資安

在二月份例行更新裡，SAP對旗下多項應用系統進行修補，其中最值得留意的是商業智慧平臺BusinessObjects授權不當漏洞CVE-2025-0064、供應鏈關係管理平臺SRM路徑穿越漏洞CVE-2025-25243，以及Node.js程式庫套件Approuter的身分驗證繞過漏洞CVE-2025-24876

在2025年2月，馬偕紀念醫院遭遇CrazyHunter這支勒索軟體的連續攻擊事件，目前已知攻擊路徑為AD主機並派送惡意程式，攻擊者還利用BYOVD手法規避偵測。我們在此總結了相關資訊

今日（11日）傳出國內馬偕醫院遭受勒索軟體Crazy Hunter勒索軟體的事件，衛生福利部資訊處處長李建璋表示確有此事，這次攻擊已經連續兩日，甚至揚言今日傍晚將持續對醫院發動攻擊。在因應上，衛福部已與資安署合作成立快速反應小組，進駐馬偕醫院協助應對。馬偕醫院亦表示，這次事件只有影響北淡兩區急診室

今天上午傳出馬偕醫院遭勒索軟體CrazyHunter攻擊的情況，衛生福利部資訊處處長李建璋證實確有此事，這次攻擊已連續兩日，駭客揚言今日傍晚將持續對醫院發動攻擊

資安研究機構Shadowserver基金會揭露為期數週的大規模暴力破解攻擊事故，駭客利用約280萬個IP位址的網路邊緣裝置，對Ivanti、Palo Alto Networks、SonicWall等廠牌的設備下手

WordPress管理流程改善外掛程式Admin and Site Enhancements（ASE）存在高風險權限提升漏洞，付費及免費的用戶都可能曝險，通報此事的資安業者Patchstack表示，這種漏洞相當特別，能讓使用者回復舊有的權限

本週蘋果對於電腦、行動裝置、穿戴裝置發布作業系統更新，當中針對iPhone與iPad修補一項資安漏洞CVE-2025-24200，並指出該漏洞已被用於針對特定人士發動攻擊

資安業者Abnormal Security揭露一起主要針對教育機構而來的大規模網釣攻擊，駭客鎖定AD聯合身分驗證服務服務（ADFS）下手，從而成功突破多因素驗證（MFA）並挾持Microsoft 365帳號