文/周峻佑 | 2025-03-10發表

臺灣資安業者戴夫寇爾去年揭露的PHP重大漏洞CVE-2024-4577,公布不久就傳出被勒索軟體TellYouThePass用於攻擊行動,後續有多組人馬攻擊臺灣的大學,如今再度傳出相關資安事故。

思科威脅情報團隊Talos揭露發生在今年1月的攻擊行動,這波專門針對日本的企業組織與研究機構而來,其中又以科技公司與電信業者為主要目標。

 

【攻擊與威脅】

PHP已知CGI漏洞出現攻擊行動,駭客針對日本科技公司、電信業者、遊戲娛樂產業而來

去年6月臺灣資安業者戴夫寇爾揭露PHP程式語言重大層級漏洞CVE-2024-4577,此漏洞存在於CGI參數而有機會被用於注入攻擊,使得攻擊者能藉此用於遠端執行任意程式碼(RCE),如今傳出有人將此漏洞用於攻擊日本。

思科旗下的威脅情報團隊Talos在今年1月發現新一波漏洞攻擊行動,此波威脅主要針對日本的科技、電信業者、娛樂、教育及研究機構而來,但也有電子商城網站受害的情形。這些攻擊行動裡,駭客運用CVE-2024-4577取得初始入侵管道,然後利用能公開取得得Cobalt Strike外掛程式「檮杌(TaoWu)」來進行後續活動,目的是搜刮受害主機的帳密資料。

為了不讓攻擊行動東窗事發,駭客濫用命令列工具wevtutil執行寄生攻擊(LOLBin),刪除作業系統及應用程式的事件記錄。

應用在逾10億藍牙及Wi-Fi裝置的樂鑫晶片,驚傳含有可用來攻擊的隱藏功能

西班牙資安業者Tarlogic Security揭露,有一款同時支援藍牙與Wi-Fi的微晶片ESP32含有未公開的隱藏命令,可被駭客用來執行攻擊行動,例如:仿冒裝置的身分來存取其他裝置。ESP32在市場上的售價為2歐元(約新臺幣72元),是由中國無晶圓廠半導體業者樂鑫(Espressif)生產,估計全球有超過10億臺IoT裝置採用。

這些隱藏命令屬於主機控制器命令(Host Controller Interface,HCI),總計有29個,這些未公開命令被登記為編號CVE-2025-27840的漏洞,可允許駭客修改晶片以解鎖其他功能,植入惡意程式,或是進行裝置身分竊盜攻擊。

上述HCI命令的發現,意謂著駭客可冒充已知裝置連結到手機、電腦或其他智慧裝置,以獲取存在於這些裝置上的機密資訊或商業對話,或是作為監視之用。

微軟揭露大規模惡意廣告攻擊,全球近百萬臺裝置受到影響

微軟威脅情報團隊偵測到一起影響全球近百萬臺裝置的大型惡意廣告(Malvertising)攻擊事件。此次攻擊活動主要透過非法的影片串流網站散播,用戶點擊網站上的影片後,會經過多次重新導向,最終被引導至包含GitHub在內的網路儲存平臺下載惡意程式。微軟指出,GitHub是本次攻擊行動中惡意軟體的主要託管平臺之一,目前相關惡意儲存庫已遭GitHub安全團隊下架處理。

根據微軟的調查,這次攻擊的初步感染來源主要來自非法影音網站上嵌入的iframe廣告,使用者點擊廣告或播放影片時,會先被重新導向至中繼惡意站點,再進一步被導向至GitHub上的惡意儲存庫。攻擊者藉此散布多階段惡意程式,受害裝置感染後,惡意程式會逐步部署更多模組,包括竊取系統資訊、瀏覽器內儲存的帳密資料,以及遠端操控電腦。

其他攻擊與威脅

日本電信業者NTT資料外洩,1.8萬家公司受到波及

駭客組織FIN7、FIN8利用惡意程式Ragnar Loader從事勒索軟體攻擊

逾1千個WordPress網站遭植入JavaScript後門程式

惡意Chrome延伸套件偽裝成密碼管理工具展開攻擊

 

【漏洞與修補】

軟體開發CI持續整合工具Jenkins修補多個中度風險漏洞,類型涵蓋CSRF、開放重新導向、機敏資訊曝露

3月5日以提供持續整合(CI)開發工具而著稱的Jenkins,宣布修補4項中度風險的漏洞CVE-2025-27622、CVE-2025-27623、CVE-2025-27624、CVE-2025-27625,用戶可透過升級至最新版2.500、長期支援版LTS 2.492.2,獲得弱點修補,特別的是,前兩項漏洞與Jenkins在2016年公布的弱點有關,這些漏洞涉及代理程式使用REST API或命令列(CLI)存取的過程,並未如預期對config.xml存放的機敏資訊加密數值進行適當處理,而有可能讓攻擊者有機會能夠檢視相關資料。開發團隊提及,這些漏洞與另一個已知漏洞CVE-2016-3724有關,該漏洞能讓攻擊者有機會讀取組態資料當中,經加密處理的帳密資料。

至於Jenkins此次公開的其餘兩項漏洞CVE-2025-27624、CVE-2025-27625,雖然是中等風險資安漏洞,但不能因此輕忽,它們的類型分別是跨網站請求偽造(CSRF)、開放重新導向(Open Redirect),攻擊者有機會操蹤使用者側邊欄小工具收合狀態,或是將使用者導向其他網站。

其他漏洞與修補

居易路由器存在重大漏洞,攻擊者有機會執行任意程式碼

 

【資安產業動態】

建立可信賴的供應鏈,數發部將和產業聯手推動SEMI E187第三方驗證制度

在2024年,臺灣成功推動半導體設備資安標準SEMI E187,台積電也將此標準列為供應商的採購需求,已有10家設備商取得合規性認證。展望2025年,2月10日數位發展部部長黃彥男表示,他們將與台積電、國際半導體產業協會(SEMI)、全國認證基金會(TAF),以及工研院聯手,共同建立第三方認驗證制度,並輔導資安廠商發展SEMI E187合規工具,建立可信賴的供應鏈。

另外,推動安控及資安產業發展是數發部一個重要的工作重點,因此,輔導相關業者提升資安意識也很關鍵。黃彥男指出,在2024年數發部針對安控及資安產業,輔導9個公協會及其會員提升資安意識,並且協助超過100家企業進行資安健檢;也建立募資輔導機制,輔導2家資安產業籌獲資金,持續擴大產業規模。

 

近期資安日報

【3月7日】勒索軟體駭客Akira透過缺乏防護的網路攝影機散布惡意程式,加密網路環境的檔案

【3月6日】美國指控中國資安業者安洵是中國政府從事全球網路間諜活動的打手

【3月5日】馬偕、彰基接連遭到勒索軟體Crazy Hunter攻擊,衛福部表示駭客恐將系統性對全臺醫院出手

iThome Security

熱門新聞

Advertisement