【資安週報】0203~0208，DeepSeek服務資安風險成焦點，包括資料庫裸奔、無法抵擋基本越獄手法，以及資料與隱私安全問題

隨著春節年假結束，2025年2月第一星期資安新聞中，國內上市櫃公司的資安事故成主要焦點，而在春節期間成熱門話題的DeepSeek，其資安風險消息也屢屢登上新聞版面。

在臺灣資安事件方面，自從2月1日週六（農曆年初四）開始，有多達7家上市櫃公司發布資安重訊。值得留意的是，這段期間遭受攻擊的業者，有多家均屬於印刷電路板（PCB）廠，包括欣興電子、南亞電路板、邑昇實業，其他還有鋼鐵、光學元件、IC通路與記憶體模組等業者。

●欣興電子子公司聯能科技（深圳）遭勒索軟體攻擊
●南亞電路板子公司南亞電路板（昆山）部份資訊系統遭網路攻擊
●邑昇實業部分資訊系統遭受駭客網路攻擊
●美亞鋼管公司網頁及部份資訊系統遭受駭客網路攻擊
●先進光電科技資訊系統遭受駭客網路攻擊
●尚立公司電子郵件系統遭受網路攻擊
●創見資訊旗下Transcend Information部份資訊系統遭受網路攻擊

還有一項消息需要金融領域留意，臺灣春節期間傳出有商家暫停使用感應式行動支付，以及金融機構向特約商店示警新式偽冒交易的狀況，後續Visa說明示警原因，在於發現國際間出現惡意程式驅動刷卡機進行離線交易的手法。

在DeepSeek的消息方面，近期不只因為能夠大幅優化GPU利用效率而受關注，其資料安全、用戶隱私與資安風險，也如同過去ChatGPT爆紅時一樣受到各界檢視，本星期有多起資安新聞都與此有關。
●DeepSeek的ClickHouse資料庫存在配置錯誤問題，雲端資安業者Wiz在1月29日指出其資料庫不設防的問題，導致百萬筆機密日誌曝險。
●由於DeepSeek資安疑慮未釐清的問題，多國政府與臺灣宣布公家機關禁用。
●DeepSeek對多種已知越獄手法無法防範，Kela、Palo Alto Networks、思科等業者測試發現，攻擊者可要求該模型打造惡意程式、提供製作武器的方法，
●DeepSeek的iOS App存在多項資安風險，資安業者NowSecure發現該App使用過時加密技術、明碼傳送資料，並會將部份用戶資料送到中國。
●有駭客假借DeepSeek的名義提供AI工具，目的是在PyPI散布惡意軟體。

至於漏洞消息方面，年假過後的這類消息不少，有5個是零時差漏洞利用狀況，特別是7-Zip的MotW漏洞要注意，因為該漏洞去年9月就遭到利用，11月已修補，直到最近CVE編號才公開，ZDI研究人員指出利用這項漏洞的是俄羅斯駭客，目標為針對烏克蘭政府與企業，意圖植入惡意程式載入工具SmokeLoader。本星期漏洞利用資訊我們整理如下：

●已遭利用零時差漏洞，需儘速修補：蘋果多款產品的漏洞（CVE-2025-24085），Android核心的漏洞（CVE-2024-53104），SonicWall遠端存取產品SMA1000漏洞（CVE-2025-23006），Trimble GIS軟體Cityworks漏洞（CVE-2025-0994），以及7-Zip漏洞（CVE-2025-0411）。
●EOL產品遭零時差漏洞利用，需汰換設備因應：合勤科技CPE通訊設備EOL產品的漏洞（CVE-2024-40891）
●最近一年修補漏洞首度確認遭利用，尚未修補者必須注意：Linux kernel漏洞（CVE-2024-53104），Apache ERP系統OFBiz漏洞（CVE-2024-45195），Audinate Dante Discovery漏洞（CVE-2022-23748），以及微軟Outlook漏洞（CVE-2024-21413）、.NET Framework漏洞（CVE-2024-29059）。
●老舊漏洞被美CISA列入KEV清單須限期修補：Sophos XG Firewall漏洞（CVE-2020-15069）、CyberoamOS漏洞（CVE-2020-29574）；Paessler PRTG網路監視軟體漏洞（CVE-2018-9276、CVE-2018-19410）。

