文/周峻佑 | 2025-04-16發表

對於漏洞的分析及研究,「常見漏洞披露(CVE)」資料庫,以及「通用缺陷列表(CWE)」廣泛受到全球資安領域採用,一旦不再維護,影響層面有可能相當廣泛。

本週傳出MITRE不再維護CVE、CWE等多項專案的消息,有資安專家指出此事將帶來嚴重衝擊,首先會影響美國國家弱點資料庫(NVD),接著會波及所有使用CVE及NVD分析漏洞的企業組織。

 

【攻擊與威脅】

冒牌電腦版Line針對臺灣而來,恐導致電腦被植入木馬

4月15日資安業者趨勢科技提出警告,他們近期發現有駭客佯稱提供即時通訊軟體Line的電腦版本,意圖散布木馬程式的情況。一旦使用者透過Google搜尋「電腦版Line」等關鍵字,就有可能接觸到這些假網站,若是不慎依照指示安裝,電腦就有可能被植入木馬程式,而有可能面臨個資外洩及裝置遭接管的情況。值得留意的是,這波攻擊行動疑似針對臺灣用戶而來。

由於Line在臺灣的使用率相當高,再加上趨勢科技看到的假網站大多使用正體中文,因此他們研判,攻擊者的主要目標就是臺灣。我們向趨勢科技進一步了解,該公司表示這次的警示資訊,源自於他們在內部偵測到相關事故,根據初步調查的結果,顯示惡意軟體的類型為木馬程式,因此,他們決定呼籲客戶及使用者要提高警覺。

MFT檔案共享系統Cleo受害者首度現身,租車業者Hertz證實受害

去年12月資安業者Huntress揭露鎖定Cleo旗下MFT檔案傳輸系統的攻擊行動,駭客利用零時差漏洞CVE-2024-55956(CVSS風險評分為9.8分)得逞,隨後勒索軟體駭客Clop聲稱是他們所為,向新聞媒體透露有超過60家企業組織受害,其中一家是遭Termite攻擊的SaaS軟體服務供應商Blue Yonder,如今有企業表明受害。

根據Bleeping Computer、Dark Reading、SecurityAffairs、SecurityWeek等多家資安新聞網站報導,大型租車業者Hertz證實,他們在今年2月10日確認發生資料外洩事故,未經授權的第三方人士利用Cleo平臺的零時差漏洞,從去年10月至12月收集Hertz的資料。該公司察覺此事,隨即確認事件影響的範圍,以及個人資料受到影響的人士,並於4月2日完成相關資料分析。

對於遭到外流的資料,Hertz表示包含姓名、聯絡資訊、生日、信用卡資訊、駕照等。有極少量人士的社會安全碼(SSN)、護照、醫療照護資料,或是車禍受傷資訊,也可能被外流。

【臺灣資安大會直擊】AI同事雙面刃,網路犯罪即代理危機浮現

兩年前生成式AI應用爆發,一年半後代理型AI(Agentic AI)發展備受關注,已成為2025年當紅科技焦點,然而,在企業導入AI相關工具以提升營運效率的同時,網路犯罪組織也正同樣這麼做。

2025臺灣資安大會的第一天,負責「前瞻威脅研究」(FTR) 與「敵情監控」(AIM) 團隊的趨勢科技專家,介紹了他們對網路犯罪的最新觀察,同時向所有國內與會者示警,呼籲大家在期待AI Agent應用到來之際,同時也要注意網路犯罪領域可能的重大變革,將出現以AI代理為基礎的新模式──Cybercrime as a Servant。

如今AI技術崛起,網路犯罪局勢更加複雜。Robert McArdle指出,網路犯罪市場也會有所轉型,從現在的Cybercrime as a Service,也就是網路犯罪即服務,轉變為AI代理為基礎的Cybercrime as a Servant。

其他攻擊與威脅

中國駭客UNC5174鎖定Linux而來,散布SnowLight、VShell犯案

俄羅斯駭客APT29鎖定歐洲外交單位下手,散布WineLoader後門

惡意NPM套件鎖定PayPal用戶而來,企圖挾持加密貨幣交易

駭客運用Fast Flux手法建置基礎設施,意圖隱匿行蹤

其他漏洞與修補

Apache基金會修補部落格平臺Roller風險滿分的漏洞

 

【資安產業動態】

CVE與CWE專案的合約本周到期,恐將嚴重衝擊全球資安漏洞管理體系運作

負責管理與維護「常見漏洞披露」(Common Vulnerabilities and Exposures,CVE)資料庫,以及「通用缺陷列表」(Common Weakness Enumeration,CWE)的美國非營利組織MITRE近日傳出,包括這兩項專案的許多專案合約都將在今天到期。外界猜測應是川普大砍美國行政預算所導致。

這項消息的曝光,源自於在社交媒體上流傳的信件,是由負責美國國土安全部窗口的MITRE主任Yosry Barsoum寫給CVE委員會,內容提及包括CVE與CWE在內的多項合約,都將在4月15日到期,倘若CVE服務中斷,可能有多方會受到影響,從國家資料庫、工具供應商、事件回應的操作,到各種關鍵基礎設施等。

資安專家Brian Martin指出,一旦相關預算消失,CVE編號授權單位再也無法分配ID或交予MITRE快速發布,這是美國國家漏洞資料庫(NVD)的基礎,全球所有依賴CVE與NVD分析漏洞的公司都將受到劇烈影響。

【臺灣資安大會直擊】前資安院副院長吳啟文:企業積極導入AI應用,資安防禦應也應擴及AI風險

「資安是持續的風險管理,因此對威脅、趨勢掌握非常重要」,前國家資通安全研究院副院長吳啟文在今年臺灣資安大會中分享在AI時代下的資安防禦思維。

如何管理AI可能帶來的風險?吳啟文借用世界經濟論壇WEF的報告,該報告提出平衡AI與網路安全的風險及報酬的6個問題,作為AI應用管理風險的自評依據,這些問題例如對於使用AI技術具有適當的風險承受能力,且被所有風險所有者理解?在考慮新的AI計畫時,適當的平衡風險與報酬?有效的流程以管理追蹤組織AI計畫發展?確保AI部署符合組織政策與法規義務的驗證流程?等等。

吳啟文認為,WEF的報告提出的6個問題,可讓企業或組織規畫運用AI技術時,先評估自己的準備是否已經完備,已做到上述問題的要求方能考慮AI應用,如果沒有做到則需要重新考慮是否導入AI應用。

 

近期資安日報

【4月15日】總統親臨臺灣資安大會致詞,從國家戰略、產業政策彰顯資安

【4月14日】啟用SSL VPN的Fortinet防火牆遭到已知漏洞攻擊

【4月11日】國家資通安全戰略2025本週正式公布

iThome Security

熱門新聞

Advertisement