文/羅正漢|2026-01-05發表

2026年已到來,在1月第一個星期的資安新聞中,最重要的消息是,繼金融資安行動方案2.0推動後,金管會揭露2026至2030年金融資安韌性發展藍圖,推動重點包含四大構面十大重點工作,首要焦點是強化資安長賦權與問責,解決資安長因缺乏權限及資源而難以因應威脅的現況。

其他重要面向涵蓋:促進零信任成熟度提升,並漸進納入基礎規範,這方面主要依循先前發布的「金融業導入零信任架構參考指引」後,從身分、設備、網路、應用程式與資料出發,依據36項實作參考原則進行;帶動金融業跟上Secure by Design的國際趨勢,鼓勵資安左移以降低資安風險及漏洞處理成本;擴大金融業供應鏈聯防及情資分享。

半年前鬧得沸沸揚揚的中華電信憑證治理議題,如今再成熱門焦點,該公司表示經歷約半年的組織與制度重整,已在12月29日申請重返Chrome信任清單。同時透露最新布局,已開始導入PQC後量子加密與憑證自動化管理機制ACME。

至於其他重要資安防護動向,涵蓋.NET 10、Passkey的技術進展,以及資安產業發展與政府打詐方面的消息,我們整理如下:
●前陣子微軟正式發布.NET 10,新版重要變化在於導入新的統一建置架構,此舉優化了產品建置與發行流程,大幅提升版本更新與安全修補的效率與可預測性。
●Google在臺解析Passkey技術的新進展,不僅說明Credential Manager的重要演進,同時透露即將推出的憑證可攜、PNV電話號碼驗證機制。
●資安監控委外服務大廠安碁資訊說明年度業務發展,聚焦IT與OT資安檢測、人才培育,同時公布已在內部設立AI專責管理單位,並投入生成式AI應用研發。
●隨著普發現金一萬上路兩個月,數發部長林宜敬揭露資訊系統的防詐方式設計,採白名單縮小防守範圍的策略,黑名單以主動防堵策略,並停止解析共13個偽冒普發現金網站。

在資安事件方面,有1家上市公司發布資安重訊,電源供應器廠商飛宏指出自家官方網站的代管廠商遭受網路DDoS攻擊,立即通知委外代管廠商處理。

此外,我們整理本期週報注意到另一消息,上海商銀於12月30日公告受金管會裁罰1,200萬元。由於兩年前該行曾因資料外洩一案,因未完善建立及未確實執行內部控制制度,被金管會依銀行法重罰,如今金管會再以同樣原因開罰,突顯內控問題仍有待改進。

在漏洞攻擊消息方面,這一星期的最大焦點莫過於MongoBleed漏洞。資料庫開發商MongoDB於12月中旬針對MongoDB Server發布安全更新,修補一項由OX Security通報的漏洞CVE-2025-14847,相隔一星期有研究人員以MongoBleed名稱公開漏洞概念驗證(PoC),不久之後傳出消息有攻擊者針對未修補用戶發動攻擊,首個遭駭的是遊戲公司。

還有一則漏洞消息值得留意,有研究人員揭露多款主機板UEFI實作存在缺陷,系統在早期開機階段未正確啟用IOMMU防護,將導致防護機制形同虛設,包含華擎科技(ASRock)、華碩(Asus)、技嘉(Gigabyte)與微星(MSI),涵蓋多款採用Intel與AMD晶片組的主機板受影響。隨著相關廠商陸續釋出新版韌體修補漏洞,CERT/CC呼籲儘速完成更新。

至於其他重要威脅態勢方面,中國駭客活動仍是主要焦點,我們聚焦下列5項消息:
●中國駭客組織Mustang Panda手法升級,資安公司卡巴斯基示警指出,該組織現已開始利用核心模式惡意程式來隱藏後門工具ToneShell,此轉變能有效規避Defender等內建防毒軟體的偵測,讓攻擊更難被發現。
●中國駭客Daggerfly針對土耳其、中國、印度散布惡意軟體的活動被揭露,主要透過偽裝成熱門應用程式的更新,並運用AiTM網釣與DNS中毒手法,竄改攻擊者控制的伺服器DNS回應。
●文字編輯器EmEditor網站的下載管道被動手腳,首頁下載導引疑遭第三方未授權改寫,受影響期間為臺灣時間12月20日上午至23日清晨,期間有下載的用戶需儘速採取補救措施。
●Firefox惡意套件攻擊活動GhostPoster被揭露,至少涉及17款元件,特別要注意是,攻擊者將惡意JavaScript程式碼藏於PNG圖示檔尾端以規避偵測。
●AI蜜罐平臺Beelzebub揭露名為Operation PCPcat的攻擊行動,駭客鎖定Next.js應用程式,企圖利用React2Shell入侵伺服器,藉此進行大規模憑證竊取。

 

【12月29日】MongoBleed傳出被用於實際攻擊,遊戲伺服器遭到入侵

一個多禮拜前MongoDB開發工程團隊揭露的高風險漏洞CVE-2025-14847(MongoBleed),最近幾天陸續有資安公司與研究人員公布相關細節,並指出已有攻擊行動出現,其中,首個傳出遭駭的是遊戲公司,疑似因此造成遊戲伺服器異常

【12月30日】React2Shell漏洞利用活動肆虐,近6萬臺Next.js應用程式伺服器被入侵

利用滿分資安漏洞CVE-2025-55182(React2Shell)的攻擊行動再度傳出,這次駭客集中針對Next.js應用程式伺服器從事大規模漏洞利用活動,對超過9萬臺伺服器下手,結果成功入侵近6萬臺

【12月31日】金管會揭露未來4年金融業資安韌性發展藍圖

為描繪我國金融業未來強化資安治理發展方向,本週金管會發布「金融資安韌性發展藍圖」,從四個構面列出十大重點工作.其中部分是延續金融資安行動方案2.0的內容,並進行延伸及強化

【1月2日】第三波蠕蟲Shai Hulud變種現身NPM儲存庫

本週蠕蟲程式Shai Hulud與GlassWorm現身NPM儲存庫、Visual Studio Code(VS Code)延伸套件市集,以及Open VSX套件庫,其中又以Shai Hulud受到較多關注,原因是駭客似乎正在進行測試,可能將引發新一波大規模攻擊

 

iThome Security

熱門新聞

Advertisement