文/羅正漢
2025年10月20日
回顧國慶連假後10月第三星期的資安新聞,主要新聞焦點是微軟於10月14日正式終止支援Windows 10,以及Exchange Server 2016/2019、Office 2016/2019,尚未申請延伸安全更新或升級的用戶需特別注意,因為舊版不再提供常規安全更新,也就無法獲得漏洞修補。
在漏洞消息方面,這一星期多家IT、OT業者發布每月例行安全更新,需要大家儘快修補因應,其中微軟一次修補了175個漏洞,數量創今年之最,其中有6個是零時差漏洞,有3個已被用於實際攻擊,包括CVE-2025-24990、CVE-2025-47827、CVE-2025-59230,還有3個在微軟公開之前已被揭露。
對於9月底Cisco修補旗下交換器已遭利用的SNMP相關零時差漏洞CVE-2025-20352,後續趨勢科技揭露相關攻擊手法,並命名為Operation Zero Disco。
關於其他已知漏洞利用消息,包括:Adobe在8月修補的體驗管理方案的漏洞CVE-2025-54253,Rapid7在6月修補Velociraptor開源端點監控與鑑識工具的漏洞CVE-2025-6264,以及基於Linux的唯讀作業系統IGEL OS在6月修補的漏洞CVE-2025-47827,如今都發現有攻擊者鎖定未修補用戶攻擊的情形。
在攻擊態勢方面,國際間有3起與中國駭客有關的活動揭露,其中資安業者F5向美國SEC通報在兩個月前(8月9日)遭國家級駭客入侵,引發全球關注。●F5揭露國家級駭客竊取BIG-IP的產品開發環境與工程知識管理平臺,部分BIG-IP原始碼與尚未公開漏洞資訊外洩。外傳可能與中國駭客UNC5221攻擊活動有關。●ArcGIS的SOE元件被中國駭客組織Flax Typhoon植入Web Shell並充當後門,資安業者ReliaQuest示警,指出這種藉合法流量掩蓋行蹤的活動已超過一年。●有中國駭客利用Log Poisoning手法自8月鎖定網頁伺服器攻擊,資安業者Huntress警告全球已有逾百臺主機受害,其中臺灣占22臺最多,日本、韓國與香港亦受波及。駭客成功入侵後將部署名為中國菜刀的Web Shell,接著並會濫用開源監控工具「哪吒(Nezha)」在受害主機上執行遠端命令。
在臺灣,有3則資安消息成為這一星期熱門新聞,涵蓋汽車維修零件製造商東陽實業,以及先前輔大醫院與中央廣播電臺(央廣)事件的後續。●Qilin勒索軟體10月15日將10家公司列為受害者,包含臺灣上市公司東陽(Tong Yang),我們下午三時求證該公司發言人稱無異狀,傍晚6時發布重訊說明:「收到資訊系統遭受勒索病毒攻擊訊息」。事件具體狀況有待釐清。●輔大醫院今年5月傳出有治療師在院內電腦安裝轉發伺服器元件Ngrok,及雲端硬碟掛載程式RaiDrive,恐導致病人資料外流,如今新北地方法院判決出爐。●央廣網站首頁9月遭惡意置換,臺北地檢署查出2名內部人員、1名資訊廠商人員涉案,雖然被告聲稱是向公司警告網站不安全,但查出國慶日將再度犯案。
另外,國際多起資安事件後續消息也不少,例如,關於MySonicWall遭駭事故,最新調查指出雲端備份服務的客戶均受影響;勒索軟體組織Clop將哈佛大學列於資料外洩名單,疑似透過ERP系統Oracle E-Business Suite的零時差漏洞而得逞,哈佛大學調查中;先前Salesforce許多客戶資料被竊取,最近有消息指出駭客開始公布Qantas澳洲航空乘客資料。
還有殭屍網路威脅肆虐的狀況,有二則新聞與之有關,包括:殭屍網路RondoDox正擴大感染規模,鎖定56種資安漏洞,攻擊逾30個廠牌的連網裝置;殭屍網路Aisuru則鎖定美國ISP的物聯網裝置發動DDoS攻擊。
至於最新威脅研究方面,有兩則消息值得持續留意,一是研究人員新揭露的Android旁通道攻擊手法Pixnapping,該手法如同暗中蒐集片面的模糊化資訊以還原螢幕截圖,9月Google修補後仍可繞過,預計將於12月再度發布更新:另一是Anthropic與英國研究機構實驗發現,只需約250份惡意文件即可在LLM預訓練階段植入後門,顯示攻擊門檻遠低於預期。
