的協助，以便能因應日益嚴峻的資安挑戰。丘建華指出，金管會對金融產業的資安要求非常嚴謹，從資安防護制度到設備紀錄保存等，都必須符合相對應的法規要求，對資安團隊是非常沉重的壓力。另外，儘管金管會已成立 F-ISAC 平臺，但若要將威脅情資融合到資安防護機制中，也需要資安團隊投入大量人力。鑑於資安人才尋覓不易，加上公司資安團隊的工作負擔繁重，需要外部資安團隊的技術支援，在考量團隊服務能量、成功案例等因素下，群益金鼎證券最終選擇引進中華資安國際的SOC+MDR服務。五項資安服務評比A級肯定 唯一提供SOC+MDR服務行政院的資安服務廠商評鑑中，中華資安國際是唯一在五項資安服務評比中，都取得A級評鑑的業者，具備國家級資安專案建置能力與實績，可提供防禦規劃、紅隊演練、駭客攻防、資安檢測、 SOC監控、事件處理等服務。在台灣市場深受肯定的中華資安國際的SOC服務，是唯一可整合MDR雲、網、端監控的資安監控與應變服務商，具備針對新型攻擊手法提供深入完整分析的能力，並可利用MITRE ATTCK框架精確定義攻擊的手法與階段，幫助企業大幅強化資安可視性。該公司運用人工智慧與機器學習技術，自主研發多項自動化工具與預警系統，如動態沙箱檢測（Sandbox）與誘捕（Honeypot）系統等，可有效獵捕駭客攻擊手法，並透過多維度關聯分析方式，大幅提高資安預警的準確度。截至目前，中華資安國際SOC服務，已連續8年獲得行政院資安評鑑A級，並榮獲 2022 COMPUTEX Best Choice 獎項肯定。「當初評估市面上資安服務公司時，我們考量公司的規模、擅長領域等，畢竟每個產業面臨的資安挑戰不同，中華資安國際耕耘金融產業多時，深受金融用戶肯定，顯示該公司擁有非常不錯的服務能量。」丘建華解釋：「在深入了解中華資安國際服務內容後，發現該公司提供事前的威脅預警情報、事中的威脅即時告警，以及事後的威脅分析建議等，且能因應群益金鼎證券需求，提供多元威脅獵捕方案，讓本公司可有效管理各種資安警訊，讓公司資訊單位能專注於其他專案上。」SOC服務主動回應威脅 同步掌握資安事件全貌過往，群益金鼎證券資安團隊必須從不同應用系統主機、資安設備等，將資安威脅情資匯入資料庫之後，再逐一進行比對與分析，確認威脅事件之間是否有相關聯、異常或可疑威脅等，往往需要耗費大量人力與時間。現今引進中華資安國際的SOC+MDR服務後，前述繁瑣工作都可交由中華資安國際的資安專家協助處理，且能享有724小時的全天候服務。一旦發現威脅跡象，中華資安國際的 SOC服務會在第一時間自動回應，群益金鼎證券資安團隊也會同步收到相關訊息，掌握威脅事件的全貌。丘建華表示，引進中華資安國際的SOC+MDR服務後，順利提升群益金鼎證券掌握資安事件的可視性與精準度，目前群益金鼎證券系統已全面導入監控，讓全公司獲得全面性的安全防護。因應全球資安事件不斷發生，群益金鼎證券將持續投入資安防護強化工作，期盼透過與中華資安國際深入合作，導入身分鑑別、設備鑑別、信任推斷等零信任網路機制。另外，公司資安防護策略也將從被動防守逐步走向主動防禦，所以也預計引進中華資安國際的紅隊演練服務，強化在第一時間處理資安事件的能力。更多內容請見：群益金鼎證券善用中華資安國際服務強化回應惡意威脅能力 CIO Taiwan