文/羅正漢
2025年9月30日
回顧2025年9月第四星期的資安新聞,最大資安事故是歐洲多個機場的登機系統遭駭(受影響機場包括:英國LHR、德國BER、比利時BRU、愛爾蘭DUB),櫃臺辦理登機手續混亂造成航班延誤,甚至數十個航班被取消。後續,提供自動化登機和行李處理MUSE系統的Collins Aerospace表示,正著手解決問題,24日表示系統還在逐步修復。另外,英國國家犯罪局逮捕與這起攻擊事件有關的四十多歲男子,還有資安專家Kevin Beaumont指出,駭客疑似使用Hardbit勒索軟體變種。
還有一樁國家級資安事故也躍居本星期最熱門新聞,是越南國家信用資訊中心(CIC)遭網路攻擊的事件,該單位在當地金融體系如信用風險評估等具關鍵作用,當地VNCERT已證實此事,資安業者Resecurity也指出,駭客組織ShinyHunters聲稱從CIC資料庫竊得超過1.6億筆記錄。
在漏洞利用消息方面,有攻擊者針對思科產品發動兩起零時差漏洞攻擊,思科先是針對IOS或IOS XE系統修補已遭利用的CVE-2025-20352,之后又針對防火牆ASA與FTD系列產品,修補已遭利用的CVE-2025-20333、CVE-2025-20362。
還有攻擊者鎖定Google Chromium發動零時差漏洞攻擊,其漏洞編號為CVE-2025-10585,目前Google Chrome、微軟Edge、Vivaldi、Brave等瀏覽器均已修補。
在最新威脅態勢上,我們近期製作的封面故事,探討「具身AI」機器人的最新威脅與發展,當中剖析了傳統機器人的差異,同時也說明現代具身AI機器人所面臨的資安風險,從保護AI模型,到AI機器人供應鏈與雲地架構的安挑戰,揭露具身AI機器人攻擊路徑,以及了解機器人該有的資安檢核項目。
還有一則本星期許多人分享的熱門新聞是,研究人員Zero Salarium在其部落格揭露凍結EDR運作新手法,當中提到可透過Windows錯誤報告系統(WER,WerFaultSecure.exe)的條件競爭(Race condition)發動攻擊。
其他威脅態勢方面,社交工程釣魚網站與AI Agent風險成主要焦點,有多起消息與之有關,我們整理如下:
●密碼管理服務業者LastPass遭冒名,駭客設置GitHub儲存庫散布竊資軟體。●資安公司Netcraft揭露兩個網釣即服務(PhaaS)正擴大其危害,Lucid的釣魚樣版鎖定全球63國、164個品牌,Lighthouse則鎖定全球50國、204個品牌。●日前Notion 3.0推出並增加AI Agents與MCP的整合功能,資安公司CodeIntegrity研究人員發現,其AI代理可遭間接提示注入操控。●資安公司Radware揭露ShadowLeak零點擊攻擊,指出透過特製郵件可在ChatGPT深入研究功能中隱藏指令,像是將竊取個資轉換Base64編碼,再附加特定URL參數。
在資安防禦動向上,國內有兩則關於全社會資安人培與產品資安的重要消息。一是資安院公布打造健檢團與服務團,幫助對資安防護感到陌生的中小企業與非營利組織(NGO)強化防禦,同時也推出中小企業適用的資安防護指南手冊;另一是產品資安院漏洞獵捕計畫正式推出,已開放電子產品製造品牌廠商報名,同時也揭露軟體物料清單(SBOM)的最新推動與發展態勢。
【9月22日】歐洲多座機場因登機系統遭到網路攻擊而影響營運
這個週末最受到關注的資安新聞,莫過於歐洲有多個機場因登機系統遭網攻而出現運作中斷的現象,且有部分航班因此被迫取消,這些機場是:柏林機場、布魯塞爾機場,以及位於倫敦的希思羅機場,他們皆透露事故發生的原因,在於Collins Aerospace公司打造的登機系統遭到網路攻擊。近期要前往歐洲的民眾要特別留意航班資訊,並採用其他登機方式(如線上登機)來避免受到影響。