【2月3日】蘋果針對旗下設備修補今年第一個零時差漏洞

在一月底農曆新年過年之前，蘋果對於旗下產品發布作業系統更新，範圍涵蓋電腦、行動裝置、穿戴裝置、影音播放裝置，但引起外界關注的是，其中已有一項漏洞被用於實際的攻擊行動。

針對這項漏洞的資訊，蘋果並未透露太多資訊，僅表示遭到攻擊的裝置存在共通點，那就是它們搭配的作業系統早於iOS 17.2版。

【2月4日】美荷執法單位聯手，撤下提供商業郵件詐騙武器的地下市集

過去一年全球跨國執法行動有不少斬獲，像是歐洲刑警組織（Europol）與全球15國執法單位通力合作，一口氣關閉27個DDoS租用平臺，或是國際刑警組織（Interpol）與40個國家及地區的執法單位聯手，逮捕超過5,500名從事金融犯罪的嫌犯並沒收不法所得。而對於專門提供作案工具買賣的網站，最近也有進展。

美國、荷蘭在一月底聯手，控制用來架設銷售商業郵件詐騙（BEC）工具網站的39個網域，破壞相關伺服器的運作，並公布相關調查成果。

【2月5日】去年修補的7-Zip的MotW漏洞被用於攻擊烏克蘭企業與政府機關

7-Zip在2024年11月發布的24.09版當中，修補能繞過MotW防護機制的漏洞CVE-2025-0411，然而，由於這款解壓縮軟體並未內建自動更新機制，不少使用者可能因為仍在使用舊版而曝險，所以資安圈關注此事，另一個令人大家好奇的部分在於，CVE-2025-0411是如何被發現的？

這個星期ZDI透露他們之所以察覺，是因為俄羅斯駭客利用釣魚郵件攻擊烏克蘭企業組織，過程曾運用這項漏洞，於受害電腦執行任意程式碼，從而散布惡意軟體。

【2月6日】HTTP用戶端軟體自動存取工具被駭客用於挾持M365帳號

專門用來向網頁伺服器發出請求並接收回應的HTTP用戶端（HTTP cilent）應用程式及程式庫，使用者可藉此發出GET、POST、PUT等請求，與伺服器進行互動，然而這樣的工具，攻擊者將其用於網路犯罪的情況也越來越頻繁。

資安業者Proofpoint發現，有人將這類工具用於挾持M365帳號，其中部分工具甚至能被用於對手中間人攻擊（AiTM），繞過多因素驗證的防護機制。

【2月7日】義大利政府驚傳利用間諜軟體Paragon監控記者及異議人士

過往我們聽聞政府利用間諜軟體監控異議人士的情況，多半發生在集權國家，但如今傳出竟有民主國家政府也加入行列。

一週前WhatsApp透露不尋常的零點擊攻擊事故（Zero-click），並指出約有90人遭到鎖定，攻擊者意圖在他們的手機植入間諜軟體Graphite。現在有知情人士透露，這起事故是義大利政府所為。

【2月8日】多家資安業者揭露中國AI工具DeepSeek，美國擬禁政府公務設備使用

本週最受到全球關注的科技大事，莫過於號稱以極成本打造匹敵ChatGPT的中國AI工具DeepSeek，不僅造成了股市動盪，甚至本週OpenAI免費開放ChatGPT的網路搜尋功能，也有人認為與這款中國AI工具橫空出世有關。

然而有多家資安業者發現，DeepSeek R1模型的資安風險不容忽視，能輕易被越獄用於犯罪，而且，行動裝置版App也存在資安風險，該公司亦明確表明資料存放於中國，並會提供其他企業組織及執法機關運用。對此，也傳出美國朝野打算立法禁止政府機關使用的情況。