本週二有許多軟體業者發布6月份資安更新,其中微軟發布的內容尤其值得留意,因為其中包含了已被用於攻擊行動的資安漏洞。再者,SAP發布的公告也引起關注,原因是他們再度為NetWeaver修補重大漏洞。此外,本週有兩組研究人員公布Salesforce弱點的消息,也值得用戶留意。
而在資安事故的消息上,零售業者遭到攻擊的事故,從時尚精品和運動服飾品牌轉向了保健食品業者;而在國內的部分,光電封測大廠聯鈞光電透露,5月下旬他們二度遭到攻擊。
【攻擊與威脅】
健康食品批發龍頭United Natural Foods遭網路攻擊,出貨受影響
北美最大健康食品批發通路商United Natural Foods Inc(UNFI)本月初遭到網路攻擊,迫使暫時關閉系統,已影響出貨及業務運作。
UNFI在提交美國證管會的報告指出,該公司今年6月5日在部分IT系統發現未授權活動,立即採取應變,關閉部分和客戶訂單交付相關的系統。
UNFI表示,此事件已經對公司營運有短期影響,預估情形還會持續。UNFI目前已援引外部網路安全專家的協助,進行評估與緩解、修復事件影響,也已通報執法機關。該公司正努力回復系統,而因應事件,UNFI也實作替代方案,以便交付訂單。
針對駭客兜售內部資料的情況,聯鈞光電發布資安重訊說明,指出在著手強化防禦過程再度遭到攻擊
6月9日矽光子及光電封測大廠聯鈞光電發布資安重訊,針對有媒體報導駭客於地下論壇公然兜售竊得資料的情況進行說明,他們提及1月19日遭受勒索軟體攻擊後,就尋求外部資安業者協助,強化網路與資安架構,但在尚於著手改善的過程裡,又於5月16日面臨另一勒索軟體入侵的情況。針對這起事故可能造成的影響,聯鈞表示根據他們的評估,對公司營運無重大影響,但他們提及有疑似資料外洩的情況,將進行深入調查。
究竟聯鈞提及的報導為何?我們推測很有可能是民視新聞網於6月7日的報導,當中提及於今年1月駭客組織Akira對聯鈞光電發動攻擊,他們當時在駭客論壇兜售90 GB資料,號稱內含大量保密協議(NDA)、公司機密授權文件,開價1千美元。
另一組聲稱攻擊聯鈞的勒索軟體駭客組織是Crypto,這批歹徒於5月28日表示手上握有700 GB聯鈞內部資料。但聯鈞遭遇的資安事故是否就是這些勒索軟體駭客所為,該公司並未說明。
其他攻擊與威脅
◆駭客組織FIN6假借求職名義從事社交工程攻擊,意圖散布惡意軟體More_eggs
◆針對綁架全球逾百萬臺連網裝置的殭屍網路BadBox 2.0,FBI警告用戶要加強防範,以免裝置被綁架用於網路犯罪
【漏洞與修補】
微軟發布6月例行更新,修補已被實際利用的WebDAV零時差漏洞
6月10日微軟發布本月例行更新(Patch Tuesday),修補67個漏洞,數量較上個月78個有所減少。從漏洞的類型來看,遠端程式碼執行(RCE)漏洞25個最多,約占整體四成;其次是資訊洩露漏洞、權限提升漏洞,分別有17個、15個;其餘有6個是阻斷服務(DoS)漏洞、2個安全功能繞過漏洞,以及2個可被用於欺騙的漏洞。從危險的程度而言,其中有10個是重大層級,8個是遠端程式碼執行漏洞、2個是權限提升漏洞。
值得留意的是,這次有兩個零時差漏洞,其中一個已被用於實際攻擊活動,另一個在修補前就被公開。這些漏洞分別是:WebDAV遠端程式碼執行漏洞CVE-2025-33053,以及SMB用戶端權限提升漏洞CVE-2025-33073。
其中,CVE-2025-33053是資安業者Check Point發現及通報,對於漏洞發現的過程,Check Point表示,他們於今年3月看到被稱為Stealth Falcon(FruityArmor)的APT駭客,用於攻擊一家土耳其國防公司。
兩組研究人員公布Salesforce零時差漏洞,涉及SOQL物件查詢注入攻擊、低程式碼平臺組態配置不當
為了進一步挖掘受害企業的機敏資訊,駭客可能會鎖定客戶關係管理系統(CRM)平臺Salesforce下手,竊取其中的內容,一旦這類系統出現資安漏洞,就有可能成為駭客利用的標的。
最近有兩組研究人員揭露與Salesforce有關的漏洞,其中又以資安研究員Tobia Righi公布的零時差漏洞引起關注,這項弱點發生在Salesforce預設的控制器,此控制器將contentDocumentId參數直接嵌入動態的Salesforce Object Query Language(SOQL)查詢,卻未經過適當處理,導致可被惡意操控。Tobia Righi先後於2月下旬及4月初向Salesforce通報此事,直到最近似乎Salesforce默默地完成修補,Tobia Righi才公布漏洞細節。研究人員指出,Salesforce並未發布資安公告提及此事,也沒有登記CVE編號。
另一組漏洞的揭露,來自SaaS應用程式資安業者AppOmni,他們在Salesforce為特定產業提供的雲端解決方案Industry Clouds當中,找到21項與組態配置有關的弱點,有可能導致未經授權的攻擊者存取加密表單、竊取連線階段(Session)、帳密資料,甚至是掌握商業運作邏輯。AppOmni向Salesforce通報並進行合作,結果有5個登記了CVE編號列管,其中有3項完成修補、2項Salesforce發布組態配置指引,而對於未登記編號的16項組態弱點,Salesforce認為並非是軟體錯誤,應由客戶負責處理。
本週二(6月10日)SAP發布6月份Security Patch Day每月例行更新,總共發布14則公告,其中最受到關注的部分,是應用程式伺服器NetWeaver的重大漏洞CVE-2025-42989,由於SAP從4月底至5月上旬,先後修補已被用於攻擊行動的NetWeaver資安漏洞CVE-2025-31324、CVE-2025-42999(CVSS風險值為10分、9.1分),由於上述事故的發生,使得與這套應用程式伺服器相關的嚴重漏洞,近期特別受到關注。
CVE-2025-42989存在於NetWeaver Application Server for ABAP,為缺乏授權檢查的漏洞,影響核心為7.89、7.93、9.14、9.15版的應用程式伺服器系統,CVSS風險評為9.6分。
其他漏洞與修補
◆Insyde H2O UEFI韌體存在資安弱點,攻擊者可用於憑證注入攻擊
◆Ivanti Workspace Control存在寫死金鑰弱點,搭配的SQL資料庫恐曝險
【資安產業動態】
資安大廠F5本月初宣布收購以代理人AI為核心的新創業者Fletch,期望降低資安管理的複雜性。
對於併購案金額,雙方並未透露相關資訊。F5今年初整合負載平衡、流量管理及應用與API安全能力成為應用遞送與安全平臺(Application Delivery and Security Platform,ADSP),旨在以平臺簡化眾多企業應用的管理複雜性,在買下Fletch後,Fletch技術將整合進F5的ADSP架構,推進其產品藍圖。
近期資安日報
【6月10日】中國駭客鎖定資安業者SentinelOne及超過70個企業組織從事大規模攻擊
熱門新聞
2024-08-05
2025-07-14
2025-07-14
2025-07-14
2025-07-11
2025-07-14
2025-07-11