資安事件新聞週報 2020/6/29 ~ 2020/7/3

###### tags: `資安事件新聞週報` # 資安事件新聞週報 2020/6/29 ~ 2020/7/3 1.重大弱點漏洞/後門/Exploit/Zero Day FortiAnalyzer 阻斷服務漏洞 https://fortiguard.com/psirt/FG-IR-20-036 ZyXEL CloudCNM SecuManager 安全漏洞 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15324 IBM WebSphere Application Server漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4449 IBM Security Secret Server 跨站脚本漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4323 Cisco Data Center Network Manager跨站脚本漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3356 Cisco UCS Director路徑遍歷漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3241 微軟警告愈來愈多駭客開採Exchange伺服器漏洞 https://www.ithome.com.tw/news/138440 CVE-2020-1181: SharePoint 遠程代碼執行漏洞通告 https://blog.csdn.net/weixin_45728976/article/details/106929274 8萬臺印表機連接埠可從公開網路存取有被駭之虞，臺灣曝險印表機數量全球第三 https://www.ithome.com.tw/news/138421 Bitdefender防毒軟體遭爆含有遠端程式攻擊漏洞 https://www.ithome.com.tw/news/138418 BitDefender修复可致攻击者远程运行命令的漏洞 https://www.freebuf.com/column/241163.html F-Secure SAFE 安全漏洞 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14978 McAfee Advanced Threat Defense授權問題突破 https://reurl.cc/L3ry59 Critical Bugs and Backdoor Found in GeoVision's Fingerprint and Card Scanners https://thehackernews.com/2020/06/geovision-scanner-vulnerabilities.html GeoVision Door Access Control Device - Hardcoded Privileged Password https://www.twcert.org.tw/en/cp-139-3700-49581-2.html GeoVision Door Access Control Device - Shared cryptographic keys https://www.twcert.org.tw/en/cp-139-3701-4518d-2.html Geovision Door Access Control Device - Information disclosure vulnerability https://www.twcert.org.tw/en/cp-139-3702-fd334-2.html Adobe Magento Open Source和Magento Commerce 跨站脚本漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9665 Apache Spark 遠程代碼執行漏洞（CVE-2020-9480） https://www.huaweicloud.com/notice/2018/20200624134301004.html CVE-2020-9480：Apache Spark RCE漏洞風險通告 https://s.tencent.com/research/bsafe/1015.html 【安全通報】Apache Shiro身份驗證繞過漏洞 https://nosec.org/home/detail/4485.html MISP 安全漏洞 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14969 CVE-2020-13162：Pulse Secure Windows客戶端TOCTOU權限提升漏洞 https://www.anquanke.com/post/id/208757 RBS：2020年Q1安全漏洞速覽 http://www.199it.com/archives/1063008.html Apache Tomcat 阻斷服務漏洞 https://www.us-cert.gov/ncas/current-activity/2020/06/26/apache-releases-security-advisory-apache-tomcat 2.