==== 資安雙週報 (250215) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 你今天是否裸奔了? - 不要讓你的手機裸奔 - Go 的 Supply Chain Attack - AI 版本的放大攻擊 - GoDaddy 被要求改善? ## ======== 你今天是否裸奔了? ======== ## 根據報導[0] 有超過 3k 以上的 ASP.NET 專案 在公開專案或者程式碼文件中 洩漏金鑰導致攻擊者可以直接使用 之後用來安裝與散步 Godzilla ## ======== 不要讓你的手機裸奔 ======== ## Android 安全性公告[1]表示 有若干安全性更新 其中最嚴重可能讓攻擊者不需具有額外執行權限 即可提升實體權限 ## ======== Go 的 Supply Chain Attack ======== ## 研究人員[2]公布 一種 Go 生態系的 supply chain attack 透過冒充攻擊 BoltDB 套件 (malicious typosquat package) 植入一個可 RCE 的後門程式 當攻擊者成功透過 Go Module Mirror 造成快取污染後 快取伺服器 (Proxy) 會持續提供受污染的版本 ## ======== AI 版本的放大攻擊 ======== ## TWCertCC[3] 分享德國資安研究員的報告 發現 ChatGPT 存在一個 DDoS 攻擊的可能性 透過向 ChatGTP 發起詢問 可以將請求放大 20 ~ 5000 或更大的請求 造成 DDoS 的可能性 因為請求來自 ChatGTP 受害網站難以追蹤攻擊來源 ## ======== GoDaddy 被要求改善? ======== ## 來自網路文章[4] 分享 Hacker News 上的文章 GoDaddy 因為資安問題 而被 FTC 要求建立更安全的資安計畫 [0]: https://www.ithome.com.tw/news/167281 [1]: https://source.android.com/docs/security/bulletin/2025-02-01?hl=zh-tw [2]: https://401.tw/fuDE [3]: https://www.twcert.org.tw/tw/cp-104-8412-5289c-1.html [4]: https://401.tw/PNc7 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.138.111.181 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1739572717.A.D00.html