2025 年 11 月 10 日，美國國防部（又稱戰爭部）正式宣布，將 「網路安全成熟度模型認證」（Cybersecurity Maturity Model Certification, CMMC 2.0） 納入所有新的國防招標與合約續約條件，象徵這項長達六年的資安制度改革正式從「規劃階段」邁入「強制執行」的新里程碑。

對所有處理 受控非機密資訊（Controlled Unclassified Information, CUI） 及 聯邦合約資訊（Federal Contract Information, FCI）——亦即政府提供或產生但未公開的合約資料——的承包商、製造商與供應鏈夥伴而言，資安成熟度已成為能否競標國防合約的關鍵門檻。

簡言之，資安防護能力 = 市場競爭力 = 國防戰備力（Mission Readiness）。
這不僅是一場合規制度的變革，更是對整體國防產業鏈「信任體系」的重塑。

為何這次改革至關重要

CMMC 的核心理念是 「以可驗證的證據取代口頭承諾」。
多年來，美國國防供應鏈依靠自我聲明運作，導致實際落實度參差不齊。CMMC 2.0 強化了以下三大改變：

1. 標準化：所有承包商依同一套資安標準評估。
2. 分級化：依資訊敏感度實施對應控管。
3. 可執行：大部分企業必須通過第三方認證（C3PAO）或受限自評核查，並將結果上傳至 Supplier Performance Risk System (SPRS)。

依據 DFARS 252.204-7012 條款，承包商需達到 NIST SP 800-171 Rev.2 的 110 分合格標準，並提供可驗證的技術與管理證據，包括：

• 多因子驗證（MFA）與帳號控管
• 系統修補與漏洞修復紀錄
• 存取控制與稽核追蹤文件
• 定期備份測試與復原計畫

簡言之，CMMC 將國防資安從「信任」轉變為「可證明的信任」。

三階段實施：從自評到全面第三方核證

CMMC 2.0 將分三年逐步推動：

1. 2025–2026 年：所有廠商完成 Level 1 或 Level 2 自我評估。
2. 2026–2027 年：需透過第三方（C3PAO）驗證 Level 2。
3. 2027 之後：處理最敏感資料者，必須達到 Level 3，並通過 DIBCAC 審查。

專案經理（Program Managers）亦可在第一階段要求特定專案進行外部審查，以確保關鍵防務項目符合最高資安門檻。

現況與挑戰：準備落差與錯誤認知

儘管 CMMC 自 2019 年提出，多數企業仍存在「觀望」或誤解現象。
CMMC授權第三方評估機構(C3PAO)Redspin的報告指出，在美國超過 8 萬家防務供應鏈企業中：

• 截至2025 年10 月份 CyberAB (CMMC官方授權的認證管理機構)的公開說明會，僅不到 500 家通過 CMMC Level 2 認證
• C3PAO發現僅約 1% 承包商具備審查準備度

主要原因包括：

1. 政策歷史反覆，企業對落地時程缺乏信心
2. 對法規要求誤讀，以為 CMMC 引入全新標準
3. 缺乏完整文件化證據與稽核機制

實務上，CMMC 並非全新規範，而是要求企業證明已落實既有 NIST 標準。過去「簽了就算符合」的時代已結束，現在必須「證明你真的做到」。

法律與財務風險：虛假聲稱將引爆合約風暴

簽署含 CMMC 條款的合約即承擔法律義務。未達要求或虛假宣稱可能導致：

• 合約違約與停權
• 美國司法部（DOJ）調查與懲處
• 吹哨者訴訟與名譽損害
• 《虛假申報法》（FCA）罰金，每項違規可超過 10,000 美元，並附加三倍政府損失賠償

對中小企業而言，CMMC 不僅是合規挑戰，也是生存門檻與財務風險管理課題。

供應鏈重構：強者恆強，弱者出局

隨著 CMMC 強制化，國防供應鏈正出現兩極化：

• 已完成認證且資安成熟的廠商 → 擴張市占，成為首選合作夥伴
• 尚未準備的供應商 → 可能被主承包商取代

主承包商必須確保所有次承包商符合相同 CMMC 標準，否則自身合約亦可能受影響。對中小企業而言，資安治理能力將成為合作入場券。

對臺灣的啟示：供應鏈韌性治理新方向

美國 CMMC 2.0 為全球防務產業建立新的供應鏈資安標準，其精神對臺灣同樣具借鏡意義：

1. 供應鏈安全是共同責任 → 主承包商需確保每一層供應商皆具備等級化防護
2. 「證明能力」比「承諾能力」更關鍵 → 透過稽核、文件與技術控管展示成熟度
3. 從法遵走向戰備思維 → 資安不只是防禦，更是產業韌性與國防安全的一環