銀行/金融/保險/證券/支付系統/ 新聞及資安網站交易側錄攻擊出現新手法，Google網站流量分析工具被駭客用來接收外洩資料 https://www.ithome.com.tw/news/138433 後疫情時代資誠：金融業既有營運思維將大幅顛覆 https://money.udn.com/money/story/5613/4655162 疫情拖累純網銀開業時間　金管會主委黃天牧：年底如期上線 https://www.ettoday.net/news/20200624/1745645.htm 3家純網銀預計年底加入金融戰局！業者呼籲金管會加速開放銀行進程、放寬KYC限制 https://reurl.cc/1xVqNQ 新主委與金融CEO們首次對談，金融開放、資源共享、資安聯防、新創合規和跨界交流都是業界迫切新訴求 https://times.hinet.net/news/22953593 網銀建數位實名制籲成立試驗園區 https://anntw.com/articles/20200630-MshB 黃天牧：純網銀如期開業 https://money.udn.com/money/story/5613/4667525 銀行程序的資安問題 https://pttcareer.com/soft_job/M.1593408033.A.04E.html 老謝：臺金融業轉骨機會來了 https://reurl.cc/V6xl9b 台灣純網路保險公司還不成熟 https://ctee.com.tw/news/insurance/292703.html Russian Hacker Gets 9-Year Jail for Running Online Shop of Stolen Credit Cards https://thehackernews.com/2020/06/russian-credit-card-hacker.html e-Commerce Site Hackers Now Hiding Credit Card Stealer Inside Image Metadata https://thehackernews.com/2020/06/image-credit-card-skimmers.html 3.電子支付/電子票證/行動支付/ pay/新聞及資安德國支付巨頭Wirecard申請破產！假帳疑雲導致市值蒸發90％　股票暫停交易 https://www.ettoday.net/news/20200625/1746441.htm 市場難推電子支付攤商嘆：手續費太高不划算 https://reurl.cc/d03dzy 疫情掀電子支付熱潮！5月交易金反增逾1成　街口、LINE Pay Money市占過半 https://www.ettoday.net/news/20200703/1751716.htm 4.虛擬貨幣/區塊鍊/數位貨幣/相關新聞及資安 ZenGo研究工程師：Bancor漏洞暴露了以太坊DeFi中常見的危險操作 https://www.bitcoin86.com/live/73185.html 一千種死法之智能合約函數調用錯誤 https://www.chainnews.com/zh-hant/articles/700704183298.htm Blockstream側鏈Liquid Network存在安全漏洞，已暫時扣押870枚比特幣 http://bc.jrj.com.cn/2020/06/27084030042510.shtml 虛擬貨幣詐騙頻傳！今年全球損失13.6億美元專家教你如何防詐 https://times.hinet.net/news/22951392 過去兩年來，全球加密貨幣交易所共被單一駭侵團體竊走超過兩億美元 https://www.twcert.org.tw/tw/cp-104-3742-3ad28-1.html 5.資安事件新聞 A.病毒木馬 / 殭屍網路 / 勒索軟體 / Adware /APT /後門程式/IOC 勒索軟體冒充COVID-19接觸追蹤App誘騙用戶上鈎 https://www.ithome.com.tw/news/138439 安全專家：惡意軟件Lucifer將攻擊Windows系統漏洞以安裝門羅幣挖掘應用 https://www.bitcoin86.com/live/73572.html 國際特赦組織：摩洛哥用以色列製間諜軟體對付記者 https://www.rti.org.tw/news/view/id/2069145 中共國企竊密？陸銀推薦軟體 FBI發現藏駭客程式｜中國一分鐘 https://reurl.cc/lVWMnj 中國稅務軟件藏後門　自動安裝惡意軟件 https://unwire.hk/2020/06/26/spyware-hidden-chinese-tax-software/fun-tech/ 俄羅斯駭客發動新勒索軟體攻擊鎖定至少31家美企 https://www.cna.com.tw/news/aopl/202006270141.aspx 數位攻擊大增！惡意病毒入侵…250多款程式都被鎖定 https://reurl.cc/9EkQy8 全新勒贖＋DDoS 惡意軟體，一次攻擊多個漏泂 https://www.twcert.org.tw/tw/cp-104-3733-8fad7-1.html 你被勒索過嗎？