==== 资安双周报 (240715) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- Linksys 产品传送明文密码
- RADIUS 协定可能遭到 MITM 攻击
- Twilio 修复 Authy 安全问题
- Apache Security Update(s)
- 行政院修法资安法 非公务机关拒调查可罚 100万
## Linksys 产品传送明文密码 ##
根据报导[0] Linksys 的两个 mesh server 产品
会在设定完毕之后 将 SSID 与明文密码等资料传送到 AWS Server
当事件被揭露之后 Linksys 释出一个新的 firmware 版本但没主动通知更新
## RADIUS 协定可能遭到 MITM 攻击 ##
多方研究人员[1]联合揭露 CVE-2024-3596 揭露 RAIUS 可能被发动 MITM 攻击
RADIUS 是远端使用者拨入验证服务 用来验证、授权与记帐的轻量协议
目前仍在各方 (例如路由器、工控系统、VPN 等) 广泛使用
## Twilio 修复 Authy 安全问题 ##
根据报导 [2] 骇客宣称从 Twilio 偷走 33m 数量的手机号码
而 Twilio 确认是 Authy 这个二阶段验证服务遭到窃取
Twilio 也强调。并未有证据显示骇客存取其他机密资料
但为求安全 要求所有 Authy 用户更新所有系统
## Apache Security Update(s) ##
Apache HTTP Server 释出新的安全性更新[3] 修复多个安全性问题
其中一个严重的安全漏洞为 CVE-2024-39884
这个问题会导致泄漏原始码 (source code disclosure of local content)
例如 PHP 程式法可能直接显示而非被直译
## 行政院修法资安法 非公务机关拒调查可罚 100万 ##
行政院4日通过 资通安全管理法 修正草案 [4]
未来修法后 资安署得稽核所有纳管的公务机关或特定非公务机关
当发生重大资安事件 若规避、妨碍或拒绝调查时 可开罚新台币 10 ~ 100 罚缓
[0]: https://401.tw/ywRe
[1]: https://www.ithome.com.tw/news/163887
[2]: https://401.tw/arNC
[3]: https://httpd.apache.org/security/vulnerabilities_24.html
[4]: https://www.ettoday.net/news/20240704/2770593.htm