中華資安國際Red Team團隊發現，國內市占率相當高的知名公文系統具有SQL注入(CVE-2021-22859)以及身分驗證缺失漏洞(CVE-2021-22860)，影響範圍包含政府、學校與企業等至少約10個機構，簡述如下：CVE-2021-22859：攻擊者可在不經過任何身分認證情況下，直接進行SQL注入攻擊，攻擊者可讀出完整資料庫表單。此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。CVE-2021-22860：攻擊者可在不經過任何身分認證情況下，直接查詢系統所有使用者帳號與密碼資訊，可利用取得之帳號密碼進行系統登入，進而取得相關權限。此漏洞可歸類於OWASP TOP 10 2017之A2 - Broken Authentication類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用公文系統者，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：1.使用者：聯繫廠商盡速安裝修補更新檔。2.公文系統開發商：在程式開發過程中應針對輸入參數做檢查。3.公文系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

近日國內多家券商遭駭客以「密碼撞庫攻擊」，使客戶與企業蒙受損失的重大資安事件。駭客利用民眾外流個資嘗試登錄網站服務，一旦成功，即可冒用他人身分登入與操作系統，進行證券下單、資金操作等非經當事人授權行為，造成巨大的商業損失，更嚴重影響企業商譽。對此，中華電信與中華資安國際合作推出「HiNet WAF網站應用防火牆」服務，提供完整防撞庫攻擊機制，以機器學習方式辨識自動化與惡意流量，有效緩解撞庫攻擊，為企業築起網站安全護城河。網站資訊安全是保障企業網站安全的第一道防線中華資安國際總經理洪進福表示：「目前包括金融、電商、製造等類型的企業服務網站，皆面臨如同『密碼撞庫』的憑證填充(Credential Stuffing)或密碼噴灑(Password Spraying)攻擊。從中華資安國際累積的近千件資安事故調查中發現，有過半事故入侵管道是從網站遭駭出發，相較於利用惡意電子郵件、未修補的系統漏洞、遠端桌面等手法高出許多，更顯示網站安全是保障企業網站安全的第一道防線。」「HiNet WAF網站應用防火牆」服務，可針對單一帳號登入多次失敗或單一IP多個帳號登入成功等場景提供檢查機制，亦可利用機器學習方式精準辨識自動化與惡意流量，防止大量假帳號與爬蟲行為；除前述撞庫攻擊外，可防護OWASP TOP10定義之網站威脅、BOT攻擊、跨腳本攻擊等網站常見漏洞，對層出不窮的零時差(Zero Day)攻擊具備免疫力，即使網站開發者未能即時修正網站漏洞，也能給予網站第一線有效防護服務。高規格電信等級資安設備提供企業網站最佳防護方案「HiNet WAF網站應用防火牆」服務，佈署於HiNet骨幹網路機房，為電信等級的資安防護設備，結合中華資安國際團隊的頂尖攻防專家調校，協助客戶有效阻擋來自Internet的網站入侵攻擊或傀儡程式騷擾，目前已有多家政府機關、資服業、金融業、超大型連鎖量販業與學校採用。此項服務提供7x24全年無休的資安專業防護及管理，企業不須自行雇用資安專家，並可透過月租方式申辦，可為企業減少管理負擔，同時撙節高額的資安設備支出與維運成本，亦可依網站流量規模調整租用容量，省錢又有效率。想了解更多資訊，請撥打企業客戶服務專線：0800-080-365。

