回顾2025年6月第一星期的资安新闻,有一项与浏览器TLS加密凭证合规的消息受到瞩目,是关于Google宣布自Chrome 139(预计2025年8月发布)起,将不信任中华电信与匈牙利Netlock这两家CA(凭证机构)于8月后核发的新TLS凭证,以中华电信问题而言,原因是合规性不足与缺乏有效管理。数发部表示,今年3月已掌握情资,启动政府网站申请双凭证方式来因应。
具体影响在于,届时服务端若向中华电信申请新凭证,使用Chrome浏览的用户将出现连线错误或安全警告提示,虽然其他浏览器未跟进这项措施,Edge、Safari、Firefox的用户不受影响,但Chrome的不信任仍可能让一般用户造成困扰,整个IT领域也关注是否还有其他影响,像是防护系统是否可能因浏览器信任清单,而将采用这些凭证的网站列入不信任名单。中华电信已经宣布,8月起暂停签发新的TLS网站凭证,也承诺争取让自家凭证重获预设信任,但根据Bugzilla纪录的事件资讯来看,如何改善像是误发凭证无法在规范5天内撤销,以及年度自评报告延迟缴交等状况,才是重点。
在资安事故方面,有两大类型议题备受我们关注,首先,是有两起资安业者出状况引发的资安危机:(一)资安业者SentinelOne于5月29日传出多项服务中断,事故原因是将正式系统过渡至新云端架构过程中,误删路由导致组态比对功能异常;(二)自动化资安合规业者Vanta于5月26日发现系统内部程式码错误,导致部分客户敏感资料可被其他客户存取,约有数百家企业受影响。
另一是多家精品与服饰业者接连遭遇事故,相当不寻常:(一)内衣与时尚品牌业者维多利亚的秘密(Victoria’s Secret)上星期网站服务停摆,该公司证实遭遇资安事故因此暂时关闭网站与网路商店服务;(二)精品业者Cartier通知客户系统遭骇,有客户个资外泄状况;(三)户外用品与运动服饰业者The North Face通报4月遭遇帐号填充攻击,部分客户个资外泄。
其他重要资安事故方面,在台湾,联嘉光电于公开资讯观测站发布资安重讯,揭露资讯系统遭到攻击,骇客试图存取总部与部分子公司网路环境;先前美国虚拟货币交易所Coinbase向美国SEC通报资料外泄,最新调查发现事件与两名印度客服外包商TaskUs员工有关;还有法律与商业资讯业者LexisNexis发生客户资料外泄,此事同样因向主管机关通报而曝光,影响人数达36万多人,初步调查显示资料是从该公司使用的GitHub外泄,细节仍待厘清。
在最新威胁态势上,有4则新闻值得留意,涵盖全萤幕BitM攻击手法、滥用合法OpenSSH与Windows内建的API的攻击活动,以及利用挖脚名义锁定高层网钓攻击的揭露。我们整理如下:
●研究人员揭露新的浏览器中间人(BitM)攻击手法,能以全萤幕方式展现,使恶意URL不被看到,降低遭察觉的机会,并指出fullscreen API的安全问题。
●有骇客滥用Windows内建的OpenSSH元件试图建立后门连线,SANS网路风暴中心资安研究人员指出,攻击者透过恶意DLL档案dllhost.exe来启动SSH服务。
●发现勒索软体Lyrix骇客滥用Windows内建的API来隐匿行踪,像是使用GetCurrentProcess、TerminateProcess控制恶意程式的运作等多种方式。
●发现锁定不同产业高层与财务长(CFO)的网路钓鱼攻击,是以其他公司挖角名义来诱骗,攻击范围涵盖欧洲、非洲、加拿大、中东与南亚。
在漏洞攻击威胁方面,有4个零时差漏洞攻击,涵盖Google Chromium与高通GPU晶片,可惜目前还未有具体攻击影响揭露。
●Google修补Chromium V8中1个已遭露利用的零时差漏洞CVE-2025-5419
●高通修补3个涉及GPU已遭利用的零时差漏洞,分别是CVE-2025-21479、CVE-2025-21480、CVE-2025-27038,仅透露已被用于目标式攻击。
●ConnectWise于4月修补的漏洞CVE-2025-3935,近期发现可能遭国家级骇客利用,但也传出可能早在去年8月就已遭利用。
●先前威胁情报业者GrayNoise揭露华硕路由器已知漏洞遭锁定,尤其是CVE-2021-32030、CVE-2023-39780遭骇客利用,后续华硕提醒,后项漏洞与其他4个漏洞也有关。
●旧版网路论坛软体vBulletin存在两项已遭骇客利用的漏洞,分别是:CVE-2025-48827与CVE-2025-48828,但去年4月修补未公布CVE,近期骇客锁定攻击、经资安业者通报,才让这两个CVSS满分的CVE漏洞浮上台面。
至于资安防御动态方面,有3大重点值得大家关注,首先,澳洲政府颁布新规范,针对遭勒索的企业,要求从5月30日起,不仅要通报资安事件,也要在72小时内通报支付赎金的金额,这在国际相当少见;其次,针对骇客组织命名不同问题,微软与CrowdStrike正合作发展一套对照指引,虽然这并非建立共通标准,但目的很明显是要减少资安资讯交流阻碍。
第三项重点是打击网路犯罪。美国财政部指出菲律宾公司Funnull向AWS或Azure购买大量IP位址,再转售给诈骗集团,协助架设投资诈骗网站,因此对Funnull祭出制裁。