本週思科、Citrix、IBM都發布資安公告,修補Identity Services Engine(ISE)、NetScaler、WebSphere Application Server重大層級的漏洞,其中又以思科公布兩項滿分的漏洞最受到關注,而Citrix則是在不到10天裡兩度修補NetScaler重大漏洞,也引起資安圈的注意。
除了上述的漏洞揭露,另一項AMI的BMC韌體滿分漏洞CVE-2024-54085,也被美國網路安全暨基礎設施安全局(CISA)納入已遭利用的漏洞名單(KEV)而同樣值得留意。此外,資安業者Positive Technologies揭露專門的鎖定Exchange伺服器的攻擊行動,當中提及臺灣是駭客主要攻擊的目標。
【攻擊與威脅】
北韓駭客組織Kimsuky濫用GitHub、Dropbox服務,對韓國發動APT攻擊
韓國再度成為北韓駭客組織Kimsuky的攻擊目標,根據資安公司ENKI揭露,3月起Kimsuky濫用GitHub私有儲存庫與Dropbox雲端服務,發動高度針對性的攻擊行動,將開源雲端平臺轉為攻擊與資料洩漏基礎設施。這波攻擊以魚叉式網釣郵件為開端,誘導受害者下載執行PowerShell惡意程式,最終在受害系統植入XenoRAT遠端存取木馬,持續收集和竊取敏感資訊。
本次事件的攻擊鏈起始於偽裝成韓國本地法律或金融機構的釣魚郵件,攻擊者會針對目標身分量身設計文件,例如債務通知或授權書等,文件中不僅包含受害者個人資料,內容設計也極具真實感,使收件人降低戒心。郵件附件通常為加密壓縮檔,解壓密碼直接附於郵件內文,受害者一旦點擊壓縮檔內的捷徑或文件,系統即會執行嵌入的PowerShell腳本,首先從Dropbox下載偽裝為.docx或.pdf的惡意檔案,接著進行特殊檔案頭改寫與解壓縮,最終釋放並執行.NET格式的XenoRAT惡意程式。
本週美國網路安全暨基礎設施安全局(CISA)將3項資安弱點納入已遭利用的漏洞名單(KEV),並要求聯邦機構於7月16日完成修補,其中,最受到關注的是風險值達到滿分的CVE-2024-54085。
這項漏洞最早在今年3月由資安業者Eclypsium揭露,存在於American Megatrends(AMI)基板管理控制器(BMC)系統MegaRAC,一旦攻擊者成功利用,就有機會遠端控制伺服器,造成主機板BMC或UEFI元件損壞,甚至無限循環地重開機,而且,該漏洞的影響範圍並非單一伺服器,攻擊者可透過資料中心環境發送惡意命令,導致所有伺服器集體受害。4月下旬華碩對於4款工作站主機板發布新版韌體,修補這項漏洞。
究竟這項漏洞如何遭到利用,CISA並未進一步說明,有待後續研究人員公布相關調查結果。
其他攻擊與威脅
◆惡意軟體SuperCard挾持安卓手機,意圖將用戶金融卡資料轉送給駭客
【漏洞與修補】
6月25日思科發布資安公告,針對旗下網路存取控制(NAC)平臺Identity Services Engine(ISE),以及ISE被動身分識別連接器(ISE Passive Identity Connector,ISE-PIC)修補風險值達到滿分(10分)的重大層級漏洞CVE-2025-20281、CVE-2025-20282,並指出若不盡快解決相關問題,攻擊者就能在未經授權的情況下,遠端於作業系統底層以root的身分發出命令。由於本月初思科才對ISE修補危險程度達到9.9分的重大漏洞CVE-2025-20286,因此這批新漏洞的揭露,引起外界高度關注。
這兩個漏洞都出現在ISE的特定API,皆為未經授權的遠端程式碼執行(RCE)漏洞。其中,CVE-2025-20281影響3.3版以上的ISE和ISE-PIC,CVE-2025-20282則影響3.4版以上的應用系統。值得留意的是,思科特別提及這些漏洞沒有其他緩解措施,企業IT人員應儘速套用相關更新因應。
Citrix修補NetScaler重大層級的記憶體溢位漏洞,並指出已有遭到利用的情況
6月25日Citrix發布資安公告,針對應用交付控制器NetScaler ADC、安全閘道NetScaler Gateway發布緊急更新14.1-47.46、13.1-59.19版,目的是修補重大層級的資安漏洞CVE-2025-6543,值得留意的是,Citrix在公告當中提及,此漏洞已有實際用於攻擊的情況。由於剛好有研究人員針對一週前公布的重大層級資安漏洞CVE-2025–5777提出警告,並指出與一年半前造成嚴重災情的Citrix Bleed同樣危險,因此這次Citrix公布的新漏洞,格外受到關注。
附帶一提的是,他們特別提及這項漏洞可能還會影響零信任解決方案Secure Private Access,企業無論是採用內部環境建置或是混合雲模式部署,都會曝險,Citrix呼籲這些企業的IT人員也要更新搭配的NetScaler系統來因應。
IBM發布應用程式伺服器WebSphere更新,修補任意程式碼執行漏洞
6月25日IBM發布資安公告,指出應用程式伺服器WebSphere Application Server存在重大層級的CVE-2025-36038,影響9.0和8.5版,CVSS風險為9.0分(滿分10分)。值得留意的是,由於沒有其他的替代緩解措施,該公司呼籲企業IT人員應儘速處理。
對於大型企業IT環境而言,WebSphere Application Server曾是相當重要的平臺,因為它是三大企業級 Java EE 應用程式伺服器之一,根據一些行銷科技公司的觀察,目前有兩千家企業採用。
對於這項漏洞帶來的危害,IBM指出此漏洞能遠端利用,攻擊者若是透過序列化物件的序列(Sequence),就有機會讓在系統層級執行程式碼。
其他漏洞與修補
◆WinRAR修補高風險漏洞,若不處理恐被用於執行惡意程式碼
◆Mozilla發布Firefox、Thunderbird大改版140,修補高風險記憶體漏洞
◆Windows版TeamViewer存在高風險漏洞,攻擊者可利用SYSTEM權限刪除檔案
◆Amazon EKS存在權限提升漏洞,恐曝露AWS帳密資料
近期資安日報
【6月26日】勒索軟體Dire Wolf鎖定臺灣、美國、泰國而來,科技與製造產業是主要標的
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
