随著春节年假结束,2025年2月第一星期资安新闻中,国内上市柜公司的资安事故成主要焦点,而在春节期间成热门话题的DeepSeek,其资安风险消息也屡屡登上新闻版面。
在台湾资安事件方面,自从2月1日周六(农历年初四)开始,有多达7家上市柜公司发布资安重讯。值得留意的是,这段期间遭受攻击的业者,有多家均属于印刷电路板(PCB)厂,包括欣兴电子、南亚电路板、邑升实业,其他还有钢铁、光学元件、IC通路与记忆体模组等业者。
●欣兴电子子公司联能科技(深圳)遭勒索软体攻击
●南亚电路板子公司南亚电路板(昆山)部份资讯系统遭网路攻击
●邑升实业部分资讯系统遭受骇客网路攻击
●美亚钢管指出公司网页及部份资讯系统遭受骇客网路攻击
●先进光电科技资讯系统遭受骇客网路攻击
●尚立指出公司电子邮件系统遭受网路攻击
●创见资讯旗下Transcend Information部份资讯系统遭受网路攻击
还有一项消息需要金融领域关注,台湾春节期间传出有商家暂停使用感应式行动支付,以及金融机构向特约商店示警新式伪冒交易的状况,后续Visa说明示警原因,在于发现国际间出现恶意程式驱动刷卡机进行离线交易的手法。
在DeepSeek的消息方面,近期不只因为能够大幅优化GPU利用效率而受关注,其资料安全、用户隐私与资安风险,也如同过去ChatGPT爆红时一样受到各界检视,本星期有多起资安新闻都与此有关。
●DeepSeek的ClickHouse资料库存在配置错误问题,云端资安业者Wiz在1月29日指出其资料库不设防的问题,导致百万笔机密日志曝险。
●由于DeepSeek资安疑虑未厘清的问题,多国政府与台湾宣布公家机关禁用。
●DeepSeek对多种已知越狱手法无法防范,Kela、Palo Alto Networks、思科等业者测试发现,攻击者可要求该模型打造恶意程式、提供制作武器的方法,
●DeepSeek的iOS App存在多项资安风险,资安业者NowSecure发现该App使用过时加密技术、明码传送资料,并会将部份用户资料送到中国。
●有骇客假借提供AI工具DeepSeek的名义,在PyPI散布恶意软体。
至于漏洞消息方面,年假过后的这类消息不少,有4个是零时差漏洞利用状况,特别是7-Zip的MotW漏洞要注意,因为该漏洞去年9月就遭到利用,11月已修补,直到最近CVE编号才公开,ZDI研究人员指出利用这项漏洞的俄罗斯骇客,目标是针对乌克兰政府与企业,意图植入恶意程式载入工具SmokeLoader。本星期漏洞利用资讯我们整理如下:
●已遭利用零时差漏洞,需尽速修补:苹果多款产品的漏洞(CVE-2025-24085),Android核心的漏洞CVE-2024-53104,SonicWall远端存取产品SMA1000漏洞(CVE-2025-23006),Trimble GIS软体Cityworks漏洞(CVE-2025-0994),以及7-Zip漏洞(CVE-2025-0411)。
●EOL产品遭零时差漏洞利用,需汰换设备因应:合勤科技CPE通讯设备EOL产品的漏洞(CVE-2024-40891)
●最近一年修补漏洞首度确认遭利用,尚未修补者必须注意:Linux kernel漏洞(CVE-2024-53104),Apache ERP系统OFBiz漏洞(CVE-2024-45195),Audinate Dante Discovery漏洞(CVE-2022-23748),以及微软Outlook漏洞(CVE-2024-21413)、.NET Framework漏洞(CVE-2024-29059)。
●老旧漏洞被美CISA列入KEV清单须限期修补:Sophos XG Firewall漏洞(CVE-2020-15069)、CyberoamOS漏洞(CVE-2020-29574);Paessler PRTG网路监视软体漏洞(CVE-2018-9276、CVE-2018-19410)。