今天我們報導兩起資安事故,其共通點就是針對SSL VPN系統而來,其中,尤以針對Fortinet防火牆設備而來的攻擊行動特別值得留意,因為這起事故雖然針對已知漏洞而來,但該公司還是發布新版防火牆作業系統FortiOS因應。
這起事故攻擊者不僅運用了已知漏洞,並透過符號連結(Symbolic Link)手法來回避偵測,但究竟駭客如何取得相關權限而得逞?Fortinet並未說明。
【攻擊與威脅】
啟用SSL VPN的Fortinet防火牆用戶注意!已知漏洞出現攻擊行動
今年1月資安業者Arctic Wolf揭露攻擊行動Console Chaos,駭客鎖定Fortinet防火牆的零時差漏洞CVE-2024-55591而來,隔月Fortinet透露這起攻擊行動攻擊者搭配另一項身分驗證繞過漏洞CVE-2025-24472,然而近期出現攻擊者利用已知漏洞的情況。
4月10日,資安業者Fortinet發布警告,揭露他們近期發現鎖定該廠牌防火牆FortiGate已知漏洞而來的攻擊行動,攻擊者針對已啟用SSL VPN功能的防火牆設備而來,以便在唯讀存取FortiGate的狀態下,持續讀取受害FortiGate設備的檔案系統,而得以擷取系統組態資訊,這些遭到利用的漏洞,包含:CVE-2022-42475、CVE-2023-27997、CVE-2024-21762,CVSS風險介於9.2至9.5分。
Fortinet在察覺此事後啟動PSIRT事件回應工作,開發緩解措施,並與受到影響的客戶合作來因應。該公司呼籲用戶,應更新防火牆作業系統FortiOS至7.6.2、7.4.7、7.2.11、7.0.17、6.4.16版因應這波攻擊。
中國駭客鎖定Ivanti Connect Secure已知漏洞,對臺灣在內的12個國家發動大規模攻擊
今年1月、2月,資安業者Ivanti修補旗下SSL VPN系統Connect Secure(ICS)重大層級漏洞CVE-2025-0282、CVE-2025-22457(CVSS風險評為9.0、9.8分),相關漏洞攻擊引起政府單位及資安業者的高度關注,並揭露駭客使用的惡意程式,如今有新的調查結果指出,漏洞攻擊仍在持續進行,且範圍包含臺灣在內的12個國家。
臺灣資安業者杜浦數位安全(TeamT5)指出,他們在3月底偵測到中國APT駭客利用上述兩項漏洞攻擊ICS系統的情況,這波攻擊行動已在臺灣、日本、南韓、荷蘭、新加坡、英國、美國、奧地利、澳洲、法國、西班牙、阿拉伯聯合大公國出現災情,而對於駭客攻擊的產業類別也相當廣泛,涵蓋近20個不同的產業,值得留意的是,研究人員在著手分析調查的過程裡,這些駭客很有可能仍持續控制受害組織的網路環境。
TeamT5也提及鎖定ICS的攻擊行動升溫的情況,他們自4月以來,發現有大規模嘗試利用ICS漏洞的現象,僅管這些攻擊大部分並未得逞,卻顯著影響這些SSL VPN系統運作,造成不穩定甚至是癱瘓的現象。
其他攻擊與威脅
◆針對中國駭客Volt Typhoon的攻擊事故,中國坦承動機是美國支援臺灣
◆新攻擊手法RemoteMonologue能繞過LSASS防護機制
【漏洞與修補】
Dell修補PowerScale系列NAS系統,包括接管高權限帳號的重大漏洞
作為一線企業級儲存廠商的Dell,4月7日揭露旗下PowerScale NAS的6項漏洞,並釋出修補。這些漏洞存在於9.4.0.0到9.10.1.0版的OneFS儲存作業系統,會影響到基於OneFS的PowerScale與Isilon系列NAS產品。
這些漏洞中,最危險的是CVE-2025-27690,嚴重性被評為9.8分(滿分10分),為使用預設密碼造成,未經身分驗證的攻擊者可藉由遠端存取,接管高權限的用戶帳號。
另外5項漏洞CVE-2025-26330、CVE-2025-22471、CVE-2025-26480、CVE-2025-23378、CVE-2025-26479,嚴重性分別為7.0分、6.5分、5.3分,以及兩個3.1分,會導致用戶存取叢集權限停止、拒絕服務、資料外洩與資料完整性等問題。
其他漏洞與修補
◆Jenkins的Docker映像檔存在主機金鑰重覆使用的弱點
【資安產業動態】
資安年度盛事「Cybersec 2025臺灣資安大會」即將於4月15日至17日於南港展覽館二館舉行,今年邁入第11週年,以「Team Cybersecurity」為主題,集結全球頂尖資安專家帶來逾300場專業演說,匯集全球400多家資安品牌,預計吸引超過2萬名國內外資安專業人士與會。賴清德總統將會在會議第一天開場致詞,而這是總統連續4年出席這項國際級資安會議。
針對今年的大會主題,代表的是當今資安威脅態勢,已是需要全員參與的戰役,每個參與者都是不可或缺,藉由分享洞見、制訂戰略、推動技術創新,所有人必須共同努力,打造未來的資安環境。
HTTPS憑證產業於3月新增兩項安全要求,7月禁止基於WHOIS的弱驗證
憑證頒發機構瀏覽器論壇Certification Authority Browser Forum(CA/Browser Forum)近日通過了HTTPS憑證兩項新的安全要求,包括多方發行驗證(Multi-Perspective Issuance Corroboration,MPIC),以及憑證檢查(Linting),並已於今年3月15日正式實施,而這兩項要求都是由Google內部的瀏覽器憑證管理專案Chrome Root Program所提出。
此外,Google提議淘汰基於WHOIS的電子郵件、電話,以及傳真與實體郵件等驗證方法,以推動更安全的網域控制驗證機制,該禁令預計於今年的7月15日生效。
