-
Continue reading →: AI模型的重大資安漏洞
隨著AI的發展,愈來愈多研究人員、公司、組織開始使用開源AI套件。然而,網路安全研究人員近期發現了近二十個安全漏洞,分佈於15個與機器學習(ML)相關的開源項目(opensource)。這些漏洞影響主機端和客戶端,可被攻擊者利用來攻擊組織內的重大服務器,例如如機器學習(ML)模型註冊表、機器學習(ML)數據庫。 以下是部份漏洞的簡要說明(嚴重度利用CVSS 3.x來分類): • CVE-2024-7340(CVSS分數:8.8):Weave ML工具包中的目錄遍歷漏洞,允許用戶讀取整個文件系統中的文件,使低權限的已認證用戶可通過讀取名為「api_keys.ibd」的文件,越權為管理員角色。https://nvd.nist.gov/vuln/detail/CVE-2024-7340 • CVE-2024-6507(CVSS分數:8.1):Deep Lake AI數據庫中的命令注入漏洞,因缺乏適當的輸入驗證,攻擊者可以在上傳遠程Kaggle數據集時注入系統命令。https://nvd.nist.gov/vuln/detail/CVE-2024-6507 • CVE-2024-5565(CVSS分數:8.1):Vanna.AI庫中的提示注入漏洞,可被利用來注入程式,進行python任意程式執行。https://nvd.nist.gov/vuln/detail/CVE-2024-5565 舉例來說,若在Vanna.AI庫中,注入下列程式碼,即可印出os.getuid()的執行結果(Python 中的一個函數,用於取得當前用戶的id)。 在AI蓬勃發展的現代,為防止相關攻擊,程式開發者仍應注意「輸入驗證」、「最小權限原則」這些既有法則。重要的檔案、目錄之路徑亦應使用白名單,避免攻擊者存取敏感資訊及指令。下面為一些進一步做法的說明:
-
Continue reading →: 影子API
影子API(Shadow API), 是指未經正式管理、記錄或監控的API。它們可能被開發者或第三方私自建立,或由於管理上的遺漏而未被納入組織的API管理範圍;它亦可能是 被開發者或第三方 不小心引用套件時所誤用。這樣的API容易帶來安全風險,可能缺乏適當的身份驗證、數據保護,並可能暴露敏感信息,成為攻擊者的目標。 總結與建議 影子API是現今企業API保護的主要威脅之一,對於API的發現、監控和管理至關重要。企業應該: 這些措施有助於減少影子API的風險,保護企業的數據與業務資產。
-
Continue reading →: 網路犯罪分子利用 HTTP 標頭進行大規模網路釣魚攻擊竊取個資
光盾資訊的研究員發現,網路釣魚活動正在濫用 HTTP 標頭中的重新整理條目來傳送偽造的電子郵件登入頁面。 「惡意連結會指示瀏覽器自動重新整理或重新載入網頁,無需用戶互動。」 在這個攻擊手法中,攻擊者用的是「Refresh headers and meta tags」。有兩種方式可以實現,功能上是相同的:使用 meta refresh 標籤和 HTTP refresh 標頭。 使用 meta 標籤的形式如下: <meta http-equiv=”refresh” content=”10;url=https://hacking_site.com”> 同等效果的 HTTP 標頭形式如下: Refresh: 10;url=https://hacking_site.com 這兩種方式都會指示瀏覽器等待 10 秒後重定向到指定的 URL。這些方法有合法的用途,比如將用戶從啟動畫面重定向到內容頁面,或強制定期刷新不斷更新內容的頁面,然而,問題就出現在當駭客能夠在合法網站中,插入這些標籤或標頭時。 感染鏈的起點是一封包含連結的電子郵件,當用戶點擊連結到一個合法網站後,便會觸發重定向到由攻擊者控制的憑證竊取頁面(例如:hacking_site.com)。為了讓網路釣魚攻擊看起來更具合法性,這些惡意的網頁郵件登入頁面還會預先填入收件人的電子郵件地址。 目前已知來自越南的駭客團體(Storm-1152)大量使用此方法竊取個資(https://thehackernews.com/2023/12/microsoft-takes-legal-action-to-crack.html)。在開信時,大家必須注意多個面向,不要任意開啟連結,才能確保資訊安全。
-
Continue reading →: 針對性phishing email攻擊
利用SandSphere進行新型社交工程病毒偵測和分析
-
Continue reading →: 惡意第三方元件Polyfill[.]io之JavaScript攻擊-影響超過38萬台主機
第三方元件的安全性一直是較難控管的一部份,而駭客也一直利用它們進行各式惡意攻擊,相關資安事件層出不窮。例如,截至2024年7月2日,超過38萬台主機嵌入了指向惡意域名的polyfill腳本,其中也包含了華納兄弟、Hulu、梅賽德斯-奔馳和培生等知名企業。 目前發現了與Polyfill維護者相關的其他潛在惡意域名,包含如bootcdn[.]net、bootcss[.]com等。若發現系統中有嵌入相關域名,應儘早移除。 與此次惡意活動之相關細節可參考:https://censys.com/july-2-polyfill-io-supply-chain-attack-digging-into-the-web-of-compromised-domains/ 光盾對於第三方元件有完整之安全檢測工具,已有海內外諸多政府、銀行、企業使用。請點這裡了解更多細節: 第三方元件安全性檢測。 另外,要完整檢測網站、相關元件之安全性,並確認是否可被駭客利用,請點滲透測試,了解更多細節。