中華電信旗下子公司中華資安國際在最新公告110年行政院資安服務廠商評鑑中，再度取得「SOC監控」、「資安健診」、「滲透測試」、「弱點掃描」及「社交工程演練」五項資安服務全數「A級」之最高評價，是今年唯一榮獲此殊榮之資安公司，也是國內唯一連續三年勇奪全數Ａ級最高評價之資安服務廠商。行政院資安服務廠商評鑑是綜合客戶滿意度評分、以及專家學者組成評鑑委員進行實地評鑑。今年度除客戶給與中華資安國際的服務品質高度肯定外，評鑑團對中華資安國際的資安專業能力與技術優勢也給予最高評價。本次備受肯定的最主要原因在於中華資安國際的SOC服務融入了MDR雲、網、端監控，大幅提高資安監控的可視性與準確度；同時透過藍隊驗證工具(BAS)或紅隊演練，來提升監控的有效性，協助客戶做好資安防護。此外，團隊也展現了優異的惡意程式逆向分析能力與資安鑑識調查能力，擁有技術自主的沙箱系統(Sandbox)，並持續追查駭客攻擊手法與事件根因。滲透測試團隊除了呈現OSCP實戰演練的師資教材外，更首次展現利用網通安全來入侵實體安全的檢測能力，包含門禁系統、車機、工控單向閘道器、互動式觸控面板等，從網路世界控制實體世界，預告未來網路安全與實體安全密不可分的技術趨勢。在這次評鑑過程，中華資安國際也首次展示了技術自主研發的資安產品，包含SecuTex NP與SecuTex ED，用來協助客戶進行資安健診與資安檢測；其中SecuTex NP像是網路行車紀錄器一樣，可以進行網路封包全時側錄、入侵偵測、鑑識分析，能結合沙箱分析與專家分析驗證，是網路管理與資安管理的利器；SecuTex ED則是端點電腦的檢測工具，用來檢查GCB政府組態基準、軟體更新檢視、惡意活動偵測等，並能將資安風險一目了然的呈現在管理中控台上，協助客戶做好端點電腦的資安管理工作。此外，中華資安國際的數位鑑識暨資安檢測中心通過ISO 17025認證，紅隊演練服務是全國唯一通過ISO 20000認證之檢測團隊，已累積挖掘超過50個以上的系統軟體、網站、物聯網設備之重大漏洞(CVE)，更與國際知名的資安訓練機構Offensive Security共同推動高階資安攻防實戰訓練與認證。中華資安國際專注於資安專業服務與相關軟硬體研發，目前已是國內最大的專業資安服務公司，團隊取得ISO 27001、ISO 27701、ISO 20000、與ISO 17025證書，並獲得國際知名顧問公司Frost Sullivan之「2021 Taiwan Managed Security Services Company of the Year Award」獎項。中華資安國際擁有安全可靠『以電信網路為中心』的資安解決方案，協助國內15個縣市完成資安區域聯防，協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業。來源：行政院國家資通安全會報技術服務中心。

中華資安國際於2021年11月取得ISO 27701:2019證書，代表中華資安國際對於個人隱私資訊管理的承諾，將致力於保護客戶個人隱私資訊，透過個人資料蒐集、處理及利用管理作業，建立個人資料檔案盤點暨風險評鑑辦法，以及個人資料當事人權利行使等管理作為，符合個人資料保護法各項法規，致力遵循我國相關法令要求，適用範圍包含中華資安國際蒐集、處理或利用個人資料之相關業務及其所有人員，亦包括委外服務廠商，期能深植於公司組織文化，確保個人資料之保護。ISO 27701 隱私資訊管理系統 (PIMS, Privacy Information Management System)，為資訊安全管理系統 ISO 27001 和 ISO 27002的擴充，提供企業保護個人隱私資訊之指引，並加入額外補充之要求項目，以PDCA循環(Plan-Do-Check-Act)在 ISMS 範圍內建立隱私資訊管理系統，用以降低企業在接觸個人資料所面臨之風險。中華資安國際團隊取得ISO 20000、ISO 27001、與ISO 17025證書，在行政院資安服務廠商評鑑中，是唯一連續三年獲得五項服務項目全數皆「A級」之資安廠商，資安專業獨步全國。中華資安國際擁有安全可靠『以電信網路為中心』的資安解決方案，協助國內15個縣市完成資安區域聯防，協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，已提供服務予兩百多家政府機關及大型企業以及兩萬多家中小企業，並獲得Enterprise Security 雜誌「Top Enterprise Security Startup in APAC - 2020」、BSI「資訊服務品質深耕獎」、中華徵信所「其他資訊服務業第一名」等知名獎項。

中華資安國際Red Team團隊發現，國內某差勤系統具有多項漏洞(CVE-2021-22853、CVE-2021-22854、CVE-2021-22855)，包括不安全的存取控制、SQL Injection與遠端程式碼執行(RCE)弱點，影響範圍包含部分國內中小企業。【風險等級】高度威脅【影響範圍】差勤系統7.3.2020.1110前的版本【細節描述】CVE-2021-22853：攻擊者取得使用者識別碼資訊後，可透過特定封包存取部分機敏資訊，如使用者登入資訊，進而導致登入功能無法正常使用，此漏洞可歸類於OWASP TOP 10 2017之A5 - Broken Access Control類型中。CVE-2021-22854：攻擊者可在不經過任何身分認證情況下，透過參數注入未經授權的SQL語法，取得資料庫的所有資料，此漏洞可歸類於OWASP TOP 10 2017之A1 - Injection類型中。CVE-2021-22855：攻擊者可在不經過任何身分認證情況下，傳送惡意的序列化物件執行任意指令，此漏洞可歸類於OWASP TOP 10 2017之A8 - Insecure Deserialization類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此差勤系統，建議儘快聯繫廠商進行修補更新。中華資安國際建議採取以下防範措施：使用者：聯繫廠商盡速安裝修補更新檔。系統開發商：在程式開發過程中應針對輸入參數做檢查。系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。【參考資訊】NIST(CVE-2021-22853)NIST(CVE-2021-22854)NIST(CVE-2021-22855)