美國聯邦調查局的網路犯罪投訴中心(IC3)再度遭到歹徒冒名的情況也引起關注,值得留意的是,由於駭客仿冒IC3行騙的現象已非首例,加上這次FBI並未透露進一步細節,相關網路犯罪活動的態勢,有待FBI或資安業者公布。
【9月23日】協作平臺Notion導入AI代理,攻擊者可透過惡意PDF檔洩露資料
應用程式導入人工智慧的情況越來越普遍,但同時也可能使得應用程式存在AI相關的資安弱點。例如,最近發布大改版的協作平臺Notion,開發團隊導入了AI代理程式,號稱能自動完成建立文件、更新資料庫、跨工具檢索與多步驟工作流程,但資安業者CodeIntegrity發現,此代理程式有可能被惡意內容操控,使得攻擊者有機會透過內建的網頁搜尋工具外洩資料。
另一項受到外界關注的資安漏洞,是風險值達到滿分的Entra ID(原Azure AD)漏洞CVE-2025-55241,通報此事的研究人員指出,一旦攻擊者成功利用這項漏洞,就有機會透過舊版Azure AD Graph API在任意租戶隨意讀寫,相當危險。
【9月24日】美國拆除由10萬張SIM組成的貓池
為了向民眾大量發送簡訊,或是從事網路詐騙犯罪行為,有些歹徒會架設貓池(Modem Pool,國外稱SIM Farm,直譯為SIM卡農場)來犯案,因此這類設施的出現,背後有可能隱含一系列的網路犯罪。本週美國宣布拆除由10萬張SIM卡組成的貓池,引起高度關注,特別是此貓池架設於聯合國大會舉辦地點的附近,又適逢9月下旬舉行的總辯論,地點和時間點都相當敏感。雖然調查結果尚未出爐,但無論是否與聯合國大會有關,多家媒體報導指出,這些設備若全面運作,有可能對紐約市行動通訊帶來嚴重干擾。
DDoS攻擊相關的網路犯罪也是今天的焦點,其中,資安業者Darktrace揭露名為ShadowV2殭屍網路,駭客以此提供他人現成的受僱型DDoS攻擊服務(DDoS-for-hire);另一方面,本週Cloudflare宣布成功緩解新一波大規模DDoS攻擊,流量峰值達到22.2 Tbps再創下新高。
【9月25日】中國駭客RedNovember滲透多國,臺灣國防、半導體遭鎖定
針對中國國家級駭客在全球各地從事網路間諜活動的現象,上週資安業者Proofpoint揭露針對美中貿易議題的APT41攻擊行動手法、Mustang Panda意圖使用USB蠕蟲SnakeDisk滲透泰國政府的隔離網路(Air-Gap)環境,本週又有資安業者公布新的發現。其中,以資安業者Recorded Future公布駭客組織的全球網路間諜活動最值得留意,因為臺灣是他們的主要目標之一。
Google揭露UNC5221針對美國科技與法律業的活動,也是相當受到矚目的焦點,因為這些駭客從事網路間諜活動的範圍相當廣,竟是鎖定一系列的垂直產業,這樣的情況並不尋常,因此Google推測,駭客的主要目的很可能是要收集能開發零時差漏洞的情報。
【9月26日】資安院漏洞獵捕計畫正式推出
產品資安議題約從兩年前出現大幅變化,歐盟、英國、美國、南韓及新加坡已採取多項行動,現在臺灣也有相關規畫。在昨日數位發展部資通安全署(資安署)與國家資通安全研究院(資安院)聯手舉辦的產品資安論壇裡,資安院產品資安漏洞獵捕計畫正式登場最受到矚目,另外,數位產業署順應國際態勢,將鼓勵共同供應契約廠商,從明年起依機關要求提供軟體物料清單(SBOM)。
另一個資安焦點,與生命週期即將結束的Windows 10有關。微軟近日調整延伸安全更新(ESU)的說明,透露ESU在特定地區可能會有所差異,而這些差異很可能源自歐洲消費者組織(Euroconsumers Group)的要求,必須對歐盟地區用戶提供免成本得到ESU的選項。