-
Continue reading →: CVE-2024-6387
CVSS v3 Base Score: 8.1 Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H Severity: High —————————————————————————— CVE-2024-6387 是 OpenSSH 伺服器組件 (sshd) 中的一個嚴重漏洞,被稱為 regreSSHion。 這個漏洞被命名為「regreSSHion」,是因為它本質上是一個影響 OpenSSH 的回歸錯誤。 此漏洞是由信號處理器競爭條件(race condtion)引起的,可能導致未經身份驗證的遠端代碼執行(RCE),並授予攻擊者 root 權限。 估計全球有多達 1400 萬台主機受此漏洞影響。 為了解決這個問題,應更新 OpenSSH 到修復後的版本。可以從 OpenSSH 官方公告或相關安全公告中獲取具體的更新和修復信息。目前,OpenSSH團隊已釋出了OpenSSH 9.8/9.8p1,藉此修正本漏洞。 網路上已有相關PoC,為防止嚴重問題,建議儘快更新系統! 相關第三方程式亦可簡易掃描,看自己的系統是否有此漏洞: https://github.com/xaitax/CVE-2024-6387_Check/blob/main/CVE-2024-6387_Check.py
-
Continue reading →: 內網滲透測試的必要性
駭客常常已潛藏在內部網路(例如:已利用社交工程進入內網、已誘使用戶使用惡意元件、vpn破解等),因此以這樣的狀況為前提之內網透測試,即有其必要性。以下是一些原因和好處: 內網滲透測試是一種預防性措施,能夠幫助企業主動識別和解決安全問題,從而保護其內部資產和數據的安全。更多資訊請點這樣:內網滲透測試。
-
Continue reading →: 生成式AI(Generative AI Risks)的資安風險
生成式AI(Generative AI)是一種利用機器學習技術來生成新的內容的人工智能技術。這些內容包括文字、圖像、聲音、影片等等。生成式AI模型,例如生成對抗網絡(GANs)和變分自編碼器(VAEs),通過學習大量的訓練數據來創建與訓練數據相似但全新的內容。這樣的技術,對資安卻帶來新的風險。 生成式AI的資安風險 新的AI科技帶來了便利性,但相對的,它也帶來了新的資安威脅。如何正確防禦此類新型態的攻擊,將是大家必須嚴正關注的要事!
-
Continue reading →: WebTunnel BridgeTor發布
Tor發布了WebTunnel,這是一種新型的Tor橋接,旨在幫助位於網路審查區域的使用者連接到Tor網路(WebTunnel是一種抗審查的傳輸工具)。它可以模仿加密的網路流量(HTTPS),受到HTTPT(https://www.usenix.org/conference/foci20/presentation/frolov)的啟發而設計。它通過將有效負載連接包裝成類似於WebSocket的HTTPS連接來運作,對網路觀察者呈現為普通的HTTPS(WebSocket)連接。因此,對於沒有隱藏路徑知識的旁觀者來說,它看起來就像是與網頁伺服器的常規HTTP連接,給人一種用戶只是在瀏覽網路的印象。 事實上,WebTunnel與普通的網路流量非常相似,因此當有人嘗試訪問共享網路地址上的網站時,他們將只能感知到該網站地址的內容,並不會注意到秘密橋梁(WebTunnel)的存在。 因相關技術亦可能遭受駭客利用,將敏感資訊從組織內部外傳,因此預期Tor WebTunnel對企業的資安來說,將會是一項新的挑戰。 相關內容請參考: https://community.torproject.org/relay/setup/webtunnel/
-
Continue reading →: 為何需要使用安全的隨機函式(Secure Random Function)?
使用安全的隨機函式(secure random)可產生安全的隨機數字(infeasible to predict),對於確保各種應用程式中的敏感資訊的完整性(integrity)、機密性(confidentiality)至關重要。以下是一些重要性的原因: 總結來說,使用安全的隨機函式對於維護依賴於隨機性的系統和應用程式的安全性、隱私性和完整性至關重要,這些系統和應用程式用於加密操作、抵抗攻擊、會話管理、遵守法規和保護用戶隱私。
光盾資訊
分享資安相關文章、新聞的地方
與我們聯絡
Check out latest information security news!
Stay updated with our latest news