[閒聊] 資安雙週報 240715

==== 資安雙週報 (240715) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - Linksys 產品傳送明文密碼 - RADIUS 協定可能遭到 MITM 攻擊 - Twilio 修復 Authy 安全問題 - Apache Security Update(s) - 行政院修法資安法 非公務機關拒調查可罰 100萬 ## Linksys 產品傳送明文密碼 ## 根據報導[0] Linksys 的兩個 mesh server 產品 會在設定完畢之後 將 SSID 與明文密碼等資料傳送到 AWS Server 當事件被揭露之後 Linksys 釋出一個新的 firmware 版本但沒主動通知更新 ## RADIUS 協定可能遭到 MITM 攻擊 ## 多方研究人員[1]聯合揭露 CVE-2024-3596 揭露 RAIUS 可能被發動 MITM 攻擊 RADIUS 是遠端使用者撥入驗證服務 用來驗證、授權與記帳的輕量協議 目前仍在各方 (例如路由器、工控系統、VPN 等) 廣泛使用 ## Twilio 修復 Authy 安全問題 ## 根據報導 [2] 駭客宣稱從 Twilio 偷走 33m 數量的手機號碼 而 Twilio 確認是 Authy 這個二階段驗證服務遭到竊取 Twilio 也強調。並未有證據顯示駭客存取其他機密資料 但為求安全 要求所有 Authy 用戶更新所有系統 ## Apache Security Update(s) ## Apache HTTP Server 釋出新的安全性更新[3] 修復多個安全性問題 其中一個嚴重的安全漏洞為 CVE-2024-39884 這個問題會導致洩漏原始碼 (source code disclosure of local content) 例如 PHP 程式法可能直接顯示而非被直譯 ## 行政院修法資安法 非公務機關拒調查可罰 100萬 ## 行政院4日通過 資通安全管理法 修正草案 [4] 未來修法後 資安署得稽核所有納管的公務機關或特定非公務機關 當發生重大資安事件 若規避、妨礙或拒絕調查時 可開罰新台幣 10 ~ 100 罰緩 [0]: https://401.tw/ywRe [1]: https://www.ithome.com.tw/news/163887 [2]: https://401.tw/arNC [3]: https://httpd.apache.org/security/vulnerabilities_24.html [4]: https://www.ettoday.net/news/20240704/2770593.htm -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.224.211 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1720998694.A.FE9.html