文/羅正漢
2025年9月15日
回顧2025年9月第二星期的資安新聞,這一星期多家IT大廠發布安全性更新需要我們趕緊因應,涵蓋微軟、SAP、Adobe等,其中微軟的修補中包括2個已被公開的零時差漏洞,以及1個CVSS滿分10分的重大漏洞,而SAP的修補中也包含CVSS風險達10分、9.9分的兩個重大漏洞。
還有多個漏洞利用狀況需要特別關注,其中最嚴峻的是,有攻擊者鎖定客戶體驗管理平臺Sitecore發動零時差漏洞攻擊,該漏洞編號已指派為CVE-2025-53690,揭露攻擊活動的Mandiant更是指出,這起活動的特別之處在於,駭客利用Sitecore在2017年前提供的部署範例machine key,進行網路滲透。
至於針對已知漏洞的新攻擊活動,包括:SAP於8月修補的重大漏洞CVE-2025-42950、CVE-2025-42957,達梭系統(Dassault Systèmes)於6月修補製造營運管理軟體DELMIA Apriso的漏洞CVE-2025-5086,以及TP-Link的已知漏洞CVE-2023-50224與CVE-2025-9377,這些漏洞也首次被證實有攻擊者利用於攻擊行動。
在資安事件方面,這一星期有不少臺灣資安事故浮上檯面,例如,多家上市櫃公司發布資安重訊,其中揭露的兩起網路攻擊事件,與電子商務有關,還有兩起消息的狀況值得留意,一是從奈米醫材的事故說明來看,應是遭遇商業電子郵件詐騙,只是利用的名目從交易匯款變成股利匯款;而智擎提到網站代管廠商遭DDoS攻擊,但公告中並未明確點名代管廠商為何,目前也還沒有網站代管廠商承認遭DDoS攻擊。
●電子商務業者「夠麻吉」表示部分系統遭受駭客網路攻擊●鑫聯大投控代子公司「捷元」公告其B2B採購平臺遭受異常下單●特殊印刷業者「政伸」說明偵測到資訊系統遭受駭客攻擊●醫材業者「奈米醫材」指出旗下AST VisionCare Inc.(ASTVC-US)遭到歹徒冒名,向另一家子公司Millennium Biomedical, Inc.(MBI)寄送電子郵件並提供匯款帳號,導致MBI將原要匯給ASTVC-US的股利款項,匯入歹徒的銀行帳號。●生技醫療業「智擎」指出其官方網站代管廠商遭受網路DDoS攻擊
中信金代子公司台灣人壽保險也發布與個資保護有關的重訊,當中指出台灣人壽因違反保險法及個人資料保護法相關規定,被金管會依保險法與個資法各自開罰360萬元、10萬元與限期1個月改正。
國際間先前兩起重大資安事故有後續消息傳出,一是Salesloft Drift供應鏈攻擊事故,先前該公司未說明OAuth token遭竊原因,最新調查則揭露,駭客自今年的3月至6月,試圖存取該公司的GitHub儲存庫,最終入侵Drift使用的AWS環境,竊得Drift客戶的OAuth憑證,進而從客戶的環境存取經過Drift整合的資料。
另一Nx供應鏈攻擊影響範圍擴大,資安公司Wiz指出,攻擊者除了在初期竊取環境變數與憑證,還進一步濫用外洩的GitHub權杖,目前研判至少有6,700個原本屬於私有的儲存庫遭公開。
此外,這一星期還有熱門套件開發人員Josh Junon遭遇網釣攻擊的嚴重事件,由於他誤信了假冒NPM客服寄來的更新憑證釣魚信,導致開發者帳號遭奪取,使其維護的18個NPM套件(每週被下載合計次數達26億次)被植入惡意軟體。
在資安產業動態方面,國內外有兩則重要消息,一是中華資安正式掛牌上市,成首家上市資安服務業者,另一是日本電子電機巨擘三菱電機(Mitsubishi Electric)宣布以近9億美元的價格,買下OT/IoT資安方案業者Nozomi Networks,以確保其數位平臺的安全性。
【9月8日】Salesloft揭露供應鏈攻擊事故發生的源頭
繼先前一連串鎖定知名企業組織的雲端CRM系統Salesforce資料外洩事故,8月下旬駭客組織UNC6395針對Salesloft Drift用戶發動攻擊,從而竊取存放在Salesforce系統的資料,這樣的情況再度引起資安界高度關注,有多家資安業者也證實受到波及。如今Salesloft公布最新的調查結果,透露駭客是從他們的GitHub儲存庫入侵,然後進行一連串的攻擊行動。
