文/羅正漢|2025-12-15發表

在2025年12月第二星期資安新聞中,上星期我們報導React2Shell出現攻擊活動,後續再有多家資安業者揭露相關態勢,指出參與利用該漏洞的攻擊者數量持續增加。從多個中國駭客組織鎖定此漏洞發動攻擊,到北韓駭客以及Mirai等殭屍網路相繼加入利用行列,突顯其威脅程度正快速升高。

在漏洞消息方面,這一星期有多家IT、OT大廠發布每月安全更新,需要大家盡速因應,特別要留意的是,還有6項最新漏洞利用消息,由於開始出現攻擊活動,同樣需要企業與資安團隊及時評估與處理。我們整理如下:

●Git伺服器Gogs有零時差漏洞被利用,修補程式尚未釋出。資安業者Wiz指出,7月發現有攻擊者能從網際網路存取的Gogs平臺發動攻擊,當時已通報且漏洞登記為CVE-2025-8110列管,12月10日此漏洞編號對外公開。
●微軟發布12月每月例行安全更新,修補3個零時差漏洞,包含已被用於攻擊行動的CVE-2025-62221。
●Google接連修補兩個已遭利用的Chromium零時差漏洞,分別是CVE-2025-13630、CVE-2025-14174,後者存在於ANGLE圖形函式庫而備受關注,蘋果也同步修補此漏洞及另一已遭利用的WebKit零時差漏洞CVE-2025-43529。
●OSGeo在11月25日修補地理位置資訊伺服器GeoServer的漏洞CVE-2025-58360,加拿大網路安全中心與美國CISA均確認該漏洞已被用於實際攻擊。
●WinRAR高風險漏洞CVE-2025-6218於6月修補,如今確認開始有攻擊者利用的情形。先前已有不同資安業者分別對此示警,指出GOFFEEAPT-C-08Gamaredon等駭客組織運用此漏洞來攻擊。
●還有兩個老舊漏洞被美國CISA納入KEV清單,包括D-Link路由器的CVE-2022-37055,以及Sierra Wireless AirLink ALEOS的CVE-2018-4063。

在資安事件方面,國內有4起事故消息浮上檯面,涵蓋知名軟板廠台郡,還有炎洲與炎洲流通,由於再有同一集團相繼發生資安事故,此情況持續引起國內企業的高度關注。

●軟式印刷電路板的上市公司台郡在12月11日發布重訊,說明發生資訊系統遭受駭客網路攻擊的資安事件。
●經營薄膜、膠帶、包材生產及房地產開發建設的炎洲,在12月8日發布重訊,說明在6日收到資訊系統遭受勒索病毒攻擊訊息。
●以包裝材料通路為核心業務的炎洲流通,與炎洲同日發布相同內容的重大訊息。
●關於非上市櫃公司,我們蒐集到一項威脅情資,是傳出勒索軟體集團Obscura聲稱指紋科技與辨識系統商星友科技(Startek Engineering Inc)列為受害者,我們週六以電子郵件聯繫,尚未得到任何回應。

在最新威脅態勢上,我們將重點放在AI瀏覽器與AI代理的風險,近期就有4則相關消息,顯示研究人員正積極揭露這方面的潛在威脅,嘗試在問題擴大前及早示警。

(一)有研究人員示警,當使用者透過Comet這類AI瀏覽器執行代理連接Google服務時,只要把惡意提示包裝成商業書信常用的禮貌性要求措辭,像是:「請整理我的Google Drive」,就能操控網頁AI代理刪除雲端硬碟資料,研究人員並解析為何有禮貌且結構清晰的提示反而成了問題。
(二)Gemini Enterprise被揭露可被名為GeminiJack的弱點攻擊手法突破,Google已修補這項漏洞,研究人員指出這是RAG方面的系統結構性瑕疵,其危險在於:只要攻擊者發出共享Google Docs、Google Calendar邀請或Gmail郵件,就能存取企業資料並外洩。
(三)研究人員揭露一類名為PromptPwnd的手法,當AI代理介接GitHub Actions或GitLab CI/CD時,可濫用AI代理竊取金鑰並改寫CI/CD流程,並強調至少已有5家Fortune 500企業受影響。
(四)多款主流AI IDE與程式助理被揭露存在IDEsaster類型的弱點,研究人員Ari Marzuk指出,這是一條跨工具通用的攻擊鏈,目前已有24項漏洞取得CVE編號,AWS亦發布安全公告AWS-2025-019。

還有一項研究揭露值得留意,有研究人員發表SOAPwn研究,指出微軟.NET Framework內建HTTP用戶端代理的設計缺陷,WSDL匯入機制可被濫用,恐引發多款企業產品的RCE與NTLM雜湊洩漏風險。

至於資安防禦發展動向上,這一星期有多個重要進展,最受矚目的是,隨著許多應用聚焦在AI代理,OWASP首度公布AI代理的10大資安威脅,這項排名公開突顯「Agent Goal Hijack」、「工具濫用及漏洞利用」,以及「身分與特殊權限的濫用」,是最要留意的3大風險情境。

另外我們也在此補充,近期還有其他風險排行榜有更新發布,包括:OWASP 2025年Web應用安全十大威脅揭曉,還有MITRE公布2025年版全球最危險的25種軟體安全缺陷,也就是所謂的CWE Top 25,目的是提醒開發者與軟體供應商,哪些是長期反覆出現、應在開發階段優先避免的高風險弱點。

而在促進企業修補漏洞方面,英國國家網路安全中心(NCSC)有新作法,他們嘗試透過公開資訊與可觀察的外部行為,並與Netcraft合作寄送漏洞預警通知,希望避免企業因未主動追蹤漏洞而暴露風險的狀況,以更主動方式提醒企業留意對外系統的潛在弱點。

 

【12月8日】殭屍網路及中國駭客傳出已實際利用滿分資安漏洞React2Shell

繼上週AWS警告多組中國駭客開始利用React滿分漏洞CVE-2025-55182(React2Shell),威脅情報業者GreyNoise、資安業者Palo Alto Networks,以及Shadowserver基金會都針對相關威脅態勢提出警告;再者,雲端服務業者Cloudflare出現服務異常,也與緩解此漏洞有關

【12月9日】AI開發工具與程式助理廣泛存在一系列資安漏洞,可串連形成攻擊鏈IDEsaster

有研究人員在多款主流的AI程式助理與IDE當中,發現超過30個資安漏洞,並統稱為IDEsaster,這項發現恐影響數百萬開發人員,而受到全球高度關注

【12月10日】微軟、SAP等多家科技業者發布12月份例行更新

微軟於本月的例行更新(Patch Tuesday)修補3項零時差漏洞,其中又以出現實際攻擊行動的CVE-2025-62221最受關注,此外,由近日公布AI開發工具漏洞利用鏈IDEsaster的研究人員通報的另一項漏洞CVE-2025-64671,由於也在微軟公告前就被公布,而成為另一焦點

【12月11日】React2Shell攻擊活動持續擴大,北韓駭客、挖礦軟體、殭屍網路加入行列

資安業者Huntress與Sysdig提出警告,他們看到有人不斷投入利用CVE-2025-55182(React2Shell)的情況,其中有人試圖綁架Linux主機來挖礦及建置殭屍網路,也有北韓駭客用於散布惡意程式EtherRAT

【12月12日】惡意軟體NanoRemote濫用Google Drive的API從事通訊

曾經濫用微軟Graph API的中國駭客近期再度出手,打造新的惡意程式NanoRemote,最大的不同之處在於,他們利用了Google Drive的API來進行C2通訊

 

iThome Security

熱門新聞

Advertisement