資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1215~1219,零時差漏洞攻擊鎖定思科與SonicWall產品。IDC預期2026年機器身分安全風險增加

回顧2025年12月第三個星期資安新聞,駭客鎖定思科郵件設備、SonicWall防火牆發動零時差漏洞攻擊最受矚目,今年全球CVE漏洞已達4.5萬個再創新高的消息也引發關注;資安產業發展方面,2026年即將到來,IDC預期機器身分安全風險增加,帶動IAM市場成長

2025-12-24

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1208~1212,React2Shell漏洞遭大規模利用,攻擊活動升溫

回顧2025年12月第二星期資安新聞,React2Shell漏洞攻擊態勢擴大成為主要新聞焦點,另需特別關注的是,Git伺服器Gogs有零時差漏洞被利用,且目前尚未釋出修補;在資安事件方面,國內有傳出4家企業遇害,其中炎洲及其子公司炎洲流通的揭露格外引人關注,因為這又是集團兩家公司同遭資安事件的情況

2025-12-15

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息

在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動

2025-12-08

義大利 | 語音網釣 | 仿聲詐騙 | AI深偽 | 社交工程 | Vishing | Deepfake | AI語音偽冒 | 釣魚詐騙 | 詐騙

【Deepfake偽冒實例】義大利石油富商遭「AI深偽」電話詐騙百萬歐元,國防部長成偽冒對象

在2025年2月,義大利爆發AI語音詐騙事件,攻擊者偽冒國防部長Guido Crosetto,鎖定多名商界領袖與企業高層行騙。為釐清事故我們循線追查,發現最早揭露此事是部長本人

2025-07-11

AI深偽 | 社交工程 | 視訊會議 | Deepfake | 釣魚詐騙 | 詐騙 | 新加坡

【Deepfake偽冒實例】新加坡警方揭露跨國公司財務主管遭AI深偽詐騙,Deepfake視訊會議詐騙案增加

在2025年3月,新加坡警察部隊、金融管理局與網路安全局示警,說明發現AI深偽(Deepfake)冒充企業高階主管的事件。可以想見的是,繼香港警方去年初揭露Deepfake視訊會議詐騙後,我們發現有更多國家的企業都遭遇此類攻擊

2025-07-11

山形銀行 | 語音網釣 | 社交工程 | Vishing | 釣魚詐騙 | 詐騙

【語音網釣實例】山形鐵道公司遭自動語音網釣詐騙近億日元,企業網路銀行帳密是攻擊者下手目標

山形鐵道在2025年3月,傳出遭假冒山形銀行的語音網釣(Vishing)詐騙,損失約1億日元。不過,普遍臺灣企業尚未關注到此項消息,我們認為,此威脅態勢的出現,值得大家重視

2025-07-11

語音網釣 | 仿聲詐騙 | AI深偽 | 社交工程 | Vishing | Deepfake | AI語音偽冒 | 釣魚詐騙 | 詐騙

2025社交工程攻擊新趨勢!語音網釣、AI偽冒真實攻擊大增

近年資安界持續針對Vishing與Deepfake語音偽冒示警,儘管前幾年已有企業遇害印證這些威脅,然而,大家可能輕忽的是,今年這類威脅在國際間已有竄起的跡象,國內企業需及早正視

2025-07-11

資安日報

【資安日報】7月10日,大規模詐騙新聞網站攻擊活動BaitTrap鎖定50個國家而來

資安業者CM360近期發布一份調查報告引起關注,他們揭露使用超過1.7萬個詐騙新聞網站的投資詐騙活動,歹徒偽裝成受到信任的新聞媒體,並冒用知名公眾人物、金融機構的名義,誘騙民眾上當

2025-07-10

SAP | SRM | Live Auction Cockpit | CVE-2025-30012 | S/4HANA | SCM | CVE-2025-42967

SAP修補供應商關係管理平臺重大漏洞,問題出在攻擊者能趁機以管理員身分執行OS命令

在7月份SAP發布的Security Patch Day資安公告裡,CVSS風險達到10分的CVE-2025-30012最值得留意,該漏洞出現在供應商關係管理平臺(SRM),若不處理,攻擊者就能以管理員身分執行作業系統命令

