5月底Google宣布Chrome瀏覽器預設信任機制將祭出新的措施,其中有兩家CA業者的合規改善情況未達到要求,造成可靠性下降,他們決定從Chrome 139開始,移除對於這兩家CA於8月之後核發的新TLS憑證的信任,由於其中一家CA是臺灣電信龍頭中華電信,這項消息很快就引起國內關注。
由於此事影響的層面可能會相當廣泛,中華電信也緊急發布聲明說明處理情形,數位發展部也透露公部門網站已採取雙憑證因應。
【攻擊與威脅】
軟體供應商ConnectWise遭遇國家級駭客攻擊,部分ScreenConnect用戶遭鎖定
5月28日軟體業者ConnectWise發布資安公告,指出他們察覺網路環境出現可疑活動,攻擊者的身分疑似與國家級駭客有關,並指出這起事故影響極少數遠端桌面軟體ScreenConnect用戶,他們已尋求資安業者Mandiant協助調查此事,並通知受到影響的用戶。
在網路環境遭到入侵後,該公司加強監控並強化防護,並於4月24日發布ScreenConnect修補程式因應,並指出他們對於雲端版本的ScreenConnect實體套用後,就再也沒有出現可疑活動的跡象。
針對這起事故,ConnectWise透露的資訊並不多,他們初步認為這並非勒索軟體攻擊,並未透露實際受害用戶規模,也沒公布攻擊者的身分,說法也很含糊,該公司提及4月24日的修補程式,不禁讓人懷疑是否間接透露當時修補的驗證方式不適當漏洞CVE-2025-3935早就遭到利用?但這樣的猜測,顯然有待進一步的證據佐證。
其他攻擊與威脅
◆GitHub現成工具被用於挖礦攻擊,駭客藉此濫用DevOps API
◆求職信網釣鎖定財務長而來,駭客利用遠端存取工具Netbird得逞
◆研究人員揭露Azure AD重大漏洞,逾5萬用戶曝露於不安全的API而面臨風險
【漏洞與修補】
6月2日高通發布本月例行更新,總共修補18項弱點,其中有2項為重大層級、11項為高風險層級、5項為中度風險層級,值得留意的是,其中有3項漏洞CVE-2025-21479、CVE-2025-21480、CVE-2025-27038,已被用於針對數量有限的目標從事攻擊行動。
這些已遭利用的資安漏洞,先後由Google旗下的Android資安團隊通報,皆與顯示晶片(GPU)有關,其中被列為重大層級的CVE-2025-21479、CVE-2025-21480,發生的原因都是不正確的授權,在執行特定命令的過程中,可能導致GPU微節點(Micronode)未經授權執行命令,從而出現記憶體中斷的現象,CVSS風險為8.6分(滿分10分)。
第3個遭到利用的漏洞CVE-2025-27038為高風險層級,同樣也會造成記憶體中斷,此為記憶體釋放後再存取利用(Use After Free)漏洞,發生在Chrome運用Adreno GPU驅動程式渲染圖像的過程,風險值為7.5。
針對遭殭屍網路AyySSHush利用的路由器漏洞,華碩針對這些資安弱點公告提出說明
上週威脅情報業者GrayNoise揭露鎖定華碩路由器而來的殭屍網路AyySSHush攻擊行動,並指出過程當中駭客運用已知漏洞CVE-2023-39780與兩個未登記CVE編號的弱點,停用與趨勢科技合作的內建防護機制AiProtection,從而控制約9千臺路由器,引起各家資安媒體報導此事。
但對於這些漏洞的處理情形,GrayNoise僅透露皆已修補,其中CVE-2023-39780是透過近期的韌體更新緩解,鮮少有媒體掌握、透露進一步的資訊,我們嘗試查詢華碩的資安公告網頁,但難以找到相關資料。為了找到更多資訊,我們聯繫華碩,請他們回應此事。
