美國網路安全暨基礎設施安全局(CISA)近期更新其「已知遭利用漏洞」(Known Exploited Vulnerabilities,KEV)目錄,包括 CVE-2024-7694。
TeamT5 就 KEV 目錄及相關報導所提及的歷史漏洞 CVE-2024-7694,說明如下:
1. 歷史漏洞已完成全面修補
此歷史漏洞為 2024 年於 ThreatSonar Anti-Ransomware 產品中識別之問題。
- 該漏洞由 TeamT5 產品安全事件回應小組(PSIRT)於內部安全檢視過程中主動發現。
- 在發現漏洞後,TeamT5 立即發布修補程式,並主動協助所有受影響客戶更新至已修補版本。
- 所有受影響客戶均已自受影響版本遷移完成;目前無任何客戶系統仍在使用該受影響版本。
TeamT5 並已於 2024 年 7 月發布公告,提供漏洞完整資訊與修補指引。
2. 強化安全態勢與韌性
針對本次事件,以及近期 CISA KEV 更新所凸顯之同類產業風險訊號,TeamT5 已投入資源強化安全實務:
- 強化安全軟體開發生命週期(Secure SDLC)與產品安全控制措施。
- 建立標準化的內部事件回應與漏洞管理流程。
- 延請獨立第三方資安團隊執行紅隊演練,並進行外部安全防禦驗證。
這些措施強化並落實 TeamT5 對產業最佳實務與客戶保護之承諾。
3. 持續監控與威脅偵測
TeamT5 持續監控影響本公司產品及整體資安環境之威脅與漏洞利用活動。我們的資安與威脅情資團隊將持續關注新興風險,並在客戶需要時迅速提供緩解措施與相關支援。
4. 實踐資安社群合作與透明揭露之承諾
我們支持 CISA 所建立的 KEV 目錄機制,能協助企業與組織更有效地判斷哪些漏洞具有實際被攻擊利用的風險,並優先進行修補與防護。TeamT5 將持續與全球資安社群合作,揭露相關資訊,確保客戶能即時掌握風險、獲得必要協助,並維持最佳防護狀態。