訊息專區

中華資安國際於SEMICON Taiwan 2023國際半導體展展出工控資安解決方案，包含OT資安健診、OT防護、OT監控應變，以及IEC 62443顧問輔導服務等，可協助單位滿足SEMI E187及E188資安防護要求。感謝SECPAAS邀請王信富副總於SEMICON Taiwan 2023國際半導體展分享OT Security Journey。劉叡經理於高科技智慧製造特展分享智慧製造資安威脅與防護實務。感謝各位蒞臨，我們明年見！

中華資安國際 @ SEMICON Taiwan 國際半導體展中華資安國際台北南港展覽館2館1F半導體資安專區 P5222 攤位展出，來攤位就送多項好禮，更有完整OT資安服務 等您來深入了解：OT健診、OT SOC、OT IDS防護、IEC 62443顧問輔導、還有更多資安服務。於 SEMICON專家開講 將由中華資安國際劉叡經理分享「智慧製造資安威脅與防護實務」。於 工研院SECPAAS資安主題館 資安Pitch show 將由中華資安國際王信富副總分享OT資安常見問題。中華資安國際 等您來！

7/10(一)新竹工研院場、7/12(三)台北場InnoServe大專校院資訊應用服務創新競賽「無人機主題」教育訓練，由中華資安國際劉叡經理專題演講資安對無人機領域影響及CMMC認證。中華資安國際為無人機資安聯合檢測實驗室成員，實驗室目標為：建立無人機資安檢測驗證機制：參考國際檢測規範，制定國內無人機資安保障規範，建立檢測與驗證制度，並培養資安檢測能量。提供及推廣無人機資安檢測服務：配合政府政策，推動無人機資安檢測業務。接軌國際無人機資安規範，提升產業競爭力：與國際驗證單位合作，接軌國際無人機資安防護要求，提供國內廠商測試驗證服務，強化資安防護能力，提升產業國際競爭力。相關資訊詳見：https://www.chtsecurity.com/news/d1589db2-7a4a-43c9-b36c-122e01ee14bc https://www.ttc.org.tw/Service/info_1?id=990ca9aa29494d9fafe150a19c7afe10

中華資安國際數位鑑識暨資安檢測中心發現國際知名雲端攝影機之弱點(CVE-2023-38027、CVE-2023-38026、CVE-2023-38025、CVE-2023-38024)，指出此設備存在硬編碼之TELNET服務帳號、硬編碼明文之UBoot密碼、隱藏的TELNET服務開關功能以及命令注入弱點。遠端攻擊者不須權限，即可利用此漏洞執行任意系統指令，進而對系統進行控制，並中斷服務。【風險等級】高度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38027：攝影機之通訊協定存在命令注入漏洞。遠端攻擊者不須權限，即可利用此漏洞執行任意系統指令，進而對系統進行控制，並中斷服務。【風險等級】高度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38025：攝影機之通訊協定存在命令注入漏洞。遠端攻擊者不須權限，即可利用此漏洞執行任意系統指令，進而對系統進行控制，並中斷服務。【風險等級】高度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38024：攝影機存在硬編碼明文TELNET服務密碼並可以透過特定封包打開服務，攻擊者可以遠端登入對設備執行系統命令，最終取得控制權限。【風險等級】中度威脅【影響範圍】攝影機韌體版本1.0036【細節描述】CVE-2023-38026：攝影機存在U-Boot硬編碼明文密碼，攻擊者可以輕易使用實體方式對設備進行串改，進而取得、串改檔案韌體系統內容，最終取得控制權限。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此設備，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：隨時保持產品更新於最新狀態。2.政府機關、企業：盡速聯絡軟體開發商修補，並通知使用者更新韌體。3.韌體開發商：建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報- Command InjectionTWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報 - Use of Hard-coded Cryptographic Key - 2TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報- Use of Hard-coded Cryptographic Key - 1TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報 - Command Injection

感謝臺灣好厲駭的邀請，學員們的成果發表十分精彩，活動圓滿落幕！歡迎各路好手加入中華資安國際！

8/25(五)2023政府機構數位技術應用研討會，由中華資安國際資安顧問鍾宜蒲專題演講從常見的資安問題，探討資安治理與因應之道。CIO/CIOS/CEO面對資安議題的常見需求與困境，例如：當法規的推陳出新，現況是否合規？資安管理制度如何導入？當新的漏洞、威脅情資或攻擊手法，能夠找誰協助持續了解掌握？中華資安國際之專家團隊能夠協助政府機構提出且實踐資安解決方案，幫助您突破困境！歡迎來信諮詢。

感謝友商TXOne邀請，中華資安國際8/23-26在台北國際自動化大展友商攤位展出 OT 資安服務，展出從制度、輔導、工控場域專用防護產品、到 7x24 監控的完整 OT 資安 Eco-system。

8/18(五)-8/19(六) HITCON CMT 2023 圓滿落幕！感謝大家的熱情參與！也恭喜成為種花大富翁的得獎者們~

現在攻擊者包裝惡意程式的花招百出，以往遇到 C/C++, Golang... 只要有課金都可以直接 F5，但這次竟然出現了 PHP ，還搭配商業殼加密，沒有 F5可按的我只好請出 AI 搭把手，當我的逆向小幫手！本講題分為四部分：Zend Engine 執行流程簡介加密殼的實現流程解析拆解加密殼的手法步驟著手訓練自己的 LLM 進行反編譯工作我們的鑑識小組於HITCON CMT 2023和各位分享如何解開加密殼，並訓練 AI 進行反編譯工作，讓我們更有效地理解和分析惡意軟體的行為！更多內容請見： AI 搭把手，推倒 PHP 加密源碼的高牆 | HITCON CMT 2023

恭喜代表臺灣參加 DEFCON CTF 2023 資安大賽的 TWN48 ，獲得第三名的佳績！中華資安國際是 TWN48 的贊助廠商，比賽活動現場有中華資安國際的旗幟，與有榮焉！照片來源：DEFCON CTF 臺灣團隊