【資安週報】0602~0606，Chrome將從8月開始不信任中華電信新簽發的TLS/HTTPS憑證

回顧2025年6月第一星期的資安新聞，有一項與瀏覽器TLS加密憑證合規的消息受到矚目，是關於Google宣布自Chrome 139（預計2025年8月發布）起，將不信任中華電信與匈牙利Netlock這兩家CA（憑證機構）於8月後核發的新TLS憑證，以中華電信問題而言，原因是合規性不足與缺乏有效管理。數發部表示，今年3月已掌握情資，啟動政府網站申請雙憑證方式來因應。

具體影響在於，屆時服務端若向中華電信申請新憑證，使用Chrome瀏覽的用戶將出現連線錯誤或安全警告提示，雖然其他瀏覽器未跟進這項措施，Edge、Safari、Firefox的用戶不受影響，但Chrome的不信任仍可能讓一般用戶造成困擾，整個IT領域也關注是否還有其他影響，像是防護系統是否可能因瀏覽器信任清單，而將採用這些憑證的網站列入不信任名單。中華電信已經宣布，8月起暫停簽發新的TLS網站憑證，也承諾爭取讓自家憑證重獲預設信任，但根據Bugzilla紀錄的事件資訊來看，如何改善像是誤發憑證無法在規範5天內撤銷，以及年度自評報告遲繳等狀況，這些內部管理、誠信態度與應對問題時所暴露的結構性問題才是重點。

在資安事故方面，有兩大類型議題備受我們關注，首先，是有兩起資安業者出狀況引發的資安危機：（一）資安業者SentinelOne於5月29日傳出多項服務中斷，事故原因是將正式系統過渡至新雲端架構過程中，誤刪路由導致組態比對功能異常；（二）自動化資安合規業者Vanta於5月26日發現系統內部程式碼錯誤，導致部分客戶敏感資料可被其他客戶存取，約有數百家企業受影響。

另一是多家精品與服飾業者接連遭遇事故，相當不尋常：（一）內衣與時尚品牌業者維多利亞的秘密（Victoria's Secret）上星期網站服務停擺，該公司證實遭遇資安事故因此暫時關閉網站與網路商店服務；（二）精品業者Cartier通知客戶系統遭駭，有客戶個資外洩狀況；（三）戶外用品與運動服飾業者The North Face通報4月遭遇帳號填充攻擊，部分客戶個資外洩。

其他重要資安事故方面，在臺灣，聯嘉光電於公開資訊觀測站發布資安重訊，揭露資訊系統遭到攻擊，駭客試圖存取總部與部分子公司網路環境；先前美國虛擬貨幣交易所Coinbase向美國SEC通報資料外洩，最新調查發現事件與兩名印度客服外包商TaskUs員工有關；還有法律與商業資訊業者LexisNexis發生客戶資料外洩，此事同樣因向主管機關通報而曝光，影響人數達36萬多人，初步調查顯示資料是從該公司使用的GitHub外洩，細節仍待釐清。

在最新威脅態勢上，有4則新聞值得留意，涵蓋全螢幕BitM攻擊手法、濫用合法OpenSSH與Windows內建的API的攻擊活動，以及利用挖腳名義鎖定高層網釣攻擊的揭露。我們整理如下：

●研究人員揭露新的瀏覽器中間人（BitM）攻擊手法，能以全螢幕方式展現，使惡意URL不被看到，降低遭察覺的機會，並指出fullscreen API的安全問題。
●有駭客濫用Windows內建的OpenSSH元件試圖建立後門連線，SANS網路風暴中心資安研究人員指出，攻擊者透過惡意DLL檔案dllhost.exe來啟動SSH服務。
●發現勒索軟體Lyrix駭客濫用Windows內建的API來隱匿行蹤，像是使用GetCurrentProcess、TerminateProcess控制惡意程式的運作等多種方式。
●發現鎖定不同產業高層與財務長（CFO）的網路釣魚攻擊，是以其他公司挖角名義來誘騙，攻擊範圍涵蓋歐洲、非洲、加拿大、中東與南亞。