【10月13日】中國駭客利用監控工具Nezha攻擊網頁伺服器,臺灣受害最嚴重
中國駭客發動網路攻擊的活動頻頻傳出,但上週末資安業者Huntress揭露濫用開源監控工具「哪吒(Nezha)」攻擊網頁伺服器的活動,引起臺灣資安圈不少關注,原因是受害主機大部分都集中在亞太地區,而且,臺灣災情最為嚴重,有22臺系統被入侵。
另一方面,先前多起重大資安事故也出現後續進展,其中又以Oracle E-Business Suite(EBS)零時差漏洞攻擊CVE-2025-61882事故最受到矚目,最早向新聞媒體透露的Google終於公布調查結果,透露整起攻擊行動至少從7月開始,但隔了一個月才開始利用近日公布的零時差漏洞。
本日最值得留意的情況,是迄今市占仍超過4成的Windows 10作業系統,正式邁入終止支援的階段,讓這款自2015年問世的作業系統下臺一鞠躬。不過,有別於其他微軟旗下產品終止支援的情況,該公司罕見為一般使用者推出要價30美元的延伸安全更新(Extended Security Update,ESU),後續亦開放透過Rewards點數及啟用特定備份功能換取,甚至歐盟用戶可無條件獲得。此外,微軟也為Windows 10用戶提供Microsoft 365額外的3年支援。
另一個相當值得注意的消息與ERP系統Oracle E-Business Suite(EBS)零時差漏洞攻擊有關,勒索軟體Clop將哈佛大學列於資料外洩網站,引起外界關注,這很可能是此次攻擊首度曝光的受害者。
【10月15日】微軟、SAP發布10月例行更新
本週二有許多廠商發布10月份的例行更新,其中最受到關注的部分,包含微軟及SAP發布的公告內容。微軟這次公布6個零時差漏洞,其中有3個被用於實際攻擊行動而受到矚目。特別的是,這些零時差漏洞裡,有兩個與特定廠牌數據機驅動程式有關,另有出現在唯讀端點作業系統IGEL OS、AMD EPYC處理器,以及TPM 2.0的參考實作範本的弱點,後續影響相當值得留意。
SAP本次發布的資安公告內容也非常特別,因為他們針對上個月修補的滿分漏洞CVE-2025-42944祭出新的資安強化措施,但為何要這麼做?參與修補流程的資安業者Onapsis透露,目的是為了防範與反序列化有關的攻擊。
【10月16日】殭屍網路Aisuru與RondoDox擴大攻擊規模和威力
近期有相當多起殭屍網路攻擊的事故,值得關注,其中又以傳出近期多次創下史上最大規模記錄DDoS的攻擊的Aisuru最受到矚目,資安新聞網站Krebs On Security指出,這些駭客在9月先後發動11.5 Tbps、22.2 Tbps規模的攻擊行動後,本月上旬進一步展示、測試更大規模的DDoS攻擊。而RondoDox的攻擊行動也相當值得留意,原因是駭客從本來針對兩個廠牌的網路設備下手,現在已將範圍延伸到超過30個廠牌的設備。
另一個受到全球關注的消息,是F5公布兩個月前發現國家級駭客長期入侵開發環境的事故,由於駭客取得了部分BIG-IP原始碼及未公開的漏洞資訊,這起事故實際造成的影響,有待進一步的調查及追蹤。
【10月17日】思科交換器遭到SNMP零時差漏洞攻擊
思科網路設備與資安設備弱點被用於實際攻擊行動的情況,近半年已有不少例子,其中最近一起活動與ASA、FTD防火牆有關,駭客利用CVE-2025-20333與CVE-2025-20362部署惡意程式RayInitiator、Line Viper;今年7月,有人利用網路存取控制平臺ISE的滿分漏洞CVE-2025-20281、CVE-2025-20282、CVE-2025-20337從事攻擊。最近趨勢科技揭露鎖定該廠牌交換器的攻擊行動,駭客運用了9月底公布的零時差漏洞CVE-2025-20352,而受到高度關注。
駭客組織針對地理位置資訊伺服器(GIS)攻擊的情況,也相當值得留意,在這幾年傳出多起針對OSGeo GeoServer的活動之後,出現有駭客針對其他GIS系統下手的現象,而且,這些駭客還將內部元件改造,充當後門運用。