【資安週報】0310~0314，零時差漏洞利用攻擊持續受駭客青睞，作業系統、邊緣裝置與IT供應鏈廠商都遇駭

在2025年2月第二個禮拜的資安新聞中，適逢微軟、SAP等多家IT廠商釋出每月例行安全更新，需要大家儘快修補與因應，而新確認已遭利用漏洞的修補消息，其威脅狀況與攻擊態勢更需我們密切關注，因為當中11個屬於零時差漏洞利用攻擊。我們整理如下：

●微軟有6個，數量最多，涵蓋MMC相關的CVE-2025-26633、Win32相關的CVE-2025-24983，以及NTFS、FAT檔案系統方面的CVE-2025-24984、CVE-2025-24985、CVE-2025-24991、CVE-2025-24993。
●Juniper Networks有1個，是路由器漏洞CVE-2025-21590。攻擊者已查出中國駭客UNC3886所為。
●蘋果有1個，是WebKit漏洞CVE-2025-24201，iPhone用戶傳出遭鎖定攻擊。
●訊舟科技（Edimax）有1個，是網路攝影機IC-7100漏洞CVE-2025-1316。該公司表示該產品已停產10年，不再修補。
●Advantive有2個，是訂單與倉庫管理軟體VeraCore漏洞CVE-2024-57968、CVE-2025-25181，攻擊者已查出是XE Group所為。

值得注意的是，上述微軟有兩個漏洞需特別留意，例如，涉及MMC安全功能繞過的漏洞CVE-2025-26633，ZDI指出超過600家企業組織受影響，幕後攻擊者是EncryptHub（Larva-208）駭客組織，另一個CVE-2025-24983影響可能也很大，因為通報的資安業者指出該漏洞兩年前就已開始遭到利用。

此外，雖然Advantive的產品對臺灣企業來說可能感到陌生，但以攻擊者XE Group來看，過去我們資安日報曾報導他們發動的攻擊事故，該組織相當擅長暗中側錄信用卡與盜刷，如今竟然也有發動零時差漏洞利用攻擊的能力。

在已知漏洞遭利用方面，同樣需要大家留意，尤其是兩個月前Ivanti修補的漏洞，發現首度遭駭客利用的情形。

●Ivanti今年1月修補Endpoint Manager (EPM) 的漏洞CVE-2024-13159、CVE-2024-13160、CVE-2024-13161，如今發現有鎖定未修補用戶的攻擊行動。
●去年6月PHP程式語言修補的重大漏洞，一星期後遭攻擊者鎖定，思科Talos指出今年1月有新一波攻擊針對日本的科技、電信業者、娛樂、教育及研究機構。
●前年3月TP-Link修補的無線基地臺漏洞，已有多次發現遭駭客利用，資安業者Cato Networks指出今年1月有新攻擊是殭屍網路Ballista利用並綁架6千多臺設備。

在其他威脅態勢上，有多項重要消息值得關注，涵蓋供應鏈攻擊、勒索軟體、惡意廣告等不同型態的威脅發現。

●西班牙資安業者Tarlogic Security發現中國樂鑫（Espressif）所生產微晶片ESP32被發現含有29個屬於HCI的隱藏命令（原先研究人員以後門稱之，3月9日改稱hidden feature），目前此項發現已被賦予漏洞編號CVE-2025-27840。
●Bybit交易所加密貨幣遭竊事件真相浮出檯面，遭遇北韓駭客組織Lazarus發動供應鏈攻擊，駭客從Safe{Wallet}下手，最終影響到Bybit。
●Socket資安研究團隊發現北韓駭客組織Lazarus仿冒6個知名NPM套件，試圖以相似的名稱來誘騙開發人員下載。
●勒索軟體Medusa威脅擴大，資安業者賽門鐵克示警，指出今年1、2月的攻擊頻率已經翻倍成長，每月都有超過20家企業受害。
●微軟發現大規模惡意廣告攻擊活動，其手法是透過非法影片串流網站嵌入iframe廣告來散播，並濫用GitHub來託管惡意軟體，影響全球近百萬臺裝置。

