資安

針對去年中國駭客對臺灣無人機產業發動的供應鏈攻擊，趨勢科技公布新的調查結果，指出這些駭客自2023年發起另一波攻擊行動Venom，由於大量使用各式開源工具，使得相關攻擊難以被察覺

本週資安業者Ivanti發布5月例行更新，其中最值得留意的部分，是已出現實際攻擊行動的CVE-2025-4427、CVE-2025-4428，這些漏洞存在於內部建置版本的端點管理平臺Ivanti Endpoint Manager Mobile（EPMM），該公司呼籲IT人員應儘速採取行動

本週二微軟發布5月份例行更新（Patch Tuesday），值得留意的是，已有5個漏洞被用於實際的攻擊行動，這些漏洞涉及Windows指令碼引擎、微軟Windows桌面視窗管理（DWM）、Windows通用事件記錄檔案系統（CLFS），以及供WinSock使用的Windows附屬功能驅動程式（Ancillary Function Driver，AFD）

美國CERT/CC在5月7日公告Radware雲端網頁應用防火牆有二項漏洞，可讓攻擊者繞過安全過濾機制攻擊Web應用程式，不過Radware表示他們在2023年就已經針對這二項漏洞提供修補

繼4月底修補工作站主機板重大層級資安漏洞後，近期華碩再度對主機板用戶發出資安公告，這次是修補驅動程式管理工具DriverHub的弱點，呼籲用戶儘速套用相關更新

Mitel Networks修補位於該公司多款SIP電話的兩個安全漏洞，其中的CVE-2025-47188允許未經身分驗證的使用者執行任意命令

上週微軟發布資安公告，修補Azure DevOps、Azure Automation、Azure Storage、Power Apps的重大漏洞，其中CVE-2025-29813達到10分、CVE-2025-29827與CVE-2025-29972達到9.9分，相當危險

SAP於4月24日緊急修補的NetWeaver零時差漏洞CVE-2025-31324攻擊行動仍在延燒，資安業者Forescout指出，最新一波活動由中國駭客Chaya_004發起，針對製造業而來