文/周峻佑 | 2025-06-04發表

如同歹徒犯案會事先勘察環境,駭客也會透露掃描特定弱點的方式尋找可下手的目標,但過往駭客往往是針對其中一項漏洞,或是特定組態配置不當的情況而來,如今有人同時對75種弱點挖掘能夠攻擊的目標,這樣的情況極為罕見。

這起事故另一個特殊的地方在於,整個活動只維持一天,使得研究人員想要找出攻擊者的身分,也變得更加困難。

 

【攻擊與威脅】

逾250個Amazon代管的IP位址遭到濫用,鎖定多種應用系統發動攻擊

威脅情報業者GrayNoise指出,他們在5月8日發現一起不尋常的活動,有人利用251個由Amazon代管、位於日本的IP位址,進行大規模弱點掃描,針對75種應用系統曝險的情況而來,包含已知漏洞、錯誤配置,或是對系統進行偵察。特別的是,這些IP位址只在當天出現活動,在此之前及之後皆未有動靜,代表攻擊者可能租用臨時雲端基礎設施來從事活動。由於這種掃描行為往往是駭客從事攻擊行動的徵兆,他們呼籲IT人員要趕快檢查5月8日的事件記錄資料,並對相關惡意行為進行監控,以及動態封鎖從事這些行為的IP位址。

針對駭客掃描的資安漏洞,涵蓋Adobe ColdFusion遠端程式碼執行(RCE)漏洞CVE-2018-15961、Apache Struts與Atlassian Confluence物件圖形導航語言(OGNL)注入漏洞CVE-2017-5638、CVE-2022-26134,以及Elasticsearch沙箱繞過漏洞CVE-2015-1427、Bash重大資安漏洞CVE-2014-6271(Shellshock)等,其共通點在於,都是已經揭露一段時間的已知漏洞,由於遭到鎖定的目標眾多,研究人員認為攻擊者並非針對特定應用系統而來,而是企圖尋找任何可能存在的弱點。

戶外用品與運動服飾業者The North Face遭遇帳號填充攻擊,部分客戶個資外洩

5月29日戶外用品與運動服飾業者The North Face向佛蒙特州總檢察長通報,該公司網站在2025年4月遭遇了帳號填充(Credential Stuffing)攻擊,導致部分客戶的個人資訊被竊取,該公司也對受到影響的客戶通知此事。

針對事情發生的經過,The North Face於4月23日發現網站出現異常活動,隨即展開調查,結果發現有部分客戶資料外洩的情況。受影響的資訊包括姓名、購買記錄、收貨地址、電子郵件、出生日期及電話號碼等。附帶一提的是,由於該公司使用外部付款服務系統處理交易,付款資訊並未受到影響。不過,究竟有多少人受到影響,該公司並未透露。

值得留意的是,自2020年以來The North Face已有多次遭遇帳號填充攻擊的記錄。其中最近一次在今年3月,母公司VF Outdoor向緬因州總檢察長辦公室通報資料外洩事故,這起事故影響The North Face與Timberland兩個品牌的網站,影響約15713個帳號。許多資安媒體不約而同指出,這類事件接連傳出,可能與The North Face未強制採用多因素驗證(MFA)有關。

精品業者Cartier驚傳遭駭,客戶個資外洩

精品業者Cartier本周通知客戶系統遭駭,導致客戶資料外洩。這起事件的曝光,源自於客戶張貼Cartier寄發的通知信件,內容提及未經授權的人士或組織存取了該公司系統,取得部分客戶資訊。但對於受影響的人數,該公司並未透露。

經過調查,Cartier判斷該攻擊者存取客戶的個資,包括名字、電子郵件信箱和國籍。但業者強調外洩的資料不包含密碼、信用卡資料,以及其他銀行資訊。考量外洩資料可能導致詐騙或其他攻擊,Cartier呼籲用戶應提高警覺。

其他攻擊與威脅

加密貨幣交易所Coinbase資料外洩調查有新進展,疑印度客服外包業者TaskUs員工收賄流出

安卓惡意軟體Crocodilus於受害設備加入假的通訊錄,以便駭客打電話行騙

假借提供DocuSign、Gitcode為誘餌,駭客意圖散布NetSupport RAT

惡意RubyGems套件冒充CI/CD外掛散布

 

【漏洞與修補】

Google更新Chrome 137,修補已遭濫用的零時差漏洞

6月2日Google發布電腦版Chrome更新137.0.7151.68、137.0.7151.69,這次修補3項漏洞,包含一個遭濫用的V8元件高風險漏洞。

這次更新修補的三項資安漏洞,分別為高、中、低度風險。其中高風險漏洞編號CVE-2025-5419,為影響JavaScript引擎V8的越界讀寫漏洞,攻擊者可透過特製的HTML網頁遠端觸發,引起記憶體堆積毁損,CVSS評分為8.8。該公司指出,此漏洞已出現實際利用的情況。

另一個出現在排版引擎Blink的漏洞CVE-2025-5068,也相當值得留意,此為記憶體釋放後再存取使用(Use After Free)型態的弱點,同樣可透過特製的HTML網頁遠端觸發,引起記憶體堆積毁損。雖然Google認為該漏洞為中度風險,但資安業者Tenable、美國網路安全暨基礎設施安全局皆將其評為8.8分的高風險層級。

其他漏洞與修補

Google發布6月份安卓例行更新,修補27項資安漏洞

 

【法規遵循】

中華電信8月起暫停簽發TLS網站憑證

Google宣布將移除Chrome瀏覽器對中華電信TLS憑證的預設信任後,中華電信決定8月起暫停簽發TLS網站憑證,並宣布將主動聯繫憑證效期將到期的客戶,免費提供TLS憑證更新。

本周Google宣布將調整Chrome瀏覽器根憑證的預設信任機制,因中華電信未在規定時間內配合政策完成調整,Google將從Chrome 139及後續版本開始,不再信任中華電信在2025年7月31日之後簽發的新憑證,網站如使用這種的新憑證,Chrome瀏覽器用戶造訪該網站便會顯示不安全,無法正常瀏覽網站。

中華電信決定從8月1日開始,暫停簽發TLS憑證,但該公司強調此舉並非其憑證存在漏洞或洩露私鑰,無關資安或網路安全,同時也對造成社會大眾的困擾表達歉意。

 

近期資安日報

【6月3日】Chrome將從8月起停止預設信任中華電信TLS新憑證引起高度關注

【6月2日】新型態瀏覽器中間人攻擊手法濫用全螢幕隱匿意圖

【5月29日】未及時修補已知漏洞釀禍,大量華碩路由器遭殭屍網路AyySSHush綁架

iThome Security

熱門新聞

Advertisement