在Salesloft Drift供應鏈攻擊活動的後續之外,也有其他CRM系統遭到鎖定,而成為上週末的焦點。這次駭客盯上的CRM平臺是Sitecore,這代表除了Salesforce之外,也有攻擊者開始針對其他CRM系統用戶下手的情況,這樣攻擊活動過往並不常見。
昨天(8日)下午至傍晚有3家上市櫃公司發布資安重訊,其中最特別的資安事故,是奈米醫材揭露海外投資子公司AST VisionCare Inc.(ASTVC-US)遭到冒名的商業郵件詐騙(BEC),歹徒鎖定的是奈米醫材與ASTVC-US投資的美國公司Millennium Biomedical, Inc.(MBI),看上的是現金股利的款項,這代表歹徒對這些公司的運作觀察相當仔細,而能在MBI發放股利的時候對其下手。
在BEC事故之外,鎖定開發人員的攻擊事故,這兩週變得相當頻繁,占據了今天近半數的新聞版面,其中,又以大規模攻擊行動GhostAction非常值得注意,駭客一口氣竊得逾3千組帳密及憑證;再者,Nx供應鏈攻擊事故後續調查結果出爐,駭客公開逾6千個私人GitHub儲存庫;另一方面,有人假冒NPM客戶,要求套件開發者啟用多因素驗證的網釣活動,目前至少有18款套件受害。
【9月10日】微軟、SAP、Adobe發布9月例行更新
許多軟體廠商及IT業者在本週二發布9月的例行更新,微軟、SAP、Adobe也都發布相關資安公告,影響大多數使用者的微軟公告特別值得留意,因為這次他們修補兩項已被公開的零時差漏洞,分別影響SMB伺服器、SQL Server,然而,若要修補這個SMB伺服器漏洞,不光是套用更新軟體就能完成,還要檢查是否影響用戶端;而影響SQL Server的資安漏洞存在特定元件,最早於2018年就有資安業者發現。
SAP、Adobe本次發布的公告也相當值得留意,其中SAP針對NetWeaver、NetWeaver AS Java修補重大層級漏洞,有1個風險值達到滿分,相當危險;Adobe針對ColdFusion、Adobe Commerce修補重大層級的資安漏洞,並呼籲用戶優先處理。
【9月11日】微軟修補近滿分資安漏洞
在發布每月例行更新(Patch Tuesday)之前,微軟往往還會修補不少資安漏洞,這些漏洞有許多出現在該公司的雲端服務,但並未被列在每月例行更新的資安公告,雖然它們是個別公告的漏洞,仍因爲情節嚴重,吸引資安業者注意,而發出警示,以這個月而言,就有一個出現在Azure Networking的權限提升漏洞,風險值達到10分滿分,使得資安業者Rapid7特別提出警告,並指出用戶可能在遷移雲端資產的過程會需要特別留意。
本週消費性電子設備最受到關注的新品,莫過於蘋果新一代iPhone的發表,在相關的功能改進,以及機型規格的調整之餘,他們也透露這次導入記憶體防護強化機制Memory Integrity Enforcement,目的是對抗日益猖獗的間諜軟體攻擊。
【9月12日】勒索軟體Akira攻擊SonicWall防火牆SSL VPN服務的態勢加劇
資安業者Arctic Wolf於2個月前揭露勒索軟體Akira的攻擊行動,如今仍在持續進行,而且,駭客仍然尋找存在已知漏洞CVE-2024-40766的SonicWall防火牆下手,這樣的情況引起本週澳洲網路安全中心(ACSC)、資安業者Rapid7的關注,並提出警告,Rapid7更進一步推測,駭客可能同時搭配組態配置不當的情形。
我們上週報導駭客將AI工具用於實際攻擊行動的情況,不過AI工具本身存在的弱點也相當值得留意。本週資安公司Oasis公布AI加持的IDE工具Cursor的調查結果,指出在預設組態下,攻擊者有機會讓惡意程式於開發者電腦自動執行;另一方面,OpenAI也指出大型語言模型頻繁出現幻覺(Hallucination)的現象,與現有的評估機制有關,使得語言模型採取亂猜的策略來作答。