資安業者平時提供防護產品與解決方案,是企業資安防護上的關鍵要角之一,但也因此成為駭客鎖定的高價值目標,一旦這類型公司遭入侵,不僅自身受害,更可能對其客戶與整體供應鏈安全造成連鎖影響,上星期資安業者F5揭露遭國家級駭客入侵就是一例。
如今有更多後續消息浮現,有媒體將F5近期寄給客戶的威脅獵捕指南,與Google威脅情報小組在9月底公布的調查報告連結起來,推測此次事件的幕後主使可能為使用惡意軟體Brickstorm的中國駭客組織UNC5221。
另一個值得關注的資安防禦消息,是我們本月進行的封面故事報導,介紹美國DARPA在兩個月前公布AI Cyber Challenge(AIxCC)競賽結果,印證了用AI自動發現與修補漏洞的可行性,同時所有決賽隊伍都在賽後開源其成果。
【攻擊與威脅】
是誰駭入F5、偷走主力產品原始碼?有媒體點名中國駭客組織UNC5221
資安業者F5在本月15日發布公告表明遭到國家級駭客入侵,主力產品BIG-IP的原始碼資料遭竊,震撼全球,然而,外界關切影響範圍之餘,也急切想知道攻擊者的身分。據彭博社10月16日報導,F5在10月15日提供客戶一份威脅獵捕指南,主題是惡意軟體Brickstorm,並連結到Google威脅情報小組與Mandiant的相關報告,他們認為這個行動的幕後主使者UNC5221應該是F5遭駭的元兇。目前有多家資安廠商的相關部落格文章引用上述論點,包括Zscaler、Rapid7、BitSight。F5和Google並未公開駁斥或反對這個說法。
針對F5遭駭事故,美CISA在15日當天亦發出緊急指令ED 26-01,要求各單位採取7項行動已應對這次事件。
組態配置不當的Elasticsearch存放1.12 TB資料,洩露逾60億筆記錄
獨立網路安全研究人員Anurag Sen本周發現了一臺配置不當的Elasticsearch伺服器,它儲存了1.12TB、約61.9億筆資料,卻缺乏任何安全驗證或密碼保護。Sen認為該伺服器是由講俄文的駭客所控制,內含透過資料外洩、網站爬取及其他來源所蒐集的詳細紀錄。
伺服器上還出現了多個涉及已公開或未公開資料外洩事件的資料庫,像是包含來自一家烏克蘭商業銀行Accordbank的用戶資料,然而,該公司Accordbank未曾揭露過資安意外事件。不過駭客很快就將伺服器下線,讓Sen來不及留下具體證據。
中國國家安全部周日(10/19)透過微信公眾號表示,他們握有美國國安局攻擊並入侵中國國家授時中心的證據,將全力守護「北京時間」的安全。據該單位所聲稱的調查指出,美國國安局的攻擊行動策畫已久,自2022年3月便利用某境外品牌手機的簡訊服務漏洞,秘密入侵並控制國家授時中心多名工作人員的手機,竊取手機內的敏感資料,2023年4月即多次利用所竊取的登錄憑證,入侵授時中心計算機,探查該中心的網路系統建設情況。美國政府並未對中國的指控作出回應。
美航子公司Envoy Air遭遇Oracle E-Business Suite攻擊
美國航空(American Airlines)旗下子公司Envoy Air周末證實其商用系統Oracle E-Business Suite遭到駭客入侵,成為甲骨文商用軟體第二家知名受害組織。據Envoy Air說明,詳細的資料審視顯示,沒有敏感或客戶資料受到影響,但小部份業務資訊和商業聯絡資訊可能外流。
其他攻擊與威脅
◆澳洲電信公司Dodo與iPrimus遭網路攻擊,1,600個客戶帳戶遭存取,部分用戶遭SIM卡交換攻擊
◆駭客利用TikTok影片假裝提供免費軟體啟用的教學內容,實際是透過社交工程ClickFix攻擊手法誘騙用戶上當
◆商用視訊會議設備商圓展發布重訊,說明部分資訊系統遭受駭客網路攻擊
◆微軟發布Microsoft數位防禦報告2025,其中有項發現是觀測臺灣近一年遭國家級駭客攻擊達143起,全球第六嚴峻
【資安產業動態】
發展用AI處理漏洞的解決方案,美政府舉辦AIxCC競賽秀實力,自動發現漏洞取得實質進展
用AI幫助找漏洞是否真的可行?兩年前普遍認為這仍是相當難克服的挑戰,最近已有實質進展,兩個月前(8月)美國DARPA舉辦的AIxCC競賽結果出爐,多組參賽團隊嘗試發展的AI全自動網路推理系統,在LLM模型持續高速進化下,已印證了用AI自動發現與修補漏洞的可行性,識別漏洞率從去年的37%提升至今年的77%,並額外找出18個C程式語言與Java程式語言的零時差漏洞。
更重要的是,AIxCC挑戰賽的落幕並非終點,而是新的開始。依照主辦方要求,所有決賽隊伍都在賽後開源其成果,讓全球乃至臺灣的資安研究人員,都能進一步研究、驗證與延伸這些AI驅動的防禦技術。
因應國家級駭客與商業間諜軟體開發商鎖定高風險人士發動攻擊,蘋果日前調整Apple Security Bounty漏洞獎勵規範與獎金額度,將零點擊遠端程式碼執行攻擊鏈(Zero-click Chain)漏洞的最高獎勵,從100萬美元翻倍至200萬美元,而原本只提供25萬美元獎勵的一鍵遠端攻擊鏈(One-click Chain)亦漲至100萬美元,新的獎勵政策將於今年11月正式生效,目的是鼓勵安全研究人員針對最關鍵的攻擊面進行深入研究。
另外,蘋果也開放公民社會組織申請內建記憶體完整性防護(Memory Integrity Enforcement)的1,000臺iPhone 17,以將它們交到高風險人士的手中。
思科開源Project CodeGuard程式碼安全框架,推動預設即安全開發
Cisco公開一套名為Project CodeGuard的開源框架,將預設即安全(secure by default)的原則嵌入「規畫」、「生成」與「生成後審查」3個階段,目標是在不犧牲開發速度的前提下,減少寫死金鑰、缺乏輸入驗證和依賴過時套件等常見資安風險的發生。
據Cisco的說明,CodeGuard提供3項重點內容,分別是依據OWASP與CWE等既有指南整理的核心安全規則,將規則轉換為主流人工智慧程式開發代理可用格式的自動化腳本,以及協助採用與貢獻的文件。另也邀請社群提交新規則、撰寫轉換器與回饋,以擴充語言支援、整合更多AI程式開發平臺並推進自動化規則驗證。
近期資安日報
【10月16日】殭屍網路Aisuru與RondoDox擴大攻擊規模和威力
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-04
2025-12-01
2025-11-30