未來，臺灣若希望參與美國或北約防務供應鏈，導入類 CMMC 架構（以 NIST 800-171 為核心）將是必然趨勢。

結語：CMMC 合規即國防戰備力

CMMC 強制執行代表美國國防供應鏈正式邁入「可驗證安全」時代。
它不僅是法規要求，更是一場關於 「信任、透明與國防韌性」 的制度革命。
對全球供應鏈而言，CMMC 正成為衡量合作夥伴「是否值得信任」的新基準。

「CMMC 合規，即是國防戰備力。」

2025 年 11 月初，中國知名資安企業「知道創宇」（KnownSec）──一家與中國政府關聯的資安公司──發生重大資料外洩事件。根據中國資安部落格MXRN 報導，約 12,000 份內部文件與敏感資料遭洩，事件曝光後迅速震撼國際資安圈。外洩內容不僅涵蓋一般企業內控文件，更包括國家支援的網路攻擊武器、跨平台滲透工具、遠端控制框架（C2），以及全球超過 80 個國家的攻擊目標清單，可謂罕見的「國家級資安透明瞬間」。

值得注意的是，根據美國國防部（U.S. Department of Defense, DoD）資料，知道創宇早在 2022 年 10 月 5 日就已被列入美國實體制裁名單，顯示其與中國政府的關聯。

知道創宇的戰略定位：中國網路安全體系核心節點

成立於 2007 年、2015 年獲騰訊投資的知道創宇，目前員工規模超過 900 人，業務涵蓋：

• 國家級網路防護專案
• 金融與大型企業安全監控
• 政府資訊安全建置
• 全球資產掃描與端點監測（ZoomEye）

ZoomEye 是一款類似 Shodan 或 Censys 的全球性搜尋引擎，它會列出每個主機的漏洞，官方宣稱在 7–10 天內可完成整個 IPv4 位址空間的掃描。

知道創宇不只是商業資安公司，而是中國國家網路攻防體系的重要延伸，負責支援官方情報與滲透作業。因此，本次事件的影響不僅限於企業層面，更涉及國家情報與戰略資安供應鏈完整性。

外洩資料揭示的攻擊能力與全球目標

1. 跨平台攻擊工具與滲透框架

外洩資料顯示，知道創宇維運多項攻擊模組與後門木馬，覆蓋主要作業系統：

其中知名攻擊框架 GhostX 包含：

• Un-Mail：郵件攔截與備份模組
• Wi-Fi 入侵與密鑰破解工具
• C2 遠端操控框架

此外，資料還揭示改造型行動電源等硬體竊取裝置，可在充電時蒐集資料並回傳伺服器，明顯屬國家情報級別裝備。

Un-Mail 是一款聲稱可以透過 XSS 漏洞破壞電子郵件帳號的工具

Windows 木馬/遠端控制

2. 全球攻擊與情報蒐集成果

外洩資料指向長期、系統化滲透作業，部分目標及資料如下：

其他目標國家包括日本、越南、印尼、尼日利亞、英國等 20 多個地區。

需特別注意的是，該名單所揭露的多為台灣關鍵邊緣設備，影響範圍不容小覷。目前尚難斷定這些資料僅屬偵察性質的「目標練習」紀錄，抑或已具備可直接利用的攻擊價值；無論哪種情形，這都顯示出涉案資料與工具可能被用於對外攻擊。

他們的客戶名單似乎也同樣令人印象深刻，顯示出與中國國家級單位存在往來:

