时间来到6月的第二周,本周有几项资安事故特别受到瞩目,尤其有多项与中国有关。首先是资安新闻媒体Cybernews发现疑似为中国政府所有的大型资料库曝险情事,从资料的笔数来看,高达40亿笔创下纪录,研究人员提到,这些资料是精心收集与维护,并分成16种资料集归纳,笔数前3大的资料集涉及微信帐号、住家地址、银行资料,光是这些资料,就有机会让攻击者了解中国民众的生活型态、借贷与存款的情形。
虽然这起资料库曝光主要是印证中国政府无孔不入地监控百姓,但台湾民众也要小心,因为上述资料集当中有一个疑似专门汇整台湾民众的资料,后续的影响有待观察。
另一个我们在意的资安事故,是中国骇客锁定欧美政要及媒体高层等重要人物的零点击攻击,骇客锁定这些人士使用的iPhone手机,利用iMessage漏洞Nickname下手,目前至少有6人确认遭受相关攻击。
第三个资安事故态势,是针对零售业者的全球网路攻击事故,自4月底从英国出现,后续有其他欧洲国家与美国的精品业者及运动用品业者受害,但如今灾情也蔓延到亚洲。这次的苦主,是在韩国K-POP生态系扮演粉丝与偶像重要的桥梁,而有拥有举足轻重地位的Yes24,该公司主要经营书店及销售K-POP和韩剧周边商品,并经营演唱会活动购票平台,因此Yes24于6月9日网站服务停摆受到当地媒体高度关注,并认为很可能会重创韩国艺文界,该公司后续于隔天坦承是遭受勒索软体攻击,并于13日恢复订票等多项服务,至于客户资料是否受到影响,有待Yes24进一步说明。
本周还有其他资安事故揭露也相当值得留意,其中一个是锁定Apache Tomcat大规模尝试暴力破解的情事,与上周揭露5月初利用Amazon代管IP位址寻找超过70种应用系统弱点的情况有些雷同,不禁让人联想两者之间是否有所关连。
此外,针对资安平台的僵尸网路活动也相当特别,有研究人员发现专门针对开放原始码的SIEM、XDR平台Wazuh的攻击行动,骇客试图利用公布不久的已知漏洞发动攻击,由于这类平台往往会存放许多用于资安事故调查所需的资料,利用漏洞带来的影响可能会更加广泛。
附带一提的是,6月初发生服务中断的资安业者SentinelOne,本周公布之前遭到中国骇客攻击的调查结果,由于这两起事故发布的时间点相当接近,让人不禁好奇它们是否有交集。
而在国内的资安消息方面,本周光电封测大厂联钧光电发布资安重讯,对于有媒体报导骇客在地下论坛公开兜售窃得资料的情况进行说明,他们提及在1月遭受勒索软体攻击之后,5月二度受害,这样的情况相当不寻常。
在漏洞修补的部分,本周有许多IT业者发布6月份例行更新,其中微软的公告相当值得留意,因为这次也有零时差漏洞,其中出现在WebDAV的资安漏洞CVE-2025-33053,已被骇客组织Stealth Falcon用于攻击土耳其国防公司。
附带一提的是,微软本周也公布M365 Copilot重大层级漏洞CVE‑2025‑32711,通报此事的资安业者Aim Security将其称做EchoLeak,并指出这是第一个针对AI代理程式的零点击攻击链弱点,不仅会影响Copliot的资料安全,还可能波及其他以检索增强生成(RAG)的AI代理程式或聊天机器人。
除此之外,有两组研究人员揭露Salesforce相关漏洞的消息也相当值得留意,其中一个涉及Salesforce Object Query Language(SOQL)查询;另一批影响低程式码的组态配置。也有两组研究人员公布相关漏洞的系统,还有系微(Insyde)的UEFI韧体H2O,这些弱点皆与非挥发性随机存取记忆体(NVRAM)有关,能绕过安全开机(Secure Boot)防护机制。
多项企业资安产品持续发布漏洞公告,令人忧心后续影响。前一周网路储存设备Dell PowerScale、HPE备份平台StoreOnce、Acronis资料保护与备份软体Cyber Protect陆续修补重大漏洞,本周有趋势科技修补影响端点加密与安全管理平台多项漏洞,以及Palo Alto Networks修补安全浏览器、SSL VPN高风险漏洞的消息,IT人员应尽速采取行动,进行修补或缓解作业。
继5月底传出营运中断的消息,本周资安业者SentinelOne公布遭遇中国骇客攻击的调查结果。尽管两起事故看起来没有直接关连,但是公布的时间点相当接近,仍不免令人好奇它们之间是否有交集。
此外,随著暑假旅游旺季的到来,打著订房网站名号的网钓攻击也相当值得留意,民众必须特别提高警觉;而在资安漏洞的部分,Python压缩档模组重大漏洞、Google帐号的电话号码资讯可被暴力破解的情况,也相当受到瞩目。
这几天有一起韩国追星族可能会首当其冲的资安事故,那就是在韩国经营大型书店,以及演唱会售票平台的Yes24,惊传遭到勒索软体攻击而导致服务停摆,但受害情况、影响范围有待后续追踪。
对于其他的资安事故,Apache基金会重点专案Tomcat遭遇大规模攻击、窃资软体Myth Stealer相当值得留意,而M365 Copliot零点击漏洞、系微(Insyde)UEFI韧体H2O漏洞的揭露,也引起资安界的关注。