在2025年第二星期的资安新闻,适逢多家IT大厂每月例行安全更新发布,其中微软与Fortinet的修补是重要焦点。微软本月修补159个漏洞中,包含了8个零时差漏洞,其中5个已经公开揭露,另外3个更为严重,因为已出现实际利用状况;资安业者Arctic Wolf在1月10日揭露一起Console Chaos攻击行动,指出有攻击者从去年11月针对Fortinet FortiGate防火墙设备发动零时差漏洞利用攻击,4天后Fortinet发布相关修补资安公告。
●微软修补8个零时差漏洞,其中3个已遭利用,分别是:CVE-2025-21333、CVE-2025-21334、CVE-2025-21335,皆涉及Hyper-NT核心整合VSP的漏洞。
●Fortinet修补FortiOS零时差漏洞CVE-2024-55591,并表示该漏洞已遭广泛利用。虽然Fortinet未提及漏洞是由Arctic Wolf通报,但Fortinet资安公告列出的IoC指标与Arctic Wolf的报告吻合。
●互动式BI系统Qlik Sense在2023年修补的漏洞CVE-2023-48365,最近美CISA将其列入限期修补的已知被利用漏洞清单。
另还传出有骇客公布1.5万台Fortinet防火墙的详细组态配置资料、VPN帐密,研究人员推测可能是骇客透过2年前的零时差漏洞取得,虽然许多防火墙可能早已修补,但因这批资料包含防火墙规则的完整资料,因此研究人员提醒不要忽略这些能够防范的风险。
在威胁态势上,使用PlugX恶意程式的中国骇客威胁,是资安界与国家网路安全机构关注的重点,不仅有资安业者揭露攻击态势,后续我们还发现,有国家执法单位正设法积极移除这类威胁的消息。
首先,资安业者Recorded Future揭露中国骇客RedDelta(也叫做Earth Preta、Mustang Panda、TA416)自2023年中旬将网路攻击目标转向蒙古、台湾与东南亚,主要是配合中国外交政策,而且近半年更是扩大攻击范围,锁定马来西亚、日本、美国、衣索比亚、巴西、澳洲、印度。
其次,美国FBI在1月14日宣布,在与法国执法单位及资安公司Sekoia合作下,经美国法院授权,远端删除美国境内4,200电脑上被感染的中国骇客散布的PlugX恶意软体,并通知受影响使用者。
在其他重要威胁态势与事件上,有两起是锁定开发人员与资安研究人员的揭露,包括攻击者假借提供漏洞侦测工具,或是漏洞验证工具,但实则暗藏恶意程式;有两起是勒索软体威胁的最新动向,其中专门针对AWS S3储存桶的勒索软体攻击值得留意,因为攻击者滥用了AWS本身提供的资料保护措施。
●有攻击者提供伪装成以太坊智慧合约漏洞侦测工具的NPM套件,宣称能找出潜在漏洞,实际上该套件暗藏远端存取木马Quasar RAT。
●有骇客假借提供去年12月LDAPNightmare漏洞的概念验证程式码,意图对资安研究人员散布窃资软体。资安专家提醒,若要研究PoC应从原始揭露来源取得。
●新兴勒索软体FunkSec出现值得留意,资安业者Check Point指出这是去年12月,不仅会发动双重勒索,并研判该组织运用了AI辅助开发相关工具。
●新发现有勒索软体骇客的攻击手法,是利用外流或是不慎曝光的AWS金钥,接著滥用了AWS提供的资料保护措施SSE-C将客户资料加密,再向使用者勒索。
此外,还有两起关于台湾上市柜公司的资安事件,专注于石英频率控制元件的泰艺电子在1月12日发布重讯,说明有部分资讯系统遭到网路攻击;国内老牌纺织纤维业者远东新世纪〈原远东纺织〉在1月16日发布重讯,说明他们接获重要资通讯合作厂商通报,与自家公司合作的相关系统有资料外泄疑虑。
资安业者Ivanti公布SSL VPN系统Connect Secure重大层级的漏洞CVE-2025-0282,并透露已出现攻击行动的情况,协助调查的资安业者Mandiant表示攻击者利用该漏洞长达半个月,但究竟有多少骇客加入利用漏洞的行列?有待进一步的调查。
值得留意的是,企业组织应尽速套用修补程式,截至12日,台湾尚有近80台伺服器尚未修补,数量仅次于美国和西班牙。
勒索软体通常针对工作站电脑及伺服器主机而来,骇客将其资料加密,要胁受害者必须付钱换取解密金钥,或是避免资料外流,但如今,有人针对云端储存服务发动相关攻击,引起资安业者的注意。
例如,资安业者Halcyon公布针对AWS S3储存桶攻击的事故,就是这样的例子。特别的是,攻击者并非打造专属的档案加密工具,而是透过AWS提供的资料防护机制犯案。