據報導，整個資料集曾一度被上傳至 GitHub，但隨即因違反平台規定而遭刪除。我們將持續關注事件進展，並期望能公布更多細節。

台灣資安專家觀點：戰略意涵與防禦建議

從台灣角度觀察，此事件有以下重要啟示：

1. 台灣在攻擊目標清單內
   外洩資料中直接包含台灣道路、交通及基礎建設規劃資料，戰時可被用於阻斷補給、癱瘓民生系統、影響軍事部署。
2. 中國資安公司非純商業角色
   知道創宇的定位顯示，中國網路安全產業與情報系統高度整合，攻擊來源可能具完整產業化供應鏈。
3. 供應鏈已成新攻擊面
   不僅防火牆與端點，任何雲端服務、掃描器或 API 都可能成為滲透管道。
4. 防禦策略應從「事後事件回應」轉為「主動誘捕（Deception）」與「情資驅動」：
5. 建置以威脅情報（Threat Intel）為核心的治理架構，將情資嵌入偵測、回應與決策流程。
6. 採用持續誘捕（Continuous Deception / Adaptive Deception），透過偽裝資產與誘餌主動誘導攻擊者露出行為，以早期發現與攔截攻擊。
7. 結合或替代部分傳統威脅獵捕（Threat Hunting）作業，讓誘捕產生的高信度警示主導獵捕線索，提高效率並降低誤報。
8. 推行零信任供應鏈（Zero‑Trust Supply Chain），以最小權限、強化驗證與持續監控來減少第三方風險。
9. 主動偵測比被動防禦更重要
   不能只問「有沒有被攻擊？」而應問「攻擊已經存在多久？已滲透到哪裡？」

結語

知道創宇資料外洩事件，不僅揭露中國資安產業與國家級攻防體系的密切關聯，也提供了全球首度可見的攻擊工具與目標清單。對台灣而言，這是一個重要警示：我們既是目標，也是防禦者，唯有透過威脅情報驅動的防護與主動偵測，才能在日益複雜的網路攻防中保持安全與韌性。

這不是一場普通的資料外洩事件，而是一場中國國家級網路攻防能力的「不小心公開展示」，而台灣，正站在這場展示的最前線。

美國內華達州日前發布了一份極少見且高度透明的資安事故調查報告，詳細揭露 2024 年 8 月該州政府遭到勒索軟體入侵的完整攻擊過程、偵測與復原行動。
本次事件影響超過 60 個政府機構，包含網站、電話系統到多項民眾線上服務，一度大範圍中斷。但值得注意的是：內華達州並未支付勒索贖金，而是在 28 天內自行恢復了 90% 的關鍵系統。

此事件案例的透明度極高，是目前少見由政府自願公開的完整攻擊鏈紀錄，對所有公務單位、科技企業與關鍵基礎建設均具重要警示意義。

攻擊是如何開始的？——一則 Google 廣告成了入侵入口

報告指出，攻擊者最初於 5 月 14 日取得內網立足點，來源並非漏洞或釣魚郵件，而是：

一名 IT 人員在 Google 搜尋工具下載時，點到被惡意廣告引導的假網站，下載到被植入後門的系統管理工具。

這類攻擊手法稱為：

Malvertising（惡意廣告感染鏈）

近年威脅者經常偽裝常用的 IT 工具，例如：

• WinSCP
• PuTTY
• KeePass
• AnyDesk
• LogMeIn
  

目標不是一般用戶，而是擁有高權限的系統管理員。
攻擊者藉此直接獲得能橫向移動與提權的絕佳起點。

攻擊者在內網做了什麼？（攻擊鏈分解）

最關鍵的突破點發生在攻擊者成功存取了：

密碼保管庫（Password Vault）系統
取得 26 個高權限帳號憑證

這使他們能：

• 登入核心伺服器
• 清除事件日誌（隱藏痕跡）
• 進一步準備勒索軟體部署

8月24日-08:30（UTC）即台灣時間 16:30勒索軟體被全面觸發

內華達州政府的虛擬機伺服器群組同時被加密，系統全面中斷。

為什麼沒有支付贖金？——「花加班費，也不給駭客一毛錢」

內華達州選擇不談判、不付費，而是：

• 啟動既定資安應變手冊（Incident Response Playbook）
• 由 50 名內部人員加班 4,212 小時
• 以加班費 USD $259,000 成本完成系統修復