華碩表示,針對CVE-2023-39780的部分,他們已在2023年對RT-AX55發布的3.0.0.4.386_51948版韌體當中完成修補。特別的是,該公司提及另有4個漏洞編號實際上也是CVE-2023-39780,分別是:CVE-2023-41345、CVE-2023-41346、CVE-2023-41347、CVE-2023-41348。
5月下旬台灣電腦網路危機處理暨協調中心(TWCERT/CC)發布資安公告,指出杜浦數位安全(TeamT5)旗下的EDR系統ThreatSonar Anti-Ransomware存在權限提升漏洞CVE-2025-4477,攻擊者在取得中等權限的情況下,就能透過特定的API遠端將權限提升至最高管理員層級,影響3.8.0以前版本,呼籲用戶套用修補程式hotfix-250327,或是升級至3.8.1版因應,CVSS風險為7.2(4.0版為8.6分)。由於僅有TWCERT/CC的公告此事,並未提其他細節,因此,我們也向杜浦數位安全進一步詢問。
上述漏洞是由杜浦數位安全自己的PSIRT團隊找到,此漏洞形成的原因源自於ThreatSonar的API參數檢查環節出現問題,使得攻擊者能用來調整使用者的權限等級。而攻擊者利用這項漏洞存在必要條件,就是事先需要取得可登入系統的中等權限用戶帳號。
其他漏洞與修補
【法規遵循】
合規改善不符要求,Chrome將從8月起停止預設信任中華電信TLS新憑證
Google在公開論壇中宣布Chrome瀏覽器預設信任將祭出新的措施,考量到兩家CA業者中華電信及Netlock合規改善未符要求,可靠性信心下降,將從Chrome 139開始,移除對中華電信今年8月之後核發的新TLS憑證的信任,至於7月31日及之前的憑證則不受影響。
此事引發外界對中華電信及其受委託發行憑證的信心危機,對此,中華電信緊急發表聲明,坦言未按新政策規定在時間內完成調整,導致遭Google決定移除瀏覽器預設信任憑證,目前已完成調整且符合新政策要求,爭取明年3月重新回復Chrome瀏覽器信任。
對於中華電信的TLS憑證將被移除Chrome瀏覽器預設信任,數發部也在周一晚間發出新聞稿,指在今年3月已掌握情資,提前準備因應並啟動政府網站雙憑證機制,採用符合公開信任根憑證標準的本地憑證機構所簽發的憑證,確保當特定憑證被瀏覽器移除預設信任,仍可以替代的憑證運作,使政府機關網站在各瀏覽器均能正常瀏覽,以維護政府公共服務的穩定度及可信度。
【資安產業動態】
微軟公布新一代Windows Update平臺,將納管第三方應用程式更新
企業環境中的各種應用程式,以及Windows元件,都是透過各自的更新機制運作,這樣的情況不但難以管理,而且在更新過程還會干擾用戶電腦正常運作、各種通知引發混亂,導致錯過更新期限等情況,對此微軟打算為Windows 11提供新的Windows Update協作平臺(Orchestration Platform),目前推出封閉測試的預覽版,用戶可寄送電子郵件申請參與。
此協作平臺是以Windows Update相關技術為基礎開發而成,旨在提供管理工具開發人員API,以加入到其產品更新清單。這個平臺的協作者就會協調所有加入清單的產品在Windows 11上更新,以及微軟自己的Windows Update,使IT管理員及用戶不再被眾多更新混淆及干擾。
這個協作平臺可提供智慧排程,根據使用者活動、系統效能、是否連上AC電源排定更新。微軟或第三方應用式更新,都可使用原生Windows Update的通知,可簡化使用體驗。這個協調工具可支援IT的更新期限和通知等管理政策;應用程式更新記錄會集中在「設定」,方便用戶統一檢視,若發生問題時也可讓IT透過事件錄進行排除。
其他資安產業動態
近期資安日報
熱門新聞
2025-06-09
2025-06-09
2025-06-10
2025-06-09
2025-06-13
2025-06-09
2025-06-09