駭客利用React2Shell並攻擊網頁應用程式防火牆FortiWeb,運用Sliver框架建立C2通道
12月初React開發工程團隊揭露重大漏洞React2Shell(CVE-2025-55182),隨即就有國家級駭客用於實際攻擊行動,也有殭屍網路用來綁架Next.js應用程式伺服器,從事挖礦與DDoS攻擊,現在有人結合網頁應用程式防火牆(WAF)的資安漏洞從事活動。
資安研究團隊Ctrl-Alt-Int3l指出,他們從資安公司Censys的威脅獵補情資當中,發現曝露滲透測試框架Sliver C2資料庫與事件記錄的駭客團體,研究團隊根據這些資料庫、事件記錄,以及對應的基礎設施,掌握駭客成功入侵網頁應用程式防火牆FortiWeb並部署Sliver,過程裡利用了React2Shell,再者,他們也透過Fast Reverse Proxy(FRP)曝露受害組織的本地服務。
Ctrl-Alt-Int3l總共看到30個IP位址被植入了Beacon,其中有許多受害組織集中於巴基斯坦與孟加拉,涉及金融產業與政府機關。此外,駭客也在與FortiWeb無關的中國主機植入Sliver。針對這起活動的發現,突顯了邊緣設備普遍缺乏EDR與防毒軟體的保護,而成為企業組織察覺資安威脅的盲點。
D-Link多款停產DSL路由器曝重大漏洞,已出現攻擊利用跡象
友訊科技(D-Link)多款已達產品生命週期終止(EoL)的DSL路由器,被揭露存在高風險命令注入漏洞,且相關攻擊行為已在蜜罐環境中被觀測到。該漏洞被編列為CVE-2026-0625,CVSS風險分數高達9.3,屬於重大層級。
D-Link已針對CVE-2026-0625,於1月6日發布安全公告,說明目前尚無法僅依產品型號判斷是否受影響,必須直接檢視設備韌體內容,因此正同步檢視已停產與仍受支援平臺的多個韌體版本,作為內部調查的一部分。此外,受影響的dnscfg.cgi端點,也與名為DNSChanger的惡意程式有關。
通報此事的漏洞情報公司VulnCheck指出,CVE-2026-0625源於路由器韌體中dnscfg.cgi端點對DNS設定參數的輸入驗證不足,導致未經身分驗證的遠端攻擊者可注入並執行任意Shell指令,進而造成遠端程式碼執行風險(RCE)。在VulnCheck於2025年12月16日向D-Link通報之前,資安研究機構Shadowserver基金會已於2025年11月27日,在其蜜罐系統中觀測到針對該漏洞的攻擊行為證據。
Veeam揭露旗下v13版備份軟體重大風險,須盡速更新修補漏洞
備份與資料保護軟體廠商Veeam,於1月6日揭露影響其Veeam Backup & Recovery備份軟體的4項漏洞,並釋出修補。
這4項漏洞中,最嚴重的是編號為CVE-2025-59470的漏洞,為CVSS嚴重性等級評分9.0的重大漏洞,會導致備份或磁帶操作者,透過發送惡意間隔或順序參數,以postgres使用者身分遠端執行程式碼。
另3個漏洞CVE-2025-55125、CVE-2025-59468與CVE-2025-59469,為CVSS嚴重性等級評分7.2、6.7與7.2的漏洞。CVE-2025-55125若遭到濫用,可能會導致備份或磁帶操作者透過建立惡意備份設定檔;CVE-2025-59468允許以root身分執行遠端程式碼,若攻擊者假冒備份管理者的身分,可透過發送惡意的密碼參數,以postgres使用者身分遠端執行程式碼;CVE-2025-59469的存在,允許備份或磁帶操作者以root身分寫入檔案,有心人士可濫用此漏洞,非法將資料灌入備份系統中。
工作流程自動化平臺n8n爆滿分漏洞Ni8mare,攻擊者可藉表單流程存取底層檔案
開源工作流程自動化平臺n8n官方公開重大資安漏洞CVE-2026-21858,CVSS風險評為10分(滿分10分)。n8n在GitHub安全通報中指出,CVE-2026-21858影響版本為1.65.0含以前版本,並已在1.121.0版修補,建議使用者升級至1.121.0或更新版本。開發工程團隊說明,問題出在對外提供的表單相關流程,存在不當的Webhook請求處理行為,使未經驗證的遠端攻擊者有機會觸發特定流程,讀取底層伺服器檔案內容。
資安業者Cyera Research Labs研究人員發現該漏洞,將漏洞命名為Ni8mare,並評估此弱點可導致本機部署的n8n實例遭到接管,推估可能影響全球約10萬臺伺服器,同時強調沒有替代緩解方案,處置重點仍是升級到1.121.0或更新版本。
針對漏洞發生的原因,n8n說明問題出在對外提供的表單相關流程中,存在不當的Webhook請求處理行為,導致攻擊者可在不需帳號密碼的情況下,觸發流程存取主機上的檔案內容。由於n8n常被用來串接各式系統與雲端服務,一旦底層檔案可被讀取,外洩的可能不只是單一資料,而是足以影響後續存取控制的關鍵資訊。
工作流程自動化平臺n8n曝9.9分重大漏洞N8scape,成功利用恐波及整體執行環境安全
開源工作流程自動化平臺n8n被揭露存在多項重大資安漏洞,其中一個可能讓已通過身分驗證、且具備建立或修改流程權限的使用者,在特定條件下於執行n8n的主機上執行任意系統指令。該漏洞編號為CVE-2025-68668,CVSS風險評分高達9.9。
該漏洞由Cyera Research Labs研究人員Vladimir Tokarev與Ofek Itach發現並通報,研究人員將其命名為N8scape。漏洞被歸類為防護機制失效案例,影響範圍涵蓋n8n 1.0.0至2.0.0之前的所有版本,n8n維護團隊已於2.0.0版中完成修補。
根據n8n維護團隊與研究人員說明,問題出在n8n使用Pyodide實作的Python Code Node。在原本設計中,該節點應透過沙箱機制限制程式碼執行範圍,但研究人員發現,具備流程編輯權限的使用者,仍可在特定情境下繞過隔離限制,直接在主機層級執行作業系統指令。
駭客宣稱駭入日本廣播電臺東京FM,並竊取300萬筆記錄。不過東京FM澄清公司內部系統並未遭駭;外洩資訊是來自該公司使用的第三方雲端分析服務。
資安業者Hackmanac在1月1日發現駭客論壇上名為victim的人士,宣稱駭入東京FM廣播(Tokyo FM Broadcasting),竊得的300萬筆記錄。外洩的個資包含姓名、電子郵件、出生日期、IP、使用者代理字串(User Agent)、工作資訊,以及多個內部系統的登入ID。
資安公司根據開放網際網路及暗網蒐集的資料做出分析,並且透過社群平臺發出警示。不過,東京FM於6日發出聲明指出,傳言和事實有所出入。
桃國機場巴士跨年看板出現統戰標語,公路局表示是後端廠商遭駭所致
根據TVBS新聞網的報導,有民眾在12月31日清晨搭乘從桃園機場往捷運新店站方向的客運,發現原本用於顯示到站資訊的跑馬燈,竟然出現「台獨勢力必亡」、「翹首以盼待回歸」等統戰口號,由於中國解放軍在29日至31日,以演習的名義在臺灣周邊海域滋擾,發生的時間相當巧合,引起民眾在Threads等社群網站的熱烈討論。對此,大有巴士表示他們於同日上午9時接獲乘客通報,並向中華電信工程師進行了解,在一個小時後成功排除異常。
大有巴士進一步調查及說明,客運上的跑馬燈設備控管中心,由中華電信維運,這起事故發生在31日凌晨1時,伺服器遭不明人士入侵。再者,這起事故傳出還有另一家客運公司發生相同情形,不過當時該公司並未發車。
這起事故也引起交通部公路局注意,他們表示已第一時間派員前往大有巴士查核,掌握此事是配合廠商的後端系統遭到入侵,並非該客運公司所為。公路局也透過各區監理所,要求客運公司進行全面盤查,並於每日出車前檢查看板,是否因遭駭而出現不當資訊的情況。
Palo Alto Networks有意以4億美元買下以色列資安新創Koi Security
資安大廠Palo Alto Networks於2025年買下多家資安公司,並與Google簽訂多年協議進行更進一步的合作,近日傳出該公司打算併購甫成立不久的資安新創,引起科技及資安業界的高度關注。
這項消息最早由以色列科技新聞網站CTech報導,Palo Alto Networks執行長Nikesh Arora去年12月前往以色列,與身分驗證解決方案公司CyberArk的員工會面,討論併購後續事宜的同時,也評估當地的資安新創是否有交易的機會。結果傳出Palo Alto Networks有意以4億美元的價格,買下2024年成立的Koi Security,若是這項消息屬實,代表Koi Security的投資者將快速獲利。對此,Palo Alto Networks與Koi Security皆未發表評論。
對於Palo Alto Networks有意併購Koi Security的原因,主要是因為AI技術對資安領域帶來快速的變化,於是他們打算透過買下Koi Security,進一步整合XDR與EDR等資安防護方案。
其他資安威脅
◆駭客團體Black Cat架設冒牌Notepad++網站,散布惡意軟體並竊取用戶資料
◆惡意軟體下載及加殼工具CloudEyE感染全球逾10萬用戶
◆CISA警告HPE OneVew重大層級漏洞已被用於實際攻擊
近期資安日報
【1月7日】殭屍網路Kimwolf透過固定代理伺服器網路進行擴散
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
