【資安週報】0428~0502，新世代資安維運中心Agentic SOC、資安領域專用LLM發展受關注

回顧2025年5月第一星期的資安新聞焦點，此時適逢全球大型資安會議RSA Conference 2025舉行，有多家科技大廠在現場公布最新AI資安發展與成果，iThome也在現場進行第一手報導。其中Google推動代理型資安維運中心，Cisco推出首款開放AI資安模型Foundation AI Security最受矚目，同期間亦有 AI 安全防護與科技防詐等新消息發布。

（一）SOC資安維運中心隨著AI代理進化，Google宣布朝向Agentic SOC發展，並發表兩款AI資安代理，分別是偵測工程代理（Detection Engineering Agent）和應變處理代理（Response Agent），亦在旗下資安解決方案Security Command Center，新增多項AI Protection功能。

（二）資安專業領域LLM的發展受重視，Cisco釋出Foundation-Sec-8B模型，就是鎖定資安領域而來，以Llama-3.1-8B為基礎，強調用資安領域資料訓練而成，涵蓋漏洞資料、MITRE ATT&CK與各類安全工具文件，並以開放權重方式釋出。

（三）AI安全防護新進展，Meta開源多項Llama安全護欄工具，包括可防模型越獄、提示注入攻擊的LlamaFirewall，另也推出可協助分類與標籤的DLP工具、Deepfake詐騙檢測工具，還預告即將開源安全評估套件CyberSec Eval 4。

（四）國內新的資安防禦進展，聚焦防詐科技，數發部、金融科技產業聯盟與玉山金控聯手成立防詐實驗室，強調資料無塵室的概念，以金融無塵室空間限制進出人員攜帶手機或自有3C裝置，讓跨機關合作可在兼顧資安與合規下運作。

還有鴻騰精密成為鴻海集團首位加入FIRST國際資安應變組織的消息，該公司難得公開了自身CSIRT成立的經歷，並表示正著手成立資安治理委員會，要將資安提升至與公司治理同等重要的戰略高度。

在資安事故與威脅態勢方面，韓國電信龍頭SK Telecom遭駭，引發南韓舉國民眾與全球電信業的關注，因為駭客竊取包含消費者與其USIM卡相關資料，涵蓋IMSI、ISDN等敏感資訊，恐造成民眾數位身分證明被冒用；另有三則與DDoS、勒索軟體及國家級駭客行動有關的重要消息。

●韓國電信龍頭SK Telecom於4月遭到入侵，29日公布調查結果，指出攻擊者植入惡意程式並竊走消費者和其USIM卡有關資料，將為2,500萬用戶免費換發SIM卡
●Cloudflare最新報告2025第一季DDoS攻擊攻擊強度暴增，超過1Tbps的大流量DDoS攻擊平均每日8起，其中一次最大攻擊最高峰達6.5 Tbps，創史上最高。
●吉隆坡國際機場3月遭遇攻擊，勒索軟體Qilin將將馬來西亞機場控股公司列為受害者，勒索1千萬美元，這是該組織首度對交通運輸產業下手。
●法國外交部指控俄羅斯駭客組織APT28對當地政府、企業發起網路攻擊，法國網路安全局（ANSSI）亦發布調查報告揭露相關細節及近年遭攻擊的態勢。

在漏洞攻擊消息方面，首先，有一起重大危機，是SAP緊急修補SAP NetWeaver應用伺服器零時差漏洞CVE-2025-31324，呼籲用戶盡速修補，資安業者ReliaQuest通報時已發現這個零時差漏洞遭利用，後續再有多家資安業者表明發現相關攻擊行動，資安業者Nextron Systems更是指出，發現超過1,100套NetWeaver系統已被入侵，多是存在於大型企業及關鍵CI環境，影響相當廣泛。

另一起攻擊事件是針對Commvault備份管理平臺而來，該公司有兩個漏洞遭攻擊者利用於攻擊行動，首先是該公司3月曾透露在2月接獲通報，有國家級駭客利用零時差漏洞攻擊Azure環境，當時已發布自動更新修補，如今公開此CVE編號是CVE-2025-3928。另外，日前修補CVSS滿分漏洞CVE-2025-34028，現也發現遭利用狀況。

此外，還有3個已知漏洞，都有證據表明首次出現被積極利用情形，包括上星期Broadcom Brocade Fabric OS修補的漏洞CVE-2025-1976，以及兩個老舊漏洞，分別是Apache HTTP Server的漏洞CVE-2024-38475 ，SonicWall SMA100 的CVE-2023-44221。

最後還有一項新聞，也是本星期資安無法忽視的話題焦點，因為有研究人員指出微軟4月更新後，C磁碟會出現名為inetpub的資料夾，此狀況引發廣泛用戶討論。微軟表示這是修補漏洞所需，提醒用戶勿刪，但研究人員警告此資料夾可能遭濫用。

【4月28日】SAP、Commvault修補風險達到10分的重大層級漏洞

最近幾天有多則CVSS資安風險達到10分的消息引起關注，這些包括了SAP NetWeaver的任意檔案上傳漏洞CVE-2025-31324、老牌備份軟體Commvault集中管理工具漏洞CVE-2025-34028、內容管理平臺Craft CMS漏洞CVE-2025-32432，以及日前公布的Erlang/OTP SSH程式庫漏洞CVE-2025-32433，思科確認旗下部分產品受到影響。 

其中最值得留意的部分，是資安業者ReliaQuest在調查資安事故發現的CVE-2025-31324，因為已被用於實際攻擊行動；此外，CVE-2025-34028也相當值得留意，因為近期勒索軟體鎖定備份軟體漏洞的情況，也有增加的趨勢。

【4月29日】1千多臺SAP NetWeaver伺服器傳出遭遇滿分漏洞攻擊

有多家資安業者提出警告，SAP在4月24日修補的資安漏洞CVE-2025-31324，已出現實際的攻擊行動，攻擊者在NetWeaver伺服器部署Web Shell。究竟有多少伺服器受害？有研究人員公布新的調查結果。

Shadowserver基金會、網路安全搜尋引擎業者Onyphe、資安業者Nextron Systems先後透露調查結果，值得留意的是，他們揭露的影響範圍有相當大的落差，是否影響範圍還會再擴大，有待進一步的追蹤。

【4月30日】韓國電信業者SKT資料外洩出現進展，該公司將為用戶換發SIM卡

近期韓國出現數起相當嚴重的資安事故，其中一起是韓國電信龍頭SK Telecom（SKT）遭到入侵的消息，本週該公司宣布，他們將為2,500萬用戶免費SIM卡，目前已有超過400萬用戶申請。

值得留意的是，由於該公司SIM卡庫存有限，目前僅有100萬張，必須分批為用戶更換，預估5月底能再更換500萬張，換言之，仍有四分之三無法在5月底前完成更換，後續影響將值得觀察。

【5月2日】思科、Nvida等多家業者在RSAC 2025推出AI資安工具

全球大型資安會議RSA Conference 2025於4月28日至5月1日在美國舊金山舉行，這段期間科技大廠及資安業者紛紛推出AI資安工具，相當熱鬧。

其中，包含Google的新款AI資安代理與次世代自動化Agentic SOC、Cisco推出的開放AI資安模型Foundation AI Security、Nvidia強化AI資料運作中心安全的DOCA Argus框架、Palo Alto Networks發表的Prisma AIRS AI安全管理平臺。巧合的是，Meta也在這段期間開源多項Llama安全護欄工具。