台灣勒索軟體發生率是亞太平均2.5倍 https://udn.com/news/story/7240/4666463?from=udn-ch1_breaknews-1-cate6-news 小心用以散播勒索病毒的Magnitude網站滲透工具 https://www.twcert.org.tw/tw/cp-15-3740-2f8c6-1.html Docker Images Containing Cryptojacking Malware Distributed via Docker Hub https://thehackernews.com/2020/06/cryptocurrency-docker-image.html Washington Man Sentenced for Role in Developing “Mirai” Successor Botnets https://www.justice.gov/usao-ak/pr/washington-man-sentenced-role-developing-mirai-successor-botnets 'Satori' IoT DDoS Botnet Operator Sentenced to 13 Months in Prison https://thehackernews.com/2020/06/ddos-botnet-hacker-jailed.html OBFUSCATED VBSCRIPT DROPS ZLOADER, URSNIF, QAKBOT, DRIDEX Posted by ARNOLD OSIPOV https://blog.morphisec.com/obfuscated-vbscript-drops-zloader-ursnif-qakbot-dridex Attackers Cryptojacking Docker Images to Mine for Monero https://unit42.paloaltonetworks.com/cryptojacking-docker-images-for-mining-monero/ Lucifer: New Cryptojacking and DDoS Hybrid Malware Exploiting High and Critical Vulnerabilities to Infect Windows Devices https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/ Glupteba malware hides in plain sight https://news.sophos.com/en-us/2020/06/24/glupteba-report/ A Threat Actor Targeting Cryptocurrency Exchanges https://www.clearskysec.com/wp-content/uploads/2020/06/CryptoCore_Group.pdf US Local Government Services Targeted by New Magecart Credit Card Skimming Attack https://blog.trendmicro.com/trendlabs-security-intelligence/us-local-government-services-targeted-by-new-magecart-credit-card-skimming-attack/ Campagna di Attacco “Agenzia Entrate” https://yoroi.company/warning/campagna-di-attacco-agenzia-entrate/ B.行動安全 / iPhone / Android /穿戴裝置 /App Zoom宣布：Jason Lee擔任資訊安全長　用戶安全和隱私放在首位 https://www.ettoday.net/news/20200629/1748529.htm 微軟公測Android版Microsoft Defender ATP https://www.ithome.com.tw/news/138420 TikTok 訂定資安與數據防護規劃，將持續更新進展 https://reurl.cc/O13WNv iPhone當車鑰匙！蘋果WWDC軟體大更新 https://reurl.cc/armWx9 行動應用資安聯盟行動應用App基本資安檢測基準V3.0及V3.1 分類/等級差異 https://www.mas.org.tw/news_detail.php?id=76 中國 App Store 千款手遊下架，遊戲須經政府審批再上架 https://reurl.cc/oLMNzq 打車軟件Lyft費用報告導出功能的SSRF漏洞 https://www.sohu.com/a/403873973_354899 玩Face app 下場慘！個資遭竊…偷偷被扣990元 https://www.setn.com/News.aspx?NewsID=767111 5G物聯網資安一個原則保平安 https://www.chinatimes.com/newspapers/20200628001225-260204?chdtv 印度使出抗中絕招：封鎖59款中國App，防止竊取用戶資料造成國安漏洞 https://www.storm.mg/article/2810122 【蘋果抓包抖音在說謊】從剪貼簿就能把個資看光！抖音偷機密手法比你想的更陰險 https://buzzorange.com/2020/06/29/tiktok-stole-information-iphone/ C.事件 / 駭客 / DDOS / APT / 雲端/ 暗網/ 徵才 / 國際資安事件資安長(CSO)見解：遠端工作挑戰與機會 https://blog.trendmicro.com.tw/?p=64948 Google、Mozilla也將HTTPS憑證支援期縮短為398天 https://ithome.com.tw/news/138501 Google示警黃之鋒「某些政府支援的入侵者」意圖竊取帳密 https://news.ltn.com.tw/news/world/breakingnews/3209116 對公務電腦私用的資安與法律責任問題看法 https://reurl.cc/j7Zn9D 認定「軍方控制華為」美為新一輪制裁鋪路 https://reurl.cc/R4Gp1Z 美戰略報告：中國將用電磁脈衝武器　發動珍珠港式奇襲 https://www.setn.com/News.aspx?NewsID=767421 美司法部起訴維基解密創辦人吸收、教唆駭客、共謀竊密 https://www.ithome.com.tw/news/138448 亞桑傑再被控「勾結駭客」！