資安院首屆「漏」洞獵捕找出20項 助攻廠商提前修補產品風險
Newtalk新聞
數位發展部資通安全署指導國家資通安全研究院辦理首屆「產品資安漏洞獵捕活動」已圓滿結束,資安院今(27)日公布首屆「產品資安漏洞獵捕活動」成果,活動共集結11家國內指標性資通訊大廠、179 位本土資安研究員,針對網通設備、網路儲存設備(Network Attached Storage, NAS)及工業網通等 20 組產品進行測試,最終確認20項有效漏洞,其中包含3項嚴重等級與6項高風險漏洞。結果顯示,產品在上市前若能透過外部測試驗證,有助提前發現潛在風險、縮短修補時程,進一步強化整體產品安全。
資安院表示,這次活動發現的有效漏洞中,部分元件因使用弱密碼可能導致任意檔案遭讀取,亦有因未妥善檢查參數輸入格式,而產生命令注入(Command Injection)風險等漏洞。
資安院指出,參與活動的179位研究員共有25位成功提交漏洞報告,透過研究員從實際攻擊者視角進行測試,使廠商得以在產品上市前即掌握潛在問題,將原本可能於上市後才暴露的風險提前處理。目前已有廠商配合申請取得6個通用弱點與漏洞(Common Vulnerabilities and Exposures, CVE)編號,資安院也將持續追蹤後續辦理情形。整體而言,參與這次計畫的藍隊廠商皆表達高度意願持續參與後續活動;紅隊研究員亦普遍肯定這次活動整體運作,並建議未來若能進一步明確揭露測試標的資訊與評估標準,將更有助提升漏洞挖掘成效。
隨著歐盟《網路韌性法》(Cyber Resilience Act, CRA)等國際規範逐步上路,強化我國產品安全與供應鏈信任,與提升出口競爭力及國家整體數位韌性密切相關。這次活動優先選擇網通設備、NAS及工業網通等產品進行驗證,主要考量我國相關產品出口海外,在面對國際合規與安全要求時更具急迫性。透過漏洞獵捕活動與上市前既有資安檢測程序相互補強,可協助廠商降低產品上市後才處理未揭露議題的風險,進一步提升產品安全與市場信任。
未來資安署與資安院將持續,推動產品資安驗證工作,並規劃今年9月辦理第二屆漏洞獵捕活動,將以「軟體供應鏈安全驗證」為主軸,針對政府機關常用軟體項目,優先選擇使用率較高或涉及高風險情境之軟體進行驗證,並透過公私協力模式強化MIT產品競爭力,讓臺灣製造從「Made in Taiwan」邁向「Make It Trusted」。