若改由外包廠商處理，依市場標準費率 成本將高出約USD $478,000。

同時，事件期間仍確保：

• 公務員薪資正常發放
• 公共安全通訊不中斷
• 民眾服務逐步恢復

本案揭示的三大資安教訓

1. 組織必須強化「假設已遭入侵」的安全思維

即使端點防毒有偵測後門，攻擊者仍能留存持續性存取。
→ 零信任、持續監控、欺敵誘捕必須到位。

2. 密碼保管庫與高權限帳號是攻防核心

攻擊者獲取 Vault 即可繞過所有邊界控制。
→ 密碼庫、AD、身分存取治理（IAM / PAM）是優先防守重點。

3. 備援機制絕不能只看備份本身

備份被刪除後，復原會直接陷入停擺。
→ 備份需離線隔離、Immutable Storage、定期演練還原流程。

結語｜透明，才是最佳資安治理典範

內華達州此份報告的價值在於：

不粉飾、不隱瞞、完整揭露每一步攻擊細節。

這不只是事件復原，而是一份：

• 組織韌性（Cyber Resilience）的成功展示
• 政府與社會建立信任的重要示範
• 所有企業與政府機關都必須參考的資安治理教材

面對日益成熟的勒索生態鏈，我們更需要：

• 更快的偵測能力
• 更好的身分與權限管理
• 更嚴格的備援策略
• 更真實、不避諱的事後檢討文化

近期資安研究揭露，一支與中國有關的駭客組織 Storm-1849（又稱 UAT4356）正大規模鎖定 Cisco Firewall 裝置，特別是全球政府、國防機構與大型企業網路環境中廣泛部署的 Cisco ASA（Adaptive Security Appliance）。
這類設備不只是防火牆，它同時承擔 VPN 存取控管、流量檢查、入侵防護 等多重安全角色，一旦遭到入侵，就等同讓攻擊者突破「安全閘口」，直接接觸到內部敏感系統。

威脅輪廓：從美國政府到全球組織

根據資安媒體 Hackread的報道 ，Palo Alto Networks Unit 42 公布，這波攻擊行動自 2025 年 10 月持續至今，目標遍及：

• 美國聯邦政府
• 美國州與地方政府機關
• 軍事及國防承包商
• 金融業
• 歐洲與亞太多國政府與企業

更有趣的是，研究人員觀察到攻擊行動在 10 月 1–8 日短暫停歇，恰好與中國的「國慶黃金週」假期一致，這也成為外界懷疑背後與中國相關的重要線索之一。

受攻擊國家包括：印度、日本、澳洲、英國、法國、挪威、荷蘭、西班牙、波蘭、阿聯、尼日、阿塞拜然、不丹……範圍相當廣泛。

結論很明確：這不是單一國家事件，而是全球攻擊行動。
邊界設備（Edge Devices）已成為主要戰場。

攻擊手法：串聯兩項已知漏洞，取得長期控制權

駭客利用了 Cisco ASA 中兩個已知弱點，並進行漏洞串聯攻擊：

兩者搭配後，攻擊者能：

• 取得系統層級控制權
• 植入持久化存取（即使重開機或更新也無法移除）
• 修改設定，引導流量或竊取加密內容

也就是說，即使你「更新了系統」或「重開機防火牆」，入侵仍可能不會消失。

官方已發布緊急要求，但攻擊仍在持續

美國網路安全與基礎架構安全局（CISA）已於上月發布 緊急通告，要求所有聯邦機構立即修補 Cisco ASA 裝置。

然而，Unit 42 的研究顯示，許多組織仍未完全修補或仍持續遭到入侵嘗試。

資安專家建議：修補只是起點，不是終點

1. 立即修補（Patch Now）

如果機構仍在使用 Cisco ASA：

• 確認版本是否已修補上述兩個 CVE
• 若未修補，請 優先處理

2. 假設已遭入侵（Assume Compromise）

即使已修補，也應進行：

• 完整設定重置（Factory Reset）
• 重新產生所有密鑰、金鑰、VPN 憑證
• 檢查是否存在不明使用者或 ACL 規則

3. 加強邊界設備防護策略

• 不要只把防火牆當成「門口保全」
• 應以 零信任（Zero Trust） 思維重新檢視邊界控管
• 包含 記錄審查、異常行為偵測、存取行為基線化監控

結語：邊界設備的戰場化，已成既定事實

傳統上，我們常以為攻擊者會直接「攻進內網」或「社交工程到權限帳號」。
但這次事件再次證明：

駭客不再從裡面打，而是直接攻擊看守入口的安全設備本身。

對政府、國防、金融等高價值組織而言，
邊界設備的安全，已經不是「網路設備管理」層級的問題，而是國家級資安策略問題。

美國網路安全暨基礎建設安全局（CISA）於本週一正式將 五項安全漏洞 納入其「已知被利用漏洞（Known Exploited Vulnerabilities, KEV）」目錄中，當中包含近期被揭露、影響 Oracle E-Business Suite (EBS) 的嚴重漏洞，並確認該漏洞已在真實攻擊事件中遭到武器化利用。

