【資安週報】1215~1219，零時差漏洞攻擊鎖定思科與SonicWall產品。IDC預期2026年機器身分安全風險增加

在2025年12月第三個星期的資安新聞中，漏洞攻擊消息頻傳，有兩起零時差漏洞攻擊發生，思科、SonicWall的產品遭鎖定，還有攻擊者鎖定「剛修補已知漏洞」快速發動攻擊的狀況，同樣值得我們高度關注。我們整理如下：

●思科Talos緊急揭露中國駭客鎖定思科電子郵件設備SEG、SEWM攻擊，目標是零時差漏洞CVE-2025-20393，對方在受影響設備的底層作業系統上，以root權限執行任意命令，並部署AquaShell後門。目前尚未釋出修補程式，呼籲用戶依照建議緩解威脅。
●有攻擊者鎖定SonicWall SMA1000零時差漏洞發動攻擊，目標是CVE-2025-40602，修補程式已經釋出，此漏洞是由Google威脅情報小組通報，攻擊者身分與細節尚未公開。
●Fortinet修補旗下產品的重大漏洞CVE-2025-59718及CVE-2025-59719，兩天後，資安業者示警，已觀察到FortiGate裝置出現惡意單一登入（SSO）的跡象。
●React2Shell漏洞攻擊已連續三個星期成為焦點，漏洞公布最初數小時，就發現中國駭客利用此漏洞來發動攻擊，如今威脅更嚴峻：Palo Alto Networks已確認有逾30家企業受害，Google TAG指出至少5組中國駭客都在漏洞利用行列，Cloudflare發現攻擊者正鎖定臺灣、新疆維吾爾、越南、日本與紐西蘭發動攻擊。

另外，還有兩起重要漏洞消息需留意，一是PCI-SIG揭露PCIe的IDE安全機制存在3項資安漏洞，隨後Intel與AMD亦發布安全公告，建議透過韌體更新因應，另一是華碩揭露ASUS Live Update的漏洞CVE-2025-59374，美國CISA隨即列入KEV要求當地機關限期修補，而根據漏洞描述，這應是2019年俄羅斯駭客發動Live Update供應鏈攻擊事故時的漏洞，因此看起來並非緊急事件，而是正式將這項之前存在的已知威脅、有了CVE後隨即納入KEV清單。

在資安事件方面，國際間有3起重大事故，包括：法國內政部公告遭網路攻擊，指出郵件伺服器遭入侵，以及義大利國安局收到情報有駭客潛伏義大利渡輪Fantastic意圖植入惡意程式RAT，法國協助逮捕兩名二十多歲嫌犯，還有資料分析服務公司被ShinyHunters駭客組織入侵一事亦成焦點，因為成人網站PornHub公告表明受此事牽連，有部分Premium付費用戶的分析資料因事故外流。

在資安防禦動向上，產品資安發展成主要焦點，最近我們製作封面故事深入探討此事，強調產品資安開始成為法規明文要求，尤其歐盟網路韌性法（CRA）生效後，漏洞通報要求將於2026年9月先上路，呼籲臺灣產品業者需及早建立產品資安事件應變團隊，甚至積極落實Security by Design與Secure by Default，我們並邀請3家業者分享實務經驗，包括合勤科技、威聯通科技與四零四科技。

此外，我們注意到2025年CVE漏洞已達4.5萬個，再創新高，因此也請ZDI專家解析其態勢與意義。

另一項重要消息是在打詐方面，數位發展部宣布，網詐通報查詢網升級至3.0版，這次主要聚焦情資聯防能力的提升，不僅開放縣市政府通報，強化跨部會API串接，也在系統中整合第三方機構的情資，並增強「公眾人物與企業專屬通報機制」，並希望持續促進民眾參與度提高。

而在促進企業修補漏洞方面，英國國家網路安全中心（NCSC）有新作法，他們嘗試透過公開資訊與可觀察的外部行為，並與Netcraft合作寄送漏洞預警通知，希望避免企業因未主動追蹤漏洞而暴露風險的狀況，以更主動方式提醒企業留意對外系統的潛在弱點。

至於資安產業動態，對於即將到來的2026年，市場調查機構IDC指出，隨著AI與Agentic AI快速成長，其產生的Token往往缺乏管理機制，加上NHI（非人類身分）與機器身分暴增，服務帳號大量生成、散落於不同部門與開發流程，因此指出身分與存取管理（IAM）的需求將大幅攀升，並帶動人類與機器身分管理IAM相關產品及服務市場成長。

【資安週報】1215~1219，零時差漏洞攻擊鎖定思科與SonicWall產品。IDC預期2026年機器身分安全風險增加

【12月15日】開發人員在Docker Hub曝露大量憑證，有人將其收集並在地下論壇兜售

【12月16日】更多中國駭客加入利用React2Shell的行列

【12月17日】MITRE公布最危險的漏洞類型，XSS居冠

【12月18日】日本電商Askul公布勒索軟體攻擊事故調查結果

【12月19日】華碩已終止支援的軟體更新工具漏洞遭到利用

熱門新聞