台湾媒体报道,台湾数位部网站存在严重漏洞长达七个月,使外界能轻易上传恶意程式窃取资料,并攻击其他政府部门的网络系统。
据台湾《上报》星期五(5月26日)报道,资安平台“HITCON ZeroDay”日前接获通报,指数位发展部创建的“无障碍网路空间服务网”有严重漏洞,在标章申请修改的网页中,检测功能验证不严谨,导致有心人可轻易将恶意程式植入网页中。
资安平台分析,上述漏洞让有心人可以上传任意档案到该主机内,更有可能经由上传的档案,取得该主机系统的权限。
对此,有资安专家分析,数位部网站的上述漏洞是非常严重的资安问题,攻击者能够透过漏洞,远端控制数位部的电脑主机,这种情况就像是数位部的门户敞开,任由黑客来去自如一般。
不过,上述漏洞在上月初通报之后,已在本月确认修补完成。
资安专家称,以网络时光机(Wayback Machine)的记录来看,该网站在2022年8月29日就已经上线,表示这个漏洞存在长达七个月才修补完成,不仅让外人可以在数位部无法察觉的情况下轻易取得敏感性资料,更糟的是,黑客可能已横移并潜伏在数位部内部网路中,伺机对政府其他单位发动攻击。
专家建议,数位部与国安会必须立即采取行动,重新检视政府单位的网站上线与资安相关的检查流程,并协同民间资安业者执行模拟真实黑客攻击检测,如深度渗透测试与红队演练,提早发现并修补漏洞;此外,数位部需要清查此电脑的相关连线纪录,并进一步调查是否存在其他的恶意活动,避免资料外泄可能。
对于网站出现资安漏洞,数位部表示,“无障碍网路空间服务网”检测报告中并无机密资料,且经检视主机连线纪录,未发现异常情形;网站架构于厂商主机,攻击者无法利用该系统弱点取得任何数位部相关系统权限。
此外,数位部也感谢HITCON平台通知系统漏洞,经查此服务网站去年8月底由NCC移拨至数位部,弱点起源于该网站之上传档案功能,已于今年4月完成修复。目前依据资安作业规定,已完成调查、处理及改善报告,并将持续加强人员训练。
赞