CVE-2025-61884：Oracle EBS 關鍵 SSRF 弱點已被武器化利用

此項漏洞編號為 CVE-2025-61884（CVSS 評分：7.5），屬於 Oracle Configurator Runtime 組件中的伺服器端請求偽造（SSRF）漏洞。成功利用後，攻擊者可在未經授權的情況下，遠端存取並竊取關鍵資訊。
CISA 指出：「此漏洞可被遠端未經驗證者直接利用，風險等級高。」

該漏洞是 Oracle EBS 近期第二個確認被攻擊者利用的漏洞。先前的 CVE-2025-61882（CVSS 9.8）更嚴重，允許未經驗證的攻擊者在易受影響的系統上執行任意程式碼。

根據資安媒體《The Hacker News》的報道，Google Threat Intelligence Group (GTIG) 與 Mandiant 的調查，已有數十家企業疑似受害於 CVE-2025-61882 的惡意利用行動。GTIG 資深安全工程師 Zander Work 向《The Hacker News》表示：「目前尚無法將特定攻擊行為歸屬至某個特定威脅行為者，但觀察到的部分攻擊跡象顯示，這些行動可能與 Cl0p 勒索組織 有關。」

Oracle 已於近日緊急發布 安全公告 (Security Alert CVE-2025-61884)，針對 E-Business Suite 12.2.3–12.2.14 版本 推出修補程式。
Oracle 首席安全長 Rob Duhart 表示：「此漏洞若遭成功利用，可能使攻擊者存取敏感資源。建議所有使用者應立即部署更新，以降低資料外洩風險。」

其他新增至 KEV 的四項漏洞

除 Oracle 外，CISA 此次同時將 Microsoft、Kentico、與 Apple 等產品的四項漏洞列入 KEV 目錄：

1. CVE-2025-33073（CVSS 8.8）
   • 影響產品：Microsoft Windows SMB Client
   • 類型：權限提升（Improper Access Control）
   • 狀況：若 SMB 簽章未強制啟用，攻擊者可透過「Reflective Kerberos Relay Attack（又稱 LoopyTicket）」取得網域控制權限。
   • 修補狀態：Microsoft 已於 2025 年 6 月修補。
2. CVE-2025-2746（CVSS 9.8）
   • 影響產品：Kentico Xperience CMS
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理空白 SHA1 使用者名稱的缺陷，可取得管理端控制權限。
   • 修補狀態：2025 年 3 月修補。
3. CVE-2025-2747（CVSS 9.8）
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理「None」型別密碼設定的漏洞，可完全控制系統管理物件。
   • 修補狀態：2025 年 3 月修補。
4. CVE-2022-48503（CVSS 8.8）
   • 影響產品：Apple JavaScriptCore
   • 類型：陣列索引驗證錯誤（Improper Validation of Array Index）
   • 後果：在處理惡意網頁內容時，可導致任意程式碼執行。
   • 修補狀態：Apple 已於 2022 年 7 月修補。

上述三項（CVE-2025-33073、CVE-2025-2746、CVE-2025-2747）分別由 Synacktiv 與 watchTowr Labs 的研究人員揭露，並由 GuidePoint Security、CrowdStrike、SySS GmbH、RedTeam Pentesting、Google Project Zero 等多方共同驗證。

修補時限與安全建議

根據 CISA《作業指令 BOD 22-01：降低已知被利用漏洞的重大風險》，
聯邦民政行政機構 (FCEB) 必須於 2025 年 11 月 10 日前 完成修補，以防範這些漏洞遭持續性威脅行為者利用。

CISA 同時建議 民間企業與金融機構 應參照 KEV 目錄，立即審視自身環境中的受影響系統，並儘速部署修補程式，以防範後續針對 Oracle、Windows、Kentico 或 Apple 產品的針對性攻擊。