歐亞招募成員　提供目標清單竊取國家機密 https://www.ettoday.net/news/20200625/1746136.htm WikiLeaks Founder Charged With Conspiring With LulzSec & Anonymous Hackers https://thehackernews.com/2020/06/wikileaks-lulzsec-anonymous-hackers.html 中國發射最後一顆北斗導航衛星，完成全球衛星導航部署 https://www.ithome.com.tw/news/138435 反制中共澳強化資安、印度封殺抖音 https://www.ydn.com.tw/News/388262 中共資訊戰有何貓膩？學者以「駭客模型」分析 https://www.epochtimes.com/b5/20/6/26/n12214230.htm 防中國網攻！澳洲投入13.5億澳元加強資安防護 https://newtalk.tw/news/view/2020-07-01/428970 美突下令對福建晉華前高管等三人發逮捕令 https://www.epochtimes.com/b5/20/6/27/n12216296.htm 美光竊密案調查加速美地院對3名涉嫌台灣工程師發出逮捕令 https://news.cnyes.com/news/id/4500097?exp=a 台中辦公室網管兼資安工程師 https://www.104.com.tw/job/6z5cp AIT聯手台灣各部會　美國為何想幫台灣搶人才？搶哪類人才 https://www.cw.com.tw/article/5100890 漏洞驗證工程師 https://job.kanxue.com/position-read-694.htm 數位轉型集保結算所徵才 https://money.udn.com/money/story/5613/4667988 D.資料外洩/個資法/GDPR/網路詐騙/網路釣魚/盜刷/假新聞公布外洩機密資料，Distributed Denial of Secrets遭Twitter停權 https://www.ithome.com.tw/news/138434 Google多項服務讓使用者可預設自動刪除個人隱私紀錄 https://www.ithome.com.tw/news/138443 假冒MOMO客服 192人被騙近3千萬 https://reurl.cc/j7ZvGn MOMO疑個資外洩登分期詐騙榜首 https://m.ltn.com.tw/news/society/paper/1382727 知名購物網疑個資外洩逾百人受騙超過2千萬元 https://news.ebc.net.tw/news/living/216173 「MOMO購物網」疑個資外洩客遭詐2800萬 https://reurl.cc/KkWRGe 履保帳戶1600萬遭詐！　8人分工誆購屋款 https://news.tvbs.com.tw/local/1344505 Foodpanda帳號密碼全國通用「神秘外送員」盜帳號捲款 https://news.ltn.com.tw/news/society/breakingnews/3208534 針對 Office 365 大型企業用戶的釣魚郵件攻擊，造成三星、Adobe、牛津大學受害 https://www.twcert.org.tw/tw/cp-104-3723-a59d4-1.html 用戶的「密碼」該怎麼設定才好？專家與FBI都這樣建議 https://reurl.cc/5lxE36 歐盟控中國趁疫情發動假訊息戰我駐歐代表將交流中共統戰經驗助陣 https://reurl.cc/62me9V 192人被騙2800多萬元 MOMO購物網躍居解除分期付款詐騙榜首 https://www.chinatimes.com/realtimenews/20200627002213-260402?ctrack=mo_main_rtime_p01&chdtv 疑趁歐洲防疫網攻醫院竊機密歐盟執委會主席向習近平抗議 https://news.ltn.com.tw/news/world/breakingnews/3211387 賴清德帳號被盜賣蚊帳？貼文3分鐘急刪…小編速改密碼 https://reurl.cc/pdNAkd 賴清德臉書被盜小編群第一時間更換密碼 https://www.chinatimes.com/realtimenews/20200701002202-260407?chdtv 國軍退輔會藉VDI 實現更有效率的疫情遠距工作 https://udn.com/news/story/7086/4665486 E.