便民網站遭植入後門程式 資安月報籲限制上傳內容

便民網站遭植入後門程式 資安月報籲限制上傳內容

2021 年 9 月 22 日

最新一期資通安全網路月報顯示,某機關便民服務網站因提供民眾上傳檔案,遭植入後門程式但即時發現;資安月報則提出網站應限制上傳檔案的類型等3項作法,避免類似案件再度發生。


(中央社台北21日電)最新一期資通安全網路月報指出,8月政府機關資安聯防情資共5萬6051件,經分析可明確辨識的威脅種類,第1名為入侵攻擊類達47%,主要是已知中繼站網域連線及國外IP攻擊行為;其次為掃描刺探類占23%,主要為外部主機執行掃描探測攻擊;以及政策規則類有15%,主要為單一帳號持續登入失敗。

依上述情資分析,資安月報指出,近期駭客以請求政府機關業務辦理窗口協助為由,針對特定機關發動社交工程惡意電子郵件攻擊,用夾帶含有個資的壓縮檔附件,誘導使用者開啟後執行惡意程式,行政院國家資通安全會報技術服務中心為此已提供相關防護建議。

另外,8月資安事件通報數量共92件,今年以來只有5月突破120件,其餘單月皆在百件以下。

資安月報也提醒,近日各機關因應疫情採行遠端或居家辦公,應建構安全的網路資訊傳輸原則,如與機關網路通訊應予加密、不得使用公共場所的網路聯網辦公、禁止任意安裝未經機關核准的軟體、電子檔案原則不得由機關外部直接傳輸至內部等。

資安月報這次也刊載某機關便民服務網站,因提供民眾上傳檔案,遭植入後門程式的事件。原來是某機關的便民服務網站提供民眾線上申訴,且可上傳檔案附件,但網站並未限制上傳附件檔案類型,導致駭客成功上傳網頁型後門程式。

資安月報指出,機關廠商在檔案上傳的第一時間即發現異常狀況,並通知機關處理,網站維護廠商也已將上傳程式漏洞修補完成,未使駭客有後續利用機會。

資安月報提醒,「檔案上傳」為常見網站功能,機關除應於網站主機安裝防毒軟體外,若因業務需求規劃網站檔案上傳功能時,應對上傳檔案類型加以限制,上傳的檔案也可透過重新命名或設定唯讀,避免外部直接存取或執行檔案。

 

(圖/攝影師:Tima Miroshnichenko,連結:Pexels)

Close