在資安防禦進展上，臺灣政府近日公布幾項重大發展，例如，數位發展部部長黃彥男表示，他們將與產業聯手推動SEMI E187第三方驗證制度，並輔導資安廠商發展SEMI E187合規工具，以促進可信賴供應鏈的建立，還有數位憑證皮夾雛形公布，將在3月底開始沙盒試驗並釋出開放原始碼供外界檢視；資通安全研究院院長林盈達也揭露資安院2.0計畫啟動，聚焦8大重點業務，包括：外網曝險分析（EASM）、運用LLM工具、建立戰情牆、目擊情資AI關聯，另要擴充新的業務，主要針對打假打詐、建立資安生態系、強化OT、供應鏈安全而來。

【3月10日】日本科技公司、電信業者、娛樂產業遭到攻擊，起因是PHP已知CGI漏洞尚未修補釀禍

臺灣資安業者戴夫寇爾去年揭露的PHP重大漏洞CVE-2024-4577，公布不久就傳出被勒索軟體TellYouThePass用於攻擊行動，後續有多組人馬攻擊臺灣的大學，如今再度傳出相關資安事故。

思科威脅情報團隊Talos揭露發生在今年1月的攻擊行動，這波專門針對日本的企業組織與研究機構而來，其中又以科技公司與電信業者為主要目標。

【3月11日】DDoS殭屍網路Eleven11bot綁架8.6萬臺網路攝影機

最近兩到三年，駭客綁架大量物聯網裝置並用於DDoS攻擊的情況不時傳出，而近期駭客偏好的標的，包含路由器及無線基地臺等網路設備，以及網路視訊攝影機（NVR）與視訊鏡頭。

有多組資安研究員針對殭屍網路Eleven11bot動向提出警告，就是這樣的例子，此次駭客主要鎖定的標的是海思（HiSilicon）網路視訊攝影機。

【3月12日】微軟發布3月例行更新，其中有6項零時差漏洞已被用於實際攻擊

週二微軟發布例行更新（Patch Tuesday），總共修補57個漏洞，數量相較於2月份的63個略為減少，然而用戶不能掉以輕心，因為這次有6個漏洞已被用於實際的攻擊行動。

對於這些漏洞遭到利用的情況，目前公布的資訊並不多，僅有漏洞懸賞專案Zero Day Initiative（ZDI）透露駭客組織EncryptHub利用CVE-2025-26633的情況。

【3月13日】殭屍網路Ballista綁架6千臺尚未修補的TP-Link無線基地臺

兩年前公布的已知漏洞近期再傳新的攻擊行動！資安業者Cato Networks揭露發生在今年1月上旬的攻擊行動，駭客鎖定的標的，就是尚未修補CVE-2023-1389的TP-Link無線基地臺Archer AX21。

這波攻擊行動駭客綁架了超過6千臺無線基地臺組成殭屍網路，範圍涵蓋美國、澳洲、中國、墨西哥，這樣的情況突顯該漏洞在TP-Link發布相關更新之後，迄今仍有不少設備尚未修補，而讓駭客有機可乘。

【3月14日】國家資通安全戰略2025即將發布，將以全社會防衛為基礎打造國家資安韌性

2016年蔡英文總統上任提出「資安即國安」的核心理念，積極推動國家安全戰略，8年之後賴清德政府延續這樣的基調，預告將提出新的戰略主張《國家資通安全戰略2025》，其中最重要的訴求，就是提升整個社會的防衛韌性。

在最新的資通安全戰略當中，終極願景就是打造堅韌、安全、可信賴的智慧國家。為了實現這樣的目標，此戰略特別強調兩大準則，那就是：戰略夥伴鏈結，以及堅實資安治理機制及防護。