研究報告《資安防護系列1》速訂資安SOP 演習並設備援系統 https://anntw.com/articles/20200628-goNY SMB服務器漏洞分析：無需身份驗證的內存讀取 https://www.4hou.com/posts/BQQo 關於Cisco Smart Install遠程命令執行漏洞的修復方法 https://zhuanlan.zhihu.com/p/150181521 Liferay Portal CE 反序列化命令執行漏洞（CVE-2020-7961） https://reurl.cc/WdQ6x5 LINE Taiwan Security Meetup – BECKS #6 https://engineering.linecorp.com/zh-hant/blog/becks-meetup-6/ CVE-2019-1458分析 https://bbs.pediy.com/thread-260268.htm OpenRASP防禦測試環境 https://github.com/baidu-security/openrasp-testcases/ 對在 Fuchsia 操作系統中發現的多個漏洞的分析 https://www.chainnews.com/zh-hant/articles/462073785533.htm 聯發科芯片Rootkit漏洞(CVE-2020-0069) 分析 https://www.secrss.com/articles/21490 二進制漏洞原理分析 https://zhuanlan.zhihu.com/p/150314198 Windows Defender 本地提權漏洞分析（CVE-2020-1170） https://www.anquanke.com/post/id/209032 CVE-2019-5786 漏洞原理分析及利用 https://paper.seebug.org/1257/ Nexus Repository Manager 2.x 命令注入漏洞(CVE-2019-5475) 兩次繞過 https://paper.seebug.org/1260/ Apache SkyWalking SQL注入漏洞復現分析(CVE-2020-9483) https://anquan.baidu.com/article/1097 影響數百萬設備的UPnP協議CallStranger漏洞分析 https://www.secrss.com/articles/23462 F.商業 GitLab 13.1強化警示管理，還在Core層級加入Rails程式碼安全掃描工具 https://www.ithome.com.tw/news/138441 Comcast成為第一個加入Mozilla可信遞迴解析計畫的ISP https://www.ithome.com.tw/news/138469 Amazon成立仿冒品犯罪部門 https://www.ithome.com.tw/news/138445 微軟為企業版Microsoft 365新增文件安全服務Safe Documents https://www.ithome.com.tw/news/138419 Google開發可計算動作重複次數的模型RepNet https://www.ithome.com.tw/news/138412 中華電信公告拿下數位身分證標案 https://money.udn.com/money/story/5612/4655590 能將資料作為程式碼來執行，Imperva推出網站應用即時保護 https://www.ithome.com.tw/review/138224 白帽駭客起家，杜絕惡意攻擊！新創 AuthMe 以 AI 臉部活體檢測助金融業鞏固資安 https://reurl.cc/rxGmQO 防駭!關貿網路等三大領域龍頭攜手推資安閘門防護服務 https://reurl.cc/3DE0oj OT資安服務 https://www.acercsi.com/service.aspx?id=73fd5d5c-ce22-4854-93ea-39240960e6ce 安碁資安檢測業務增溫 https://ctee.com.tw/news/stock/293613.html G.政府新北市政府與法務部調查局新北市調查處攜手合作簽署「安全防護支援協定書」共同打造安全可靠之資訊環境 https://www.ntpc.gov.tw/ch/home.jsp?id=e8ca970cde5c00e1&dataserno=93e35353aa90b434ffa282b4cba1bd62 中國網軍520再攻台　資安國家隊徹夜緊急退敵秘辛 https://tw.appledaily.com/politics/20200703/OIXSELPNUIF3AC2TGYNXNNA6PA/ H.工控系統/SCADA/ICS資安 Mitsubishi修復Pwn2Own黑客大賽ICS項目中發現的安全漏洞 https://www.freebuf.com/column/241017.html SIEMENS SINEMA Server不正確會話驗證漏洞 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10940 ICS Threat Snake Ransomware Suspected in Honda Attack https://www.darkreading.com/attacks-breaches/ics-threat-snake-ransomware-suspected-in-honda-attack/d/d-id/1338075 I.教育訓練 How to perform OSINT with Shodan https://www.peerlyst.com/posts/how-to-perform-osint-with-shodan-chiheb-chebbi 跨站腳本漏洞攻擊原理與過程 https://zhuanlan.zhihu.com/p/146873337 CSRF 漏洞的原理與防禦 https://www.chainnews.com/zh-hant/articles/337195846949.htm Ep 02: 做這三件事也會感染勒索病毒？什麼是水坑式攻擊？我們與勒索軟體的距離（上集） https://open.firstory.me/story/ckbpt2z5a96mt0873uygj7gco Ep 03: 北韓駭客也用勒索病毒？做勒索病毒很難嗎？中毒了怎麼辦？怎麼自己嘗試解密？