在2025年11月最後一星期的資安新聞中,通訊軟體LINE的資安弱點揭露最受關注,奧胡斯大學研究團隊披露LINE的全程加密(E2EE)「Letter Sealing v2」設計存在弱點,包括採用無狀態(stateless)通訊設計、貼圖與網址預覽機制可能造成明文外洩,甚至是加入任意聊天室並冒充成員。LINE已收到研究團隊通報,目前提供有限緩解措施。更多技術細節將在12月歐洲Black Hat大會公開。
在資安事件方面,Salesforce相關威脅再度浮現並引發全球持續關注。Salesforce示警,由Gainsight發布且與Salesforce連接的應用程式有異常活動,估計事件將影響200家Gainsight用戶的Salesforce資料。類似的供應鏈式攻擊發生在3個月前,當時攻擊者利用竊取的Drift OAuth憑證入侵;相較之下,這次Salesforce的處理速度明顯加快。
其他重要資安事件的新聞,包含1起發生於臺灣上市公司的事故,國際間還有更多公司揭露因Oracle EBS攻擊事故而受害,我們整理如下:
●臺灣半導體與光電業者有成精密於11月24日發布重大訊息,揭露當日發現部分資訊系統遭受駭客網路攻擊。
●美國房地產融資暨IT服務供應商SitusAMC遭網路攻擊,傳出可能導致主要銀行的客戶資料外流,美國FBI已介入調查。
●上月Oracle EBS零時差漏洞攻擊的受害名單持續增加,最新包括美國媒體與電信商Cox,以及Canon、Mazda美國分公司,Cl0p駭客已公布入侵逾百家企業。
在漏洞利用攻擊方面,有兩則消息值得留意:(一)Oracle在10月修補Oracle Identity Manager重大漏洞CVE-2025-61757,前陣子SANS警告,修補前的9月初就有試圖利用情形,如今美國CISA將此漏洞列入已知遭利用清單KEV;(二)OpenPLC的老舊漏洞CVE-2021-26829被美國CISA納入KEV,而在一個月前,資安業者Forescout曾揭露其蜜罐偵測到親俄駭客組織TwoNet的攻擊活動,他們發現對方利用該漏洞篡改HMI登入頁面的描述。
另外要注意的是,上個月微軟破例修補WSUS重大漏洞CVE-2025-59287,之後已有攻擊者開始鎖定利用,最近韓國資安業者AhnLab更是指出,發現中國APT駭客也加入漏洞利用行列,在11月疑似透過名為PowerCat的公用程式,成功利用漏洞取得CMD的Shell存取權限,進而在伺服器部署惡意程式ShadowPad。
在威脅態勢方面,AI安全是最大焦點,首次出現「言論審查可能影響開發安全」的觀察,還有AI護欄繞過新攻擊技術EchoGram的揭露,另外有兩起威脅活動需要開發人員正視其風險,我們整理如下:
●資安業者CrowdStrike針對中國大型語言模型DeepSeek-R1測試,發現提示若涉及中國政府敏感的政治議題,生成的程式碼漏洞風險增加43%。
●AI資安業者HiddenLayer揭露名為EchoGram的攻擊技術,指出主流LLM護欄多依賴「文字分類模型」與「LLM-as-a-Judge」,因此他們嘗試找出可混淆模型判斷的微小字串,使防護誤判並被繞過,同時呼籲業者需降低此類結構性風險。
●開發人員注意,資安業者watchTowr警告,他們在線上程式碼編排及美化服務平臺JSON Formatter和CodeBeautify發現,這類平臺提供的暫存服務會導致資料曝險,更嚴重的是,已發現有人爬梳資料並試圖利用。
●多家資安業者警告,偵測到新一波的Shai-Hulud蠕蟲攻擊活動,攻擊者在三天內上傳逾1,000個NPM套件,已感染約2.7萬個GitHub儲存庫。
