科技新聞

    網安人才年全球擁有 4 億用家的網站管理平台再被爆出安全漏洞,發現漏洞的安全研究機構 Wordfence 更指這個漏洞的嚴重性在其成立 12 年的歷史中屬最罕見案例,因為它允許黑客遙距發動攻擊,可輕易獲得受影響網站的完全管理權限。現時約有 350 萬個網站可能暴露在這次安全漏洞之下,網站管理員必須即時檢查有否受影響並更新版本,才能阻止黑客入侵。

    官方插件出現嚴重身份驗證漏洞

    這次安全事故的兆因出在 WordPress 的官方插件 Really Simple Security(前身為「Really Simple SSL」)之上,研究員發現在 9.0.0 至 9.1.1.1 版本軟件中,均存在一個嚴重的身份驗證漏洞(CVE-2024-10924),無論是免費和專業版本插件同樣遭殃,導致數以百萬計網站陷入重大安全危機。研究員指出 Really Simple Security 是一款廣受歡迎的安全插件,提供 SSL 配置、登錄保護、雙重因素驗證和實時漏洞檢測等功能,單是免費版本已有超過 400 萬個網站使用。

    漏洞的具體情況是插件在處理雙重因素驗證的 REST API 操作時出現管理不當,其驗制機制原本必須通過核對 user_id 和 login_nonce 參數,如 login_nonce 無效,登入請求本應被拒絕,但存在漏洞的系統版本卻會調用 authenticate_and_redirect() 函數,令黑客可單單通過輸入 user_id 便能登入帳戶。研究員說這個漏洞非常危險,因為黑客可以通過撰寫自動化程式,大舉入侵受影響的帳戶。

    網站管理員需將網站更新到最新版本

    Wordfence 研究員強調,現時開發團隊已在 11 月 1 日和 14 日分別為專業版和免費版發布了安全更新,軟件的版本為 9.1.2,儘管開發者已與 WordPress.org 協調進行強制安全更新,但網站管理員仍需主動檢查並確保他們的網站運行的是最新版本;特別是專業版用家,在其許可證到期時自動更新會被禁用,因此必須手動更新才能阻截入侵渠道。

    截至目前約有 450,000 個用家已下載了最新的免費版本,但估計仍有約 350 萬個網站可能暴露在這次安全漏洞之下。隨著網絡安全威脅的不斷演變,這次事件再次提醒大家,保護網站安全的重要性不容忽視。網站管理員必須時刻保持警覺,及時更新插件,而軟件開發者在開發過程中需要更加注重安全性,加強編碼審查和安全測試,全力防止類似漏洞出現。

    資料來源:https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/

    以全球領先的內容傳遞網絡(CDN)服務而聞名的 Akamai Technologies(下稱 Akamai),隨著市場需求的變化,由 CDN 業務擴展到網絡安全解決方案。Akamai 近日更與在香港具有 38 年歷史的分銷商 ACW Distribution (HK) Ltd(下稱 ACW)展開合作,共同建立多元化網絡安全產品組合,為客戶提供全方位保障,以應對未來不斷改進的法規。

    Akamai 與 ACW 日前於中環舉辦聯合活動,宣布建立合作夥伴關係,場面非常熱鬧。 Akamai 副總裁暨大中華區總經理李昇(Sean Li)在致辭時,指出香港不同行業對於網絡安全的需求都很大,是一個 「Security First」的市場,認為這次合作將為客戶帶來更多的安全解決方案,幫助企業應對網絡威脅。而 ACW 集團持有者及首席執行官劉國威(Andy Lau)表示,ACW 非常重視與客戶之間的信任度, 一直致力物色市場上優秀的產品,如 Akamai,以豐富其產品組合,未來亦會與 Akamai 合作舉辦更多活動。

    Akamai Sean Li 認為香港對網安產品需求甚殷。
    ACW Andy 稱,未來將會與 Akamai 攜手舉辦更多活動。

    網安法例「頭炮」出台 料預防層面受關注

    本港近年發生不少資料外洩事故,均與 Web 應用程式(Web Application)有關。ACW 營運總監馮家祺(Kevin Fung)指出,Akamai 在強勁的 CDN 基礎上,擁有比其他供應商更多數據情報,供安全運營中心(SOC)分析和預測,其提供的 WAAP(Web Application and API Protection)解決方案,能有效應對新興的安全威脅及攻擊。Akamai 香港、澳門及台灣區域總經理黃偉龍(Victor Wong)補充指,API Security 保護方案可以做到更進一步的行為分析(Behavioral Analysis),屬預防性質,然而香港企業對保護 API 的意識,始終比較忽略。