全球產業正積極布局數位化營運模式，興起智慧工廠、電動車、智慧醫療，甚至於當紅的元宇宙（Metaverse）熱潮，而在其中，人工智慧（AI）、第五代行動通訊網路（5G）、物聯網（IoT）等技術成為實踐的重要推手，也驅動認證規範與安全防護需求受到高度關注。為了提升連網裝置製造商及用戶端資通安全防護意識，讓資安成為數位創新應用發展堅強後盾，行政院推動的「第六期資通安全發展方案」已於2021年初正式通過，推動物聯網合規驗證及場域實證即為重點工作項目之一。例如自中華電信獨立出來的中華資安國際，設立的數位鑑識實驗室已通過ISO 17025認證，目前正在積極導入物聯網裝置檢測實驗室，藉由事前檢測、事中監控應變、事後調查與鑑識，提供一站式專業資安服務。慎防裝置弱點被滲透 成自動攻擊打手中華資安國際鑑識科經理劉叡觀察，近幾年陸續接收到物聯網裝置遭入侵的案例，主要針對DVR（數位影像錄影主機）、網路攝影機、無線路由器、門禁系統等應用場景。駭客利用連網裝置執行滲透的手法，大多會解析網頁操作介面、用戶端軟體、開放的網路服務、韌體更新機制的漏洞。按照以往的經驗，遭駭的連網裝置經常發現緩衝區溢位、命令注入（Command Injection）、撰寫在封裝程式中的弱密碼、權限控管不當、更新檔無驗證機制，導致易被植入後門程式，駭客從中繼站遠端發號施令即可發動攻擊。由於同一款硬體連同韌體程式可以被重複使用或整合在不同產品中，ODM廠商通常會與多間OEM廠商合作，以獲得經濟規模優勢。因而若開發流程有安全問題，恐導致ODM硬體與軟體被複製到多個OEM產品，只要有一個漏洞被攻破，所有跨不同領域的產品線皆受駭。他以DVR生態系舉例，華為、海思半導體、SoC製造商、雄邁設計的主機板組成整體生態系，廠商只要稍加差異化設計、增添自家產品品牌後隨即可出貨。消費者採購時可能會依照品牌知名度挑選，殊不知眾家品牌的底層技術架構皆相同，只要駭客有能力挖掘出一個新漏洞，即可控制各領域的連網裝置，成為入侵跳板、資料竊取後門，或成為殭屍網路成員對外發起DDoS攻擊。實際上，中華資安在2020年總統大選前就曾協助處理過相關案例，劉叡說明，自1月9日起，台灣境內對外發動的DDoS攻擊量創歷史新高，甚至佔用營運商過多骨幹頻寬而影響國際傳輸。中華資安緊急聯手營運商釐清問題根源，並封鎖中繼站，在一週內成功緩解。經過事後調查發現，DDoS攻擊流量源自於2019年11月某廠牌的DVR被開採出新漏洞，儘管該廠商在2020年1月就已發布修補更新，駭客快速發動零時差攻擊仍控制大量DVR裝置，才釀成這起事故。中華資安鑑識團隊透過逆向工程解析蒐集取得的樣本，找到UDP Flood攻擊模組，發現極可能是FBot惡意程式家族，其源自於知名的Mirai病毒所變種，顯見掌握殭屍網路的駭客組織，善於獵取連網裝置漏洞進而加以操控，來壯大殭屍網路規模。之所以鎖定DVR裝置，推測是此類嵌入式系統需要進行影像相關處理，運算資源較其他連網裝置更高，也更容易成為殭屍網路滲透目標。完整報導：網管人