在資安防禦發展上,這一週iThome電腦報週刊發布的封面故事,聚焦報導國泰金控的GenAI戰略,當中亦揭示該集團在開源安全治理上的關鍵布局。國泰金控指出,軟體供應鏈管控可再細分為AI模型使用的AIBOM,以及因應PQC、盤點加密元件的CBOM,並透露該集團已發展出一套開源套件管理平臺,涵蓋套件來源、SBOM產生、SBOM Hub、AI解決方案,以更系統化方式控管開源風險,並設立審查委員會來強化這方面的治理。
在國際產業間,蘋果宣布推出數位ID,可讓使用者在Apple Wallet建立數位化護照,未來出示iPhone和Apple Watch,就能用於美國國內航班身分驗證;Google推出Private AI Compute,在雲端提供裝置端等級的隱私運算,使Gemini大型模型能在隔離環境中處理敏感資料。
【11月24日】Salesforce用戶再傳遭供應鏈攻擊,駭客鎖定外掛Gainsight而來
三個月前,有駭客組織針對採用Salesloft Drift的Salesforce用戶下手,透過OAuth憑證竊取這些用戶CRM系統存放的資料,如今類似的事故再度傳出,駭客鎖定另一套與Salesforce串接的第三方應用程式Gainsight,並傳出波及超過200家企業。而對於這起事故的後續處理,不僅Salesforce關閉多款Gainsight應用程式連線,Zendesk與HubSpot兩家公司也採取預防措施,跟進切斷Gainsight應用程式連線。
另一個引起資安圈高度關注的消息,在於有資安業者傳出找到被駭客收買的內鬼。過往曾經有不少資安業者與研究人員提出警告,駭客會試圖收買員工取得初始入侵管道,如今類似的情況真實上演。
【11月25日】中國駭客加入利用WSUS重大漏洞的行列
一個月前,微軟罕見對例行更新(Patch Tuesday)公布的資安漏洞CVE-2025-59287提出警告,呼籲IT人員要儘速套用他們提供的緊急修補程式,若無法即時更新,最好停用Windows Server Update Services(WSUS)服務來因應。這種不尋常的狀況,後續有多家資安業者察覺,該漏洞已被用於攻擊行動,本週有資安業者揭露新的發現,警告中國駭客也加入漏洞利用的行列,WSUS伺服器將曝露更大的風險之中。
美國房地產融資暨IT服務供應商SitusAMC遭到入侵的事故,也是本週資安消息的焦點,由於該公司的客戶涵蓋美國數十家主要銀行,有當地媒體取得知情人士的說法,指出這些銀行的客戶也可能面臨資料外洩的情況。
【11月26日】開源輕量級遙測工具Fluent Bit存在一系列可被串連的資安漏洞
資安業者Oligo Security針對受到雲端環境廣泛使用的輕量級遙測代理程式Fluent Bit提出警告,他們近期找到的一系列資安漏洞,用戶應儘速套用新版程式因應,若不處理,攻擊者可串連運用,並接管雲端環境
【11月27日】新型態網釣手法JackFix假借Windows更新為幌子,企圖散布惡意程式
資安業者Acronis針對新型態網釣手法JackFix提出警告,並指出攻擊者疑似透過惡意廣告,引誘使用者存取假的成人網站,一旦他們點選網站上的任意物件,電腦就會出現假的Windows更新畫面,並要求依照指示完成「更新」
【11月28日】開發人員不慎在程式碼編排平臺曝露企業組織的機敏資料
資安業者watchTowr提出警告,開發人員於程式碼編排服務JSON Formatter和CodeBeautify當中,上傳的程式碼內容,曝露企業組織內部的各式憑證、金錀,以及密碼,而且他們確認有人爬梳程式碼內容並挖掘上述機密資料,試圖加以濫用
熱門新聞
2025-12-24
2025-12-29
2025-12-26
2025-12-29
2025-12-26
