[新聞] 【獨家】數位部網站爆有嚴重資安漏洞長

備註請放最後面 違者新聞文章刪除 1.媒體來源: 上報 ※ 例如蘋果日報、自由時報（請參考版規下方的核准媒體名單） ※ Yahoo、MSN、LINE等非直接官方新聞連結不被允許 2.記者署名: 呂品逸 ※ 若新聞沒有記者名字或編輯名字，請勿張貼，否則會被水桶14天 ※ 外電至少要有來源或編輯 如:法新社 3.完整新聞標題: 【獨家】數位部網站爆有嚴重資安漏洞長達7個月　專家曝：讓駭客可自由進出、潛伏 ※ 標題沒有完整寫出來 ---> 依照板規刪除文章 4.完整新聞內文: 公家機關資安漏洞已成了國安問題，數位部長唐鳳日前才要針對各部門做資安健檢，但沒想到數位部自家網站卻被抓包有嚴重漏洞長達7個月，有心人不但可以輕易上傳惡意程式竊取資料，更可能在取得主機的系統權限後，進而攻擊其他公部門的網路系統。對此，數位部強調並無機敏資料，經檢測也沒有異常，且網站架構於廠商主機與數位部系統有區隔，網站目前已修復。 資安平台「HITCON ZeroDay」日前接獲通報，指數位發展部建置的「無障礙網路空間服務網」有嚴重漏洞，在標章申請修改的網頁中，檢測功能附檔驗證不嚴謹，導致有心人可透過「改包」的方式繞過檔名限制，進而將惡意程式植入主機中。 資安平台也分析，「無障礙網路空間服務網」中的漏洞讓有心人可以上傳任意檔案到該主機內，更有可能經由上傳的檔案，進而取得該主機系統的權限，不過漏洞在上月初通報之後，已在本月確認修補完成。 對此，有資安專家分析，數位部網站的這個漏洞是非常嚴重的資安問題，攻擊者能夠透過此漏洞，遠端控制數位部的電腦主機，這種情況就像是數位部的門戶敞開，任由駭客來去自如一般。 資安專家解釋，以網路時光機（Wayback Machine）的記錄來看，該網站在2022年8月29日就已經上線，這表示這個漏洞已存在長達7個月，不僅讓外人可以在數位部無法察覺的情況下輕易取得敏感性資料，更糟的是，駭客可能已橫移並潛伏在數位部內部網路中，伺機對政府其他單位發動攻擊。 專家建議，數位部與國安會必須立即採取行動，重新檢視政府單位的網站上線與資安相關的檢查流程，並協同民間資安業者執行模擬真實駭客攻擊檢測，像是深度滲透測試與紅隊演練，提早發現並修補漏洞；此外，數位部需要清查此電腦的相關連線紀錄，並進一步調查是否存在其他的惡意活動，避免資料外洩可能。 對於網站出現資安漏洞，數位部表示，經過調查後，確認「無障礙網路空間服務網」是設置於外部主機內，因此駭客無法利用系統弱點取得與數位部相關的系統權限，也無法於埋入後門潛伏；除此之外，該網站上傳的檔案並不是機敏資料，且經檢視主機連線紀錄，也未發現異常連線，亦沒有資料被竊取。 數位部也進一步說明，「無障礙網路空間服務網」原本屬於NCC，為了方便使用者上傳的資料，因此設計為多樣性資料均可上傳，進而衍生系統弱點。該網站去年8月底由NCC移撥至數位部，數位部今年4月25日接獲通報系統弱點後，當日便關閉檔案上傳功能、調整作業方式，同步檢視該網站資料權限、移除非必要之權限。 數位部在4月28日修復系統弱點，並通知HITCON平台複測，5月6日HITCON平台通知複測無誤。對此，數位部十分感謝HITCON平台，並強調該網站現已補強系統以及程式安全設定，變更所有主機相關連線帳號密碼、更新主機系統與所有應用程式至最新版本。依據資安作業規定，數位部相關人員在時限內完成通報、調查、處理及改善報告，未來將持續加強技術人員資安防護技術及管理訓練。 ※ 社論特稿都不能貼！違者刪除（政治類水桶3個月)，貼廣告也會被刪除喔！可詳看版規 5.完整新聞連結 (或短網址)不可用YAHOO、LINE、MSN等轉載媒體: https://www.upmedia.mg/news_info.php?Type=24&SerialNo=173586 ※ 當新聞連結過長時，需提供短網址方便網友點擊 6.備註: ※ 一個人一天只能張貼一則新聞(以天為單位)，被刪或自刪也算額度內，超貼者水桶，請? ※ 備註請勿張貼三日內新聞(包含連結、標題等) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.93.254 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1685100735.A.D4A.html