亚洲规模最大的资安盛会「台湾资安大会CYBERSEC 2025」在今天举行,总统赖清德亲临现场致词,强调台湾所处的第一岛链战略要冲位置,肩负著民主防线最前线的角色,在网路世界遭受来自各方的骇客攻击。台湾威胁态势加剧的情况,政府也从国家战略到产业政策来因应。
除此之外,美国在台协会处长谷立言(Raymond F. Greene)致词当中,也特别宣布相当有指标意义的消息,那就是在台美合作之下完成了NIST资安框架2.0(Cybersecurity Framework 2.0)的正体中文翻译。
【攻击与威胁】
本周资安业者Fortinet发布资安公告,指出旗下防火墙遭遇CVE-2022-42475、CVE-2023-27997、CVE-2024-21762等已知漏洞(CVSS风险介于9.2至9.5分)攻击,骇客锁定已经启用SSL VPN功能的设备而来,并透过符号连结(Symbolic Link)建立能持续存取的管道,巧合的是,在此同时也有骇客兜售零时差漏洞。
根据Dark Reading、SecurityWeek等资安新闻媒体的报导,4月13日威胁情报业者ThreatMon提出警告,他们发现有人在暗网论坛声称握有Fortinet防火墙设备FortiGate的零时差漏洞,攻击者一旦触发,就有机会在未经授权的情况下,远端执行任意程式码(RCE),并且完整存取防火墙作业系统FortiOS的组态。
但这项零时差漏洞的消息真实性如何?目前仍不得而知,ThreatMon没有进一步说明。而Fortinet揭露的攻击行动是否与这项漏洞有关,也有待资安研究员后续公布调查结果。
最近几年网路犯罪出现分工,网路犯罪者提供作案工具的租用服务,借此提供打手高灵活性及低成本的作案门槛,其中最常见的就是勒索软体即服务(Ransomware-as-a-Service)、恶意软体即服务(Malware-as-a-Service),网路钓鱼即服务(Phishing-as-a-Service)等,但随著AI的广泛应用,这种「服务化」的网路犯罪生态圈也开始出现变化。
趋势科技指出,他们观察到上述的网路犯罪即服务(Cybercrime-as-a-Service)的现象,已随著网路罪犯采用AI技术,转变成以AI代理基础的「网路犯罪即佣兵(Cybercrime-as-a-Servant)」,这代表未来网路犯罪生态圈将会出现新的商业模式。目前骇客不仅会利用AI协助开发恶意软体,也已透过AI针对不同产业、不同语言的使用者,产生专属的钓鱼邮件,而在未来将会有加依赖AI的现象,从AI助理被动提供建议,变成由AI主动执行工作,借由AI建立自动化流程来提升攻击效率,进而得到更高的效益。
其他攻击与威胁
【漏洞与修补】
GPU大厂Nvidia去年9月发布1.16.2版Container Toolkit,目的是修补涉及时间检查与时间使用(TOCTOU)造成的竞争条件(Race Condition)漏洞CVE-2024-0132,此漏洞为重大层级,CVSS风险评为9.0分,通报此事的资安业者Wiz指出,由于这项漏洞影响采用Nvidia显示晶片的容器系统,影响的范围相当广,估计有超过35%云端环境曝险。如今有研究人员发现,Nvidia修补并不完整,攻击者有机会造成Docker阻断服务(DoS)的情况。
4月10日趋势科技指出,他们去年10月分析Nvidia发布的修补程式,结果发现修补不全的情况,并确认新的弱点CVE-2025-23359,会影响在Linux平台运作的Docker效能,此弱点能让攻击者逃逸沙箱隔离机制,存取主机敏感资源,并且会导致重要工作中断的现象,CVSS风险达到9.0(Nvidia评为8.3分),Nvidia于今年2月发布1.17.4版Container Toolkit、24.9.2版GPU Operator予以修补。
【资安产业动态】
凭证产业论坛CA/B论坛(Certification Authority Browser Forum)做出决议,所有SSL/TLS凭证最长效期将由现行398天缩短9成,到2029年剩47天,且每月需更新一次。
CA/B论坛众家会员厂商于4月11日完成投票,通过苹果提案的Ballot SC-081v3。4家凭证使用者端(浏览器业者)包括苹果、Google、Mozilla、微软皆赞成。29家凭证颁发业者(Issuer)24票赞成、5票弃权,无人反对。
在最新决议下,CA/B论坛未来将分阶段缩短凭证效期。2026年3月15日起,SSL/TLS凭证最长效期会缩短到200天,更新期将改为6个月更新一次。而网域控制验证(Domain Control Validation,DCV)重复使用期限也减到200天。2027年3月15日起,凭证最长效期会再短100天。