在漏洞攻擊威脅方面，有4個零時差漏洞攻擊，涵蓋Google Chromium與高通GPU晶片，可惜目前還未有具體攻擊影響揭露。

●Google修補Chromium V8中1個已遭露利用的零時差漏洞CVE-2025-5419
●高通修補3個涉及GPU已遭利用的零時差漏洞，分別是CVE-2025-21479、CVE-2025-21480、CVE-2025-27038，僅透露已被用於目標式攻擊。
●ConnectWise於4月修補的漏洞CVE-2025-3935，近期發現可能遭國家級駭客利用，但也傳出可能早在去年8月就已遭利用。
●先前GrayNoise揭露華碩路由器已知漏洞遭鎖定，尤其是CVE-2021-32030、CVE-2023-39780遭駭客利用，後續華碩提醒，後項漏洞與其他4個漏洞也有關。
●舊版網路論壇軟體vBulletin存在兩項已遭駭客利用的漏洞，分別是：CVE-2025-48827與CVE-2025-48828，但去年4月修補未公布CVE，近期駭客鎖定攻擊、經資安業者通報，才讓這兩個CVSS滿分的CVE漏洞浮上檯面。

至於資安防禦動態方面，有3大重點值得大家關注，首先，澳洲政府頒布新規範，針對遭勒索的企業，要求從5月30日起，不僅要通報資安事件，也要在72小時內通報支付贖金的金額，這在國際相當少見；其次，針對駭客組織命名不同問題，微軟與CrowdStrike正合作發展一套對照指引，雖然這並非建立共通標準，但目的很明顯是要減少資安資訊交流阻礙。

第三項重點是打擊網路犯罪。美國財政部指出菲律賓公司Funnull向AWS或Azure購買大量IP位址，再轉售給詐騙集團，協助架設投資詐騙網站，因此對Funnull祭出制裁。

【6月2日】新型態瀏覽器中間人攻擊手法濫用全螢幕隱匿意圖

駭客架設遠端瀏覽器來發動瀏覽器中間人攻擊（Browser in the Middle，BitM），藉由在使用者存取網路應用程式的過程裡，不知不覺地挾持用戶的帳號，但如今有研究人員揭露改良版的攻擊手法，使用者恐更難察覺。

資安業者SquareX指出，一般的BitM攻擊有機會從網址列察覺，但若是攻擊者搭配瀏覽器全螢幕瀏覽的API，就更有機會騙過使用者而得逞。

【6月3日】Chrome將從8月起停止預設信任中華電信TLS新憑證引起高度關注

5月底Google宣布Chrome瀏覽器預設信任機制將祭出新的措施，其中有兩家CA業者的合規改善情況未達到要求，造成可靠性下降，他們決定從Chrome 139開始，移除對於這兩家CA於8月之後核發的新TLS憑證的信任，由於其中一家CA是臺灣電信龍頭中華電信，這項消息很快就引起國內關注。

由於此事影響的層面可能會相當廣泛，中華電信也緊急發布聲明說明處理情形，數位發展部也透露公部門網站已採取雙憑證因應。

【6月4日】逾250個Amazon代管IP位址被用於找尋75種應用系統弱點，恐引發大規模攻擊

如同歹徒犯案會事先勘察環境，駭客也會透露掃描特定弱點的方式尋找可下手的目標，但過往駭客往往是針對其中一項漏洞，或是特定組態配置不當的情況而來，如今有人同時對75種弱點挖掘能夠攻擊的目標，這樣的情況極為罕見。

這起事故另一個特殊的地方在於，整個活動只維持一天，使得研究人員想要找出攻擊者的身分，也變得更加困難。

【6月5日】Roundcube存在9.9分的重大層級漏洞，恐波及其他內建此郵件伺服器的系統

過往駭客組織鎖定的郵件伺服器系統，多半以微軟的Exchange為主，但最近兩到三年，有越來越多駭客針對Roundcube、Zimbra等開源解決方案而來，因此這類系統若是出現資安漏洞，也相當值得留意。

最近有資安業者發現Roundcube重大層級漏洞，值得留意的是，由於不光是IT人員用來架設郵件伺服器，再加上有其他應用系統如主機管理平臺cPanel、Plesk整合Roundcube，亦有Yandex.Mail、Zoho Mail等服務採用，因此這種漏洞的影響範圍會相當可觀。

【6月6日】鎖定求職者的網釣不再只針對IT人員，出現向企業財務高層以挖角為誘餌的網路攻擊

今天的資安新聞當中，針對高階財務主管的攻擊行動相當值得留意，過往駭客通常是透過電子郵件詐騙（BEC）手法，佯稱是公司的CEO來行騙，但如今有歹徒以獵人頭的名義來對這些主管下手，目的是在他們的電腦植入惡意軟體並進行控制。

此外，駭客針對DevOps環境配置不當、濫用Windows內建的OpenSSH元件也值得留意。在國內消息的部分，昨天傍晚聯嘉光電發布資安重訊，指出總部與海外子公司同時遭受攻擊。