專家觀點

此次 KEV 更新顯示出兩項趨勢：企業級應用平台（如 Oracle EBS）正逐漸成為攻擊焦點。 攻擊者偏好能提供大規模數據接取權限的業務核心系統，藉此進行資料竊取或供後續勒索行動使用。 跨供應鏈漏洞利用趨勢升溫。 攻擊者往往透過 CMS、Windows SMB 或 Web 組件等跨平台弱點滲透，再橫向移動至高權限環境。

從資安防禦角度而言，除及時修補外，建議組織採取以下措施：

• 部署 SSRF 防護與 WAF 規則更新；
• 強化 SMB 簽章與 Kerberos 驗證政策；
• 審查 CMS 及第三方外掛 權限設定；
• 建立 威脅情報（Threat Intelligence）監控機制，及追蹤 KEV 新增項目。

全球知名美國資安公司 F5 Networks 於本週三（10 月 15 日）正式披露，一起重大入侵事件導致 BIG-IP 產品的部分原始碼與尚未公開的漏洞資訊外洩。F5 指出，這起攻擊由「高度成熟的國家級駭客組織」所策劃，該組織長期、隱密地滲透其內部網路系統。

F5 在提交給美國證券交易委員會（SEC）的 8-K 文件 中表示，公司於 2025 年 8 月 9 日發現此事件，並依美國司法部（DoJ）要求延後公開，以配合執法單位調查。

「我們已採取全面行動以控制威脅，並在封鎖行動後未再觀察到新的未授權活動，初步認為威脅已被成功遏止。」——F5 官方聲明

■ 入侵範圍與影響

F5 並未透露駭客取得存取權限的時間長度，但強調目前沒有跡象顯示相關漏洞已被利用於實際攻擊。公司也確認，CRM、財務系統、支援案例管理平台與 iHealth 系統未受影響。

然而，部分自知識管理平台遭外洩的檔案中，可能包含少數客戶的組態或實作資訊。F5 表示將在完成審查後，主動通知受影響客戶。

為降低風險，F5 已委託 Google Mandiant 與 CrowdStrike 協助進行事件調查與威脅狩獵，同時：

• 更換所有憑證、簽章金鑰與帳密；
• 強化開發環境與內部網路存取控制；
• 部署更高層級的威脅監控工具；
• 重新設計產品研發環境的安全防護機制。

F5 呼籲所有使用者立即更新 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 與 APM 客戶端 至最新版本，以確保防護完整。

■ 美國政府緊急應對：CISA 發佈指令

隨著事件曝光，美國 網路安全暨基礎設施安全局（CISA） 立即發布 緊急指令 ED 26-01，要求聯邦文職行政機關：

1. 清查所有 F5 BIG-IP 產品；
2. 確認管理介面是否暴露於公網；
3. 於 2025 年 10 月 22 日前 安裝 F5 最新修補程式。

CISA 指出，國家級駭客已竊取 BIG-IP 的專有原始碼與漏洞細節，可能取得足以開發針對性漏洞利用程式的技術優勢，對聯邦機構構成「迫切威脅」。

該機構警告，此入侵可能讓攻擊者進行靜態與動態程式分析，進而找出尚未公開的邏輯缺陷與零時差（Zero-Day）漏洞。CISA 也要求所有單位加強公開服務設備的防護、隔離已終止支援的設備，並修補 BIG-IP Cookie 洩漏漏洞。各機構須於 10 月 29 日晚間 11:59（美東時間） 前回報完整清查與應變結果。

■ 駭客背景：疑似中國關聯團體 UNC5221 操控

根據 Bloomberg 的報導，攻擊者在 F5 內部網路中潛伏至少 12 個月，並使用名為 BRICKSTORM 的惡意程式家族進行滲透。該惡意程式被歸因於一個具中國背景的間諜組織 UNC5221。

Mandiant 與 Google 威脅情報團隊（GTIG）早於 9 月指出，UNC5221 及相關團體近期針對美國法律服務業、SaaS、BPO 與科技公司發動入侵行動，以植入 BRICKSTORM 後門程式。

■ 專家觀點：未公開漏洞被竊將加速攻擊開發

根據 TheHackerNews 的報導，Palo Alto Networks Unit 42 威脅情報主管 Michael Sikorski 指出，駭客若僅竊取原始碼，通常需要時間分析可被利用的弱點；但在本案中，攻擊者同時取得了 尚未修補的漏洞資訊，風險顯著升