數位部網站爆有嚴重資安漏洞長達7個月 專家曝:讓駭客可自由進出、潛伏

數位部底下的「無障礙網路空間服務網」出現嚴重資安漏洞,專家建議應全面清查。(資料照片/總統府提供)數位部底下的「無障礙網路空間服務網」出現嚴重資安漏洞,專家建議應全面清查。(資料照片/總統府提供)

公家機關資安漏洞已成了國安問題,數位部長唐鳳日前才要針對各部門做資安健檢,但沒想到數位部自家網站卻被抓包有嚴重漏洞長達7個月,有心人不但可以輕易上傳惡意程式竊取資料,更可能在取得主機的系統權限後,進而攻擊其他公部門的網路系統。對此,數位部強調並無機敏資料,經檢測也沒有異常,且網站架構於廠商主機與數位部系統有區隔,網站目前已修復。

資安平台「HITCON ZeroDay」日前接獲通報,指數位發展部建置的「無障礙網路空間服務網」有嚴重漏洞,在標章申請修改的網頁中,檢測功能附檔驗證不嚴謹,導致有心人可透過「改包」的方式繞過檔名限制,進而將惡意程式植入主機中。

數位部的「無障礙網路空間服務網」爆出有資安漏洞長達7個月,本月初才修復。(擷取自該網站)

資安平台也分析,「無障礙網路空間服務網」中的漏洞讓有心人可以上傳任意檔案到該主機內,更有可能經由上傳的檔案,進而取得該主機系統的權限,不過漏洞在上月初通報之後,已在本月確認修補完成。

對此,有資安專家分析,數位部網站的這個漏洞是非常嚴重的資安問題,攻擊者能夠透過此漏洞,遠端控制數位部的電腦主機,這種情況就像是數位部的門戶敞開,任由駭客來去自如一般。

資安專家解釋,以網路時光機(Wayback Machine)的記錄來看,該網站在2022年8月29日就已經上線,這表示這個漏洞已存在長達7個月,不僅讓外人可以在數位部無法察覺的情況下輕易取得敏感性資料,更糟的是,駭客可能已橫移並潛伏在數位部內部網路中,伺機對政府其他單位發動攻擊。

專家建議,數位部與國安會必須立即採取行動,重新檢視政府單位的網站上線與資安相關的檢查流程,並協同民間資安業者執行模擬真實駭客攻擊檢測,像是深度滲透測試與紅隊演練,提早發現並修補漏洞;此外,數位部需要清查此電腦的相關連線紀錄,並進一步調查是否存在其他的惡意活動,避免資料外洩可能。

對於網站出現資安漏洞,數位部表示,經過調查後,確認「無障礙網路空間服務網」是設置於外部主機內,因此駭客無法利用系統弱點取得與數位部相關的系統權限,也無法於埋入後門潛伏;除此之外,該網站上傳的檔案並不是機敏資料,且經檢視主機連線紀錄,也未發現異常連線,亦沒有資料被竊取。

數位部也進一步說明,「無障礙網路空間服務網」原本屬於NCC,為了方便使用者上傳的資料,因此設計為多樣性資料均可上傳,進而衍生系統弱點。該網站去年8月底由NCC移撥至數位部,數位部今年4月25日接獲通報系統弱點後,當日便關閉檔案上傳功能、調整作業方式,同步檢視該網站資料權限、移除非必要之權限。

數位部在4月28日修復系統弱點,並通知HITCON平台複測,5月6日HITCON平台通知複測無誤。對此,數位部十分感謝HITCON平台,並強調該網站現已補強系統以及程式安全設定,變更所有主機相關連線帳號密碼、更新主機系統與所有應用程式至最新版本。依據資安作業規定,數位部相關人員在時限內完成通報、調查、處理及改善報告,未來將持續加強技術人員資安防護技術及管理訓練。

文章來源

You may also like...

發佈留言