    隨著現今網絡環境的日趨複雜,香港與網絡安全相關的法例亦陸續出台,Victor 及 Kevin 均認為《保障關鍵基礎設施(電腦系統)條例草案》屬「頭炮」,未來將有更多客戶需在一定的時間壓力下,盡快滿足法規需求。Victor 解釋道:「我哋估計唔止係保護層面,喺分析同預防層面都需要唔同工具幫手,睇到個商機好大。」而現在正是好時機,供企業重新思考投放於網絡安全方面的資源、預算、經驗等,重整旗鼓。

    結合雙方優勢 全方位滿足企業安全需求

    不過,在網絡安全範疇,單一的解決方案已無法滿足客戶所有需求,要為客戶提供整體方案、帶來協同效應,便需要與有共同目標的分銷商合作。Victor 讚賞 ACW 在市場上擁有多年經驗,與很多尖端網絡安全供應商建立了長期合作關係,擁有豐富和全面的產品組合,因此能更吸引客戶,並形成緊密的生態合作夥伴網絡。Victor 表示 Akamai 當前主要是提供雲端產品,再結合 ACW 的其他在地(On-Premises)產品,便能為客戶提供「天與地」的全面安全解決方案組合,滿足企業在不同環境下的安全需求,故相信 ACW 是Akamai 在香港市場拓展的理想夥伴。

    Akamai 本身是一間歷史悠久的公司,在網絡安全方面有 26 年的經驗,亦已在港紮根 15 年,為了實現雙方合作共贏,ACW 將提供全面的銷售培訓和技術支援,幫助合作夥伴推廣產品,提升市場競爭力。此外,ACW 將設有專門的售後服務團隊,確保客戶在售前和售後都能獲得專業建議,從而增強客戶滿意度。Kevin 相信憑藉 ACW 在 IT 行業的多年經驗和強大的客戶關係,將有效地推動 Akamai 的市場擴展,在旁的 Victor 笑言:「期望我哋嘅 Partner 都可以有翻倍生意!」

    網安人才年全球擁有 4 億用家的網站管理平台再被爆出安全漏洞,發現漏洞的安全研究機構 Wordfence 更指這個漏洞的嚴重性在其成立 12 年的歷史中屬最罕見案例,因為它允許黑客遙距發動攻擊,可輕易獲得受影響網站的完全管理權限。現時約有 350 萬個網站可能暴露在這次安全漏洞之下,網站管理員必須即時檢查有否受影響並更新版本,才能阻止黑客入侵。

    官方插件出現嚴重身份驗證漏洞

    這次安全事故的兆因出在 WordPress 的官方插件 Really Simple Security(前身為「Really Simple SSL」)之上,研究員發現在 9.0.0 至 9.1.1.1 版本軟件中,均存在一個嚴重的身份驗證漏洞(CVE-2024-10924),無論是免費和專業版本插件同樣遭殃,導致數以百萬計網站陷入重大安全危機。研究員指出 Really Simple Security 是一款廣受歡迎的安全插件,提供 SSL 配置、登錄保護、雙重因素驗證和實時漏洞檢測等功能,單是免費版本已有超過 400 萬個網站使用。

    漏洞的具體情況是插件在處理雙重因素驗證的 REST API 操作時出現管理不當,其驗制機制原本必須通過核對 user_id 和 login_nonce 參數,如 login_nonce 無效,登入請求本應被拒絕,但存在漏洞的系統版本卻會調用 authenticate_and_redirect() 函數,令黑客可單單通過輸入 user_id 便能登入帳戶。研究員說這個漏洞非常危險,因為黑客可以通過撰寫自動化程式,大舉入侵受影響的帳戶。

    網站管理員需將網站更新到最新版本

    Wordfence 研究員強調,現時開發團隊已在 11 月 1 日和 14 日分別為專業版和免費版發布了安全更新,軟件的版本為 9.1.2,儘管開發者已與 WordPress.org 協調進行強制安全更新,但網站管理員仍需主動檢查並確保他們的網站運行的是最新版本;特別是專業版用家,在其許可證到期時自動更新會被禁用,因此必須手動更新才能阻截入侵渠道。

    截至目前約有 450,000 個用家已下載了最新的免費版本,但估計仍有約 350 萬個網站可能暴露在這次安全漏洞之下。隨著網絡安全威脅的不斷演變,這次事件再次提醒大家,保護網站安全的重要性不容忽視。網站管理員必須時刻保持警覺,及時更新插件,而軟件開發者在開發過程中需要更加注重安全性,加強編碼審查和安全測試,全力防止類似漏洞出現。

    資料來源:https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/