2025-07-10

中華電信 | 憑證 | 撤信 | Chrome

中華電信憑證撤信事件,葛如鈞質疑若數發部推動的雙憑證機制無效,近半數部會仍用中華憑證恐引發信任危機

立委葛如鈞質疑,目前仍有近半數的部會使用中華電信的憑證,當政府機關網站被標示為具有安全疑慮,恐造成民眾對政府的信任受到影響,並成為資安、詐騙的大破口。

2025-07-10

網路投資詐騙 | BaitTrap | Baiting News Sites

大規模詐騙新聞網站攻擊活動BaitTrap鎖定50個國家而來,目的是進行網路投資詐欺

資安業者CM360發現針對全球50個國家的網路投資詐騙活動BailTrap,歹徒架設偽裝成知名新聞媒體的誘餌新聞網站(Baiting News Sites),然後發布假的名人「致富」新聞引誘民眾上當

2025-07-10

Citrix | VDI | XenDesktop VDI | XENSERVER | CVE-2025-6759

Citrix修補VDI平臺本機權限提升資安漏洞

本週Citrix修補虛擬桌面平臺Citrix Virtual Apps and Desktops、Citrix DaaS的資安漏洞CVE-2025-6759,此為本機權限提升漏洞(LPE),存在於Windows代理程式,一旦遭到利用,攻擊者有機會得到SYSTEM權限

2025-07-10

Fortinet | CVE-2025-25257 | 資安漏洞

Fortinet修補網頁應用程式防火牆重大SQL注入漏洞

Fortinet公告修補網頁應用防火牆產品漏洞CVE-2025-25257,此漏洞可能導致SQL程式碼注入攻擊

2025-07-10

Adobe Connect | ColdFusion | AEM Forms | Adobe.CVE-2025-49533 | CVE-2025-49535 | CVE-2025-27203

Adobe發布7月例行更新,呼籲IT人員優先修補AEM Forms、ColdFusion

本週Adobe發布7月例行更新,針對13款應用程式進行修補,該公司提醒IT人員,應優先安排修補電子表單平臺AEM Forms、應用程式開發平臺ColdFusion的工作

2025-07-10

AWS | re:Inforce | AI資安 | 生成式AI

AWS揭露用生成式AI幫助資安的5種場景,不只程式碼修補、API安全測試,還有日誌分析速度快50倍

用生成式AI強化資安已是大勢所趨,今年AWS re:Inforce 2025資安會議上,該公司公開本身用生成式AI強化資安的多種場景,我們歸納出5種應用,涵蓋自動程式碼修補、自動API安全測試、加速雲端回應團隊能力,甚至MadPot蜜罐系統強化與威脅建模的應用

2025-07-10

Kia | 資安漏洞 | 車載系統

Kia車載系統漏洞,讓攻擊者利用PNG圖檔注入程式

厄瓜多安全研究人員Danilo Erazo在Hardware.io 2025資安大會上,公布在厄國銷售的Kia車載裝置即時作業系統(RTOS)的安全性問題研究

2025-07-10

資安日報 | 海華

【資安日報】7月9日,微軟發布本月例行更新、修補130個漏洞

本週微軟發布7月份例行更新(Patch Tuesday),這次總共修補多達130項資安漏洞,數量僅次於1月份的159個,為今年以來的第二多,也較6月份的數量多出接近一倍。其中最危險的漏洞,是風險值達到9.8分的NEGOEX安全機制RCE漏洞CVE-2025-47981

2025-07-09

勒索軟體 | BERT | Linux | REvil

勒索軟體Bert中斷ESXi虛擬機器運作,並啟動50個CPU執行緒快速加密檔案

資安業者趨勢科技指出,勒索軟體駭客組織Bert從5月開始使用Linux版加密程式,主要的攻擊目標是VMware虛擬化平臺ESXi,這個惡意軟體與其他Linux版勒索軟體存在顯著不同的地方,在於能同時占用50個處理器執行緒來加速作業

2025-07-09