找出OT曝險根因 中華資安國際助力打造安全的智慧工廠國內資安專業服務領導品牌中華資安國際於SEMICON Taiwan國際半導體展，展示智慧工廠的資安檢診與OT SOC監控，並分享近期在高科技製造場域執行的OT資安健診經驗與發現，以及協助企業執行物聯網場域資安防護評估驗證的做法，涵蓋多項5G、AIoT等智慧城市、民生公共物聯網、智慧製造等資安專案，加上先前執行過之軌道與能源等關鍵基礎設施實務經驗、智慧工廠IEC 62443輔導經驗，可以協助半導體產業打造安全的智慧工廠。中華資安國際洪進福總經理表示，近來臺灣不少高科技製造業與關鍵基礎設施遭駭客攻破，中華資安國際也協助部份受駭的高科技製造業與關鍵基礎設施進行資安鑑識及OT資安健診。依實際鑑識與資安健診經驗，可歸納出OT環境存在四大資安痛點，分別是「可視性」、「漏洞修補」、「邊界防禦」與「落實度」，特別是OT與IT沒有適當的隔離控制措施，惡意程式可從IT設備橫向入侵OT網路對產線重要資產造成危害。本次展示的OT資安健診，中華資安國際特別利用「非侵入式的網路封包分析」技術，側錄 OT 場域的訊務行為，藉此洞悉整個產線與工業控制系統的設備資產、網路拓撲，以及其使用的網路協定，藉此建立OT場域的資產可視性、建立正常行為基準線，藉此掌握OT環境的系統、網路的資安漏洞，在評估過程中，100%不影響任何OT設備的運作。至於OT SOC則是持續性的監控OT場域通訊活動有無偏離基準線的狀態，如有設備的行為出現偏差，開始做出像是封包重送、流量攻擊與控制命令植入攻擊等異常行徑，偵測機制都會立即發生警訊，以利管理者趕緊應變處置，避免事態擴大。

國內資安專業服務領導品牌中華資安國際日前宣布與和佳世達南非子公司COREX簽訂合作備忘錄，以中華資安國際在資安領域的專業與自主研發產品，結合COREX公司在南非ICT通路及智慧解決方案的實力，共同攜手合作，佈局非洲聯盟市場。COREX 成立於 2003 年，是南非最著名的ICT產品代理商，從PC零組件供應商起家，專精於網絡、雲端和AIoT等重要垂直領域，目前是佳世達南非子公司，業務涵蓋非洲南部多個國家。近年全球網路攻擊事件頻傳，今年七月南非最大的港口運營商Transnet遭受駭客攻擊而停擺，造成貨運塞港問題嚴峻，原料銷貨受阻，也促成本次合作的重要契機。中華資安國際總經理洪進福表示，本次與COREX合作預計將資安檢測、SOC監控、數位鑑識等資安專業輸出至海外，同時COREX公司也看好端對端加密通訊系統CypherCom以及進階式資安威脅防禦系統SecuTex等台灣自主研發產品在南非市場的潛力。中華資安國際成立近四年來已在國內站穩腳步，同時加速佈局國際市場，選擇南非作為海外拓銷的第一站，預計明年會陸續發酵，有助公司業務穩健成長。中華資安國際專注於資安專業服務與相關軟硬體研發，團隊取得ISO 20000、ISO 27001、與ISO 17025證書，為國內唯一連年榮獲行政院資安服務廠商評鑑全數項目「A級」特優評價之資安公司，並獲得國際知名顧問公司Frost Sullivan 之「2021 Taiwan Managed Security Services Company of the Year Award 」獎項，協助國內15個縣市完成資安區域聯防，也協助眾多重要政府機構、關鍵基礎設施、金融業、高科技製造業以及醫療場域進行資安檢測與防護，專業實力深受肯定。

今年五月台灣疫情升溫，全國停課不停學的線上課程成為現代孩子回不去的學習模式。隨著孩子使用網路頻率越來越高，兒童網路安全危機也成為父母心中的隱憂。親子天下11月進行家庭網路風險調查，將近四成三為網路安全高風險家庭，而父母對於孩子使用網路最擔心的前三名問題則是網路成癮影響生活作息與視力健康及注意力不集中等問題。本集邀請到中華電信兩位來賓和我們一起探討如何打造孩子安全上網環境，分享同樣為人父母的自身經驗，希望透過今天的節目幫助父母快速掌握網路安全知識，共同提升家庭數位素養力！

恭喜中華資安國際獲得國際知名顧問公司 Frost Sullivan「2021台灣年度安全託管服務商大獎」獎項（2021 Taiwan Managed Security Services Company of the Year Award)，由洪進福總經理代表受獎！