回顾2025年5月第四星期的资安新闻中,有两起资安事故的后续消息是大家关切的焦点,分别是上个月19日韩国电信传出2千万用户USIM资料外泄,以及上个月20日台湾高科技设备制造商发布资安事件重讯。
韩国电信业者SK Telecom在资安事故发生后,一个月后他们揭露清查完3万台Linux伺服器,发现最早Web Shell被植入是3年前,共找出BPFDoor等25种类型恶意软体与23台受害伺服器。
台湾CoWoS设备制造商万润科技遭攻击,后续有更多情资浮上台面,有勒索软体骇客组织Bert声称是他们犯下恶行,并扬言握有5 TB内部资料以勒索,万润科技5月18日以澄清媒体报导方式在重讯中申明骇客窃取资料未涉机密。
在最新威胁态势上,有两大焦点,一是攻击者劫持企业云端资源被遗忘的DNS记录,滥用企业子网域来伪冒,一是假冒生成式AI服务提供图片与影片档下载,实际是双重副档名等伎俩伪装的执行档。
●资安业者Infoblox揭露,骇客组织Hazy Hawk借由DNS错误配置来挟持知名企业组织的网域,并透过恶意流量导向系统TDS,将受害者导向恶意网站。
●资安业者Check Point发现,骇客建立Kling AI(可灵AI)影片生成工具假冒网站,生成后提供下载的是伪冒.jpg或.mp4的执行档,可启动恶意程式载入器。
●资安业者Aikido、Veracode揭露新恶意NPM套件攻击,是利用Unicode字元来藏匿恶意程式码,并滥用Google行事历event邀请的短网址来达到目的。
在漏洞攻击态势上,Ivanti漏洞被锁定的状况最受关注,上星期他们修补旗下端点管理平台EPMM两个零时差漏洞(CVE-2025-4427、CVE-2025-4428),通报的CERT-EU表示漏洞已遭利用,后续再有更多攻击事故消息传出。
例如,威胁情报业者EclecticIQ指出,在漏洞修补消息公开后,发现中国骇客组织UNC5221锁定这两项漏洞发动攻击,攻击目标涵盖欧洲、北美、亚太地区,意图窃取与中国政府利益有关的机敏资料;接著资安业者Wiz也揭露有攻击者串连上述漏洞,用于窃取MySQL资料库内容、散布渗透测试工具Sliver,以及上传Web Shell或是反向Shell。
还有2个同样是新获知的漏洞攻击情形,攸关数位看板内容管理系统(CMR)与电子邮件伺服器,目前攻击者身分仍然未知。
●Samsung修补MagicINFO零时差漏洞CVE-2025-4632,资安业者Arctic Wolf指出修补前已遭利用,台湾连锁餐饮业如麦当劳等亦使用此CMR,需注意更新。
●MDaemon Email Server在2024年修补的漏洞CVE-2024-11182,ESET最新揭露俄罗斯骇客APT28攻击行动,指出该漏洞2023年就被用于零时差漏洞攻击。
此外,先前一项已知遭利用的漏洞,有后续消息,今年2月揭露Trimble资产管理系统Cityworks存在零时差漏洞(CVE-2025-0994)已遭利用,思科最新研究报告揭露攻击者身分,指出当时是中国骇客组织UAT-6382所为,美国地方政府网路环境被入侵,攻击者使用TetraLoader、VShell等恶意工具。
在资安防御动向上,有两大重要消息,首先是Pwn2Own Berlin 2025在德国首都柏林举行,目的是为了及早发现未知潜在漏洞,有多家科技大厂提供产品项目与漏洞挖掘奖金,让资安研究人员展现其研究与发现,本次共找出28个零时差漏洞,涵盖虚拟化的VMware ESXi、Oracle VirtualBox等8大类型产品。
其次是Docker宣布推出以预设安全(Secure by default)为核心的容器映像档,称之为DHI安全映像档,强调大幅减少攻击面,仅保留应用执行所需的最小相依元件,且具有自动化持续修补更新机制。
由趋势科技旗下漏洞悬赏专案Zero Day Initiative(ZDI)举行的漏洞挖掘竞赛Pwn2Own,上周末于德国柏林举办,从赛事的组别而言,本次新增了AI项目,参赛者找到的零时差漏洞,有四分之一为此类,足见这项领域的重要性。
但除此之外,这次参赛者的重点得分项目,不少来自VMware ESXi的资安漏洞,其中一个漏洞为参赛队伍提供多达15个积分、15万美元奖金。
VMware近期发布两则资安公告,针对虚拟化平台、混合云平台发布修补程式,这次总共修补7项漏洞,有4项是较为危险的高风险漏洞,而引起注意。
比较值得留意的是,其中3项高风险漏洞皆与VMware Cloud Foundation有关,而且有部分漏洞只要能透过特定的连结埠存取就能触发,因此IT人员要尽速采取行动。