文/羅正漢
2025年8月18日
在2025年8月第二星期的資安新聞中,多家IT、OT業者發布每月例行性更新,需要大家關注與儘快修補,其中微軟修補17個重大漏洞,是今年數量最多一次,還修補一個涉及Kerberos提權的已公開零時差漏洞。
在漏洞利用方面,WinRAR零時差漏洞的攻擊最受關注,此漏洞通報為CVE-2025-8088,已於7月底修補,最近資安業者ESET公布詳細情形,指出先前俄羅斯駭客組織RomCom(Storm-0978、UNC2596)利用當時未知WinRAR漏洞發動攻擊,鎖定的是歐洲及加拿大的金融、製造、國防、物流產業,並會部署SnipBot、RustyClaw、Mythic等惡意程式。此外,後續還有另一組人馬也加入漏洞利用行列。
另要注意的是,美國CISA也警告,攻擊者正積極利用N-able的N-central遠端監控與管理平臺的零時差漏洞發動攻擊,包括CVE-2025-8875、CVE-2025-8876。
在資安事件方面,法國電信業接連傳出資安事故,繼前陣子大廠Orange遭網路攻擊,又有另一家廠商Bouygues Telecom發布資安事故公告。
還有5則值得關注的資安動態,是先前事件的後續消息,涵蓋駭客組織聯手的狀況,以及多個漏洞攻擊的揭露,還有去年XZ Utils後門的新發現。
●先前駭客組織ShinyHunters接連對保險業、精品業、科技業,以及科技大廠Google、思科發動攻擊,如今資安業者ReliaQuest指出,ShinyHunters正與Scattered Spider聯手犯案,並警告其下一波攻擊目標,可能鎖定金融服務及科技服務供應商。另也傳出這兩個組織與Lapsus$合作的消息,因為Telegram頻道有一ScatteredLapsuSp1d3rHunters帳號,公開安聯等多個受害企業客戶檔案。●上星期傳出SonicWall防火牆疑有零時差漏洞攻擊狀況,如今該公司公布調查結果,指出攻擊是利用去年的已知漏洞,並提醒受害者有一共通點,都是從第6代防火牆作業系統SonicOS遷移至第7代,已經安裝官方的更新修補,但本機用戶密碼並未重置,因而駭客仍能利用先前竊取的憑證來入侵。●今年4月Erlang/OTP SSH函式庫修補一項滿分漏洞,6月證實有攻擊者利用這個已知漏洞發動攻擊,如今資安業者Palo Alto Networks揭露攻擊態勢更嚴峻,指出約有七成的攻擊鎖定保護OT環境的防火牆而來,且攻擊者很有可能以關鍵基礎設施CI為主要目標。●今年4月微軟針對Exchange混合部署環境進行安全變更並發布相關Hot Fix修補程式,本月微軟改口稱這些步驟其實修補一個漏洞,因此公布漏洞編號為CVE-2025-53786。需要注意的是,有研究人員指出,近2.9萬Exchange Server先前一直未安裝修補,至今仍曝險需儘速因應。●關於去年3月的XZ Utils後門事件,遺留問題並沒有徹底解決,影響可能遠超過大家想像,資安業者Binarly指出,發現有一批Docker映像檔是在上述供應鏈攻擊期間建立,因此也存在這個後門程式,但部分映像檔仍能在Docker Hub公開取得,若是維護者沒有刪除,其後門仍有可能擴散並影響生態系。
在資安防禦態勢上,NIST輕量加密標準SP 800-232正式出爐,這項密碼學競賽從2019年發起,目的是推動資源受限的IoT裝置採用加密技術,包括RFID標籤、車載收費裝置與醫療植入設備等,共規範4項規格:Ascon-AEAD128、Ascon-Hash256、Ascon-XOF128、Ascon-CXOF128。
【8月11日】SonicWall防火牆近期遭勒索軟體攻入的原因出爐:駭客利用已知漏洞從事攻擊
近期有數起資安事故出現後續發展,首先是勒索軟體Akira專門鎖定SonicWall防火牆的攻擊行動,原廠定調是利用已知漏洞CVE-2024-40766而得逞;再者,上週有精品業者、科技業者、航空業者傳出採用的第三方系統遭入侵而導致資料外洩,其中Google的事故出現新的進展,有資安新聞媒體指出,駭客竊得該公司潛在客戶的聯絡方式,並向他們勒索約230萬美元的比特幣。
我們將焦點轉回國內,一個月前偵測到資訊系統被入侵的海華科技,上週末發出新的重訊表示,勒索軟體Qilin公布的26份內部資料並非重要內容,他們經評估後確認對公司無重大影響。
【8月12日】俄羅斯駭客挖出WinRAR新的零時差漏洞,已用於網釣
論及解壓縮軟體,WinRAR應該算是知名度最高的其中一款,在今年有多項漏洞揭露引起外界關注,例如:4月揭露的安全機制繞過漏洞CVE-2025-31334,以及6月公布的路徑穿越漏洞CVE-2025-6218,如今有一項新漏洞的細節公布引起外界關注,原因是這項漏洞已被用於實際攻擊行動。
另一項微軟在今年4月緩解的Exchange Server資安漏洞發展也相當值得留意,資安機構Shadowserver基金會指出,他們這幾天偵測到全球有2.8至2.9萬臺伺服器尚未修補,呼籲IT人員應儘速處理。
【8月13日】微軟、SAP發布8月份安全性例行更新
昨天是許多軟體業者、工控設備製造商發布8月例行更新的日子,其中微軟修補的資安漏洞仍然是焦點,原因在於這次重大層級的資安漏洞創下今年新高,多達17個,較前7個月約在10至12個多出不少,這樣的情況也引起資安業者Rapid7、漏洞懸賞專案Zero Day Initiative提出警告,呼籲用戶要優先處理部分漏洞。
另一方面,企業軟體解決方案SAP發布的資安公告也相當值得留意,他們這次公告兩項風險值達到9.9分的漏洞,影響S/4HANA、Landscape Transformation(SLT)兩套系統,攻擊者甚至能拿來當作後門,相當危險。
【8月14日】ShinyHunters、Scattered Spider狼狽為奸
約從7月下旬開始,駭客組織ShinyHunters接連傳出對保險業、精品業、科技業發動攻擊,而且手法疑似都是對這些公司的員工發動語音網釣攻擊,從而竊取Salesforce存放的資料,這樣的情況讓人不禁懷疑他們與駭客組織Scattered Spider有合作關係,如今有資安業者證實此事,表示他們找出多項證據,兩個組織合作已有一段時日。
此外,對於去年3月傳出的XZ Utils程式庫供應鏈攻擊,本週有新的調查結果出爐,指出有擴大的趨勢;今年4月修補的開放電信平臺(OTP)滿分資安漏洞CVE-2025-32433,也出現類定OT環境的攻擊行動。
【8月15日】俄羅斯駭客發動網路間諜行動,鎖定前蘇聯國家挖掘網域控制器與系統帳密
自烏克蘭戰爭開打,俄羅斯駭客的攻擊行動變得更加頻繁,一方面針對烏克蘭進行情報收集,一方面也攻擊聲援烏克蘭的歐洲國家及美國,然而,鄰近俄羅斯、或是前蘇聯國家,也是這些駭客組織情報收集的目標,最近資安業者Bitdefender揭露的Curly COMrades,他們就對喬治亞和摩爾多瓦從事相關攻擊。
除此之外,全錄列印流程自動化軟體FreeFlow的資安漏洞也相當值得留意,通報此事的資安業者Horizon3.ai指出,這些漏洞相當容易利用,而且已被用於實際攻擊行動。