數發部資安署近期示警,有機關網站偵測異常連線,經查駭客利用SSLVPN功能漏洞,登入新增帳號,並連線至資料庫主機植入惡意程式。資安署建議,可透過確保資安防護持續有效、更新韌體與弱點補強、落實帳號控管原則、遠端存取限制等4大措施防範。
資安署日前發布114年12月資安月報,有機關網站偵測發現異常連線,經調查駭客利用SSLVPN(安全通訊協定虛擬私人網路)功能漏洞,成功登入並新增帳號,後續連線至資料庫主機植入惡意程式,過程中存有多個資安風險,包括防火牆韌體版本未更新、入侵防禦授權逾期、管理頁面未限制連線來源等。
資安署說明,SSLVPN是一種利用安全通訊協定(如SSL)在網際網路上建立安全加密通道的遠端連線技術,讓使用者可透過瀏覽器在確保資料傳輸機密性與完整性情況下,遠端連線到公司或學校內部資源。
資安署指出,這次事件主要源於資安授權過期、韌體與弱點維護疏漏、帳號權限管理缺失及外部存取控管過於寬鬆等4大面向。由於防護設備韌體未及時更新,攻擊者得以利用已知漏洞並配合概念驗證(PoC)工具,成功繞過身分驗證機制進入系統,透過非法新增帳號植入惡意程式。
為防範類似威脅,資安署建議,建立授權到期預警機制,確保資安設備維持有效授權,以利自動更新特徵碼因應資安威脅,同時,資安設備韌體應納入定期更新排程,檢查已知弱點修補情形。
此外,應落實帳號控管原則,定期清查系統帳號是否有異常新增,停用或移除未使用的服務功能與帳號。遠端連線服務(如SSLVPN、SSH)則應以「原則禁止、例外允許」及「最小權限原則」方式辦理,降低外部入侵風險。
新聞
