亞洲規模最大的資安盛會「臺灣資安大會CYBERSEC 2025」在今天舉行,總統賴清德親臨現場致詞,強調臺灣所處的第一島鏈戰略要衝位置,肩負著民主防線最前線的角色,在網路世界遭受來自各方的駭客攻擊。臺灣威脅態勢加劇的情況,政府也從國家戰略到產業政策來因應。
除此之外,美國在臺協會處長谷立言(Raymond F. Greene)致詞當中,也特別宣布相當有指標意義的消息,那就是在臺美合作之下完成了NIST資安框架2.0(Cybersecurity Framework 2.0)的正體中文翻譯。
【攻擊與威脅】
駭客聲稱握有Fortinet防火牆零時差漏洞,能未經身分驗證執行任意程式碼
本週資安業者Fortinet發布資安公告,指出旗下防火牆遭遇CVE-2022-42475、CVE-2023-27997、CVE-2024-21762等已知漏洞(CVSS風險介於9.2至9.5分)攻擊,駭客鎖定已經啟用SSL VPN功能的設備而來,並透過符號連結(Symbolic Link)建立能持續存取的管道,巧合的是,在此同時也有駭客兜售零時差漏洞。
根據Dark Reading、SecurityWeek等資安新聞媒體的報導,4月13日威脅情報業者ThreatMon提出警告,他們發現有人在暗網論壇聲稱握有Fortinet防火牆設備FortiGate的零時差漏洞,攻擊者一旦觸發,就有機會在未經授權的情況下,遠端執行任意程式碼(RCE),並且完整存取防火牆作業系統FortiOS的組態。
但這項零時差漏洞的消息真實性如何?目前仍不得而知,ThreatMon沒有進一步說明。而Fortinet揭露的攻擊行動是否與這項漏洞有關,也有待資安研究員後續公布調查結果。
AI時代駭客犯罪模式出現轉變,趨勢科技指出駭客將AI當雇員,更容易從事網路犯罪
最近幾年網路犯罪出現分工,網路犯罪者提供作案工具的租用服務,藉此提供打手高靈活性及低成本的作案門檻,其中最常見的就是勒索軟體即服務(Ransomware-as-a-Service)、惡意軟體即服務(Malware-as-a-Service),網路釣魚即服務(Phishing-as-a-Service)等,但隨著AI的廣泛應用,這種「服務化」的網路犯罪生態圈也開始出現變化。
趨勢科技指出,他們觀察到上述的網路犯罪即服務(Cybercrime-as-a-Service)的現象,已隨著網路罪犯採用AI技術,轉變成以AI代理基礎的「網路犯罪即雇員(Cybercrime-as-a-Servant)」,這代表未來網路犯罪生態圈將會出現新的商業模式。目前駭客不僅會利用AI協助開發惡意軟體,也已透過AI針對不同產業、不同語言的使用者,產生專屬的釣魚郵件,而在未來將會有加依賴AI的現象,從AI助理被動提供建議,變成由AI主動執行工作,藉由AI建立自動化流程來提升攻擊效率,進而得到更高的效益。
其他攻擊與威脅
◆俄羅斯遭到駭客組織Paper Werewolf鎖定,透過USB裝置散布蠕蟲
◆巴基斯坦駭客SideCopy鎖定印度,散布Spark RAT、CurlBack RAT
【漏洞與修補】
Nvidia Container Toolkit修補不全,攻擊者有機會逃脫容器系統
GPU大廠Nvidia去年9月發布1.16.2版Container Toolkit,目的是修補涉及時間檢查與時間使用(TOCTOU)造成的競爭條件(Race Condition)漏洞CVE-2024-0132,此漏洞為重大層級,CVSS風險評為9.0分,通報此事的資安業者Wiz指出,由於這項漏洞影響採用Nvidia顯示晶片的容器系統,影響的範圍相當廣,估計有超過35%雲端環境曝險。如今有研究人員發現,Nvidia修補並不完整,攻擊者有機會造成Docker阻斷服務(DoS)的情況。
4月10日趨勢科技指出,他們去年10月分析Nvidia發布的修補程式,結果發現修補不全的情況,並確認新的弱點CVE-2025-23359,會影響在Linux平臺運作的Docker效能,此弱點能讓攻擊者逃逸沙箱隔離機制,存取主機敏感資源,並且會導致重要工作中斷的現象,CVSS風險達到9.0(Nvidia評為8.3分),Nvidia於今年2月發布1.17.4版Container Toolkit、24.9.2版GPU Operator予以修補。
【資安產業動態】
賴清德總統四度親臨臺灣資安大會,從國家戰略到產業政策彰顯資安重要性
亞洲規模最大資安盛會「臺灣資安大會CYBERSEC 2025」於4月15日至4月17日假南港展覽館二館舉行,今年舉辦第十一屆,也是總統賴清德連續第四年應邀蒞臨「臺灣資安大會」。
今年賴清德總統蒞臨大會致詞時表示,政府將持續推動國產自主研發的資安產品與服務,以降低對外部技術的依賴風險。這項宣示也與近年來政府對「資安即國安」的國家資安戰略,以及政府對於資安新創領域高度扶植政策相呼應,更是臺灣在面對持續不斷的網路威脅的態勢下,如何做到保持高度警覺與應變能量,成為真正「資安堅韌之島」的過程。
美國在臺協會處長谷立言(Raymond F. Greene)致詞時表示,臺美之間,在資安領域已經成為緊密的合作夥伴關係,並宣布對臺灣資安產業與企業組織具有指標意義的消息,那就是美國國家標準與技術研究院(NIST)和臺灣經濟部標準檢驗局(BSMI)合作,完成了NIST資安框架2.0(Cybersecurity Framework 2.0)的正體中文翻譯。
憑證產業論壇CA/B論壇(Certification Authority Browser Forum)做出決議,所有SSL/TLS憑證最長效期將由現行398天縮短9成,到2029年剩47天,且每月需更新一次。
CA/B論壇眾家會員廠商於4月11日完成投票,通過蘋果提案的Ballot SC-081v3。4家憑證使用者端(瀏覽器業者)包括蘋果、Google、Mozilla、微軟皆贊成。29家憑證頒發業者(Issuer)24票贊成、5票棄權,無人反對。
在最新決議下,CA/B論壇未來將分階段縮短憑證效期。2026年3月15日起,SSL/TLS憑證最長效期會縮短到200天,更新期將改為6個月更新一次。而網域控制驗證(Domain Control Validation,DCV)重覆使用期限也減到200天。2027年3月15日起,憑證最長效期會再短100天。