我們與勒索軟體的距離（下集） https://open.firstory.me/story/ckbydmdvr8gj00918lnp4qsy0 J.物聯網/IOT/人工智慧/車聯網/光聯網/深度學習/機器學習/無人機/人臉辨識追隨舊金山，波士頓也禁用人臉辨識技術 https://www.ithome.com.tw/news/138438 Google更新行動機器學習開發套件ML Kit，不再依賴Firebase雲端開發平臺 https://www.ithome.com.tw/news/138426 上千名科學家聯手阻止以人臉辨識預測犯罪行為的論文出版 https://www.ithome.com.tw/news/138422 開源是否安全？福斯計劃使用開源方式改進車載作業系統 https://technews.tw/2020/06/27/volkswagen-plans-to-use-open-source-to-improve-vehicle-operating-systems/ 6.近期資安活動及研討會雙導師帶你三週零基礎實作 UI 介面設計 7/4 https://www.meetup.com/Reborn-%E8%A8%AD%E8%A8%88%E5%AD%B8%E9%99%A2/events/271123412/ CompTIA Security+ 國際網路資安認證班 7/4 ~ 7/12 https://www.iiiedu.org.tw/courses/msa293t2002/ How to integrate GitLab CICD into B2B service 7/5 https://www.meetup.com/GitLab-Meetup-Taipei/events/271544154/ tinyML Talks by Zuzana Jelclcova (Demant) and Daniel Situnayake (Edge Impulse) 7/7 https://www.meetup.com/tinyML-Enabling-low-Power-ML-at-the-edge-Taipei-Taiwan/events/271513930/ SDN x Cloud Native Meetup - Webinar 海外篇 #4 7/11 https://www.meetup.com/CloudNative-Taiwan/events/271178102/ 交通大學亥克書院高階網頁滲透測試 7/11 https://hackercollege.nctu.edu.tw/?p=1161 台灣第一場RISC-V Meetup在新竹 7/16 https://www.meetup.com/Hsinchu-RISC-V-Meetup-Group/events/271491407/ 【資安初階課程】Google hacking & Shodan實務7/16 https://reurl.cc/qdA140 結合深度學習、語意分析，打造真正懂自然語言的聊天機器人，增進溝通效率 7/18 https://www.techbang.com/posts/60588-course-deep-learning-practice-as-a-chat-robot 數據分析與機器學習案例實務(三)影像分類技術 7/20 https://reurl.cc/d0kx9q Google Ads 關鍵字廣告實務操作，精準觸及潛在客戶，強化廣告轉換率 7/24 https://reurl.cc/9EN5qa 交通大學亥克書院基礎網頁安全與滲透測試 7/25 https://hackercollege.nctu.edu.tw/?p=1182 Android 11 Meetup - Languages and Android 11 Compatibility 7/30 https://www.meetup.com/GDG-Hsinchu/events/271377323/ Taipei Rails Meetup 7/30 https://www.meetup.com/rails-taiwan/events/271494964/ COSCUP 2020 8/1 https://coscup.org/2020/zh-TW #33 Azure Data Explorer 彎道超車 Elasticsearch - 五倍的馬士現身說法 8/5 https://www.meetup.com/Azure-Taiwan/events/271347892/ 【AWS】Security Engineering on AWS 雲端資訊安全認證課程 8/5 ~ 8/7 https://www.accupass.com/event/2005270919111855176110 SITCON 2020 8/8 https://sitcon.org/2020/ CYBERSEC 2020 臺灣資安大會 8/12 https://cyber.ithome.com.tw/ AI/BigData技能養成班系列課程-白帽駭客認知班(確定開課) 8/14 https://www.accupass.com/event/2005060928471871405427 自然語言處理技術再進化，Google BERT讓聊天機器人更能理解人類意圖，進入全新境界 8/22 https://www.techbang.com/posts/78985-course-bert-technology-practice 認證系統安全從業人員 SSCP 輔導班 9/5 ~ 9/13 https://www.iiiedu.org.tw/courses/asq902t2001/ 邊緣計算系統之大數據與深度學習應用 9/11 https://reurl.cc/62OD9k 數據分析與機器學習案例實務(四)應用實例 9/14 https://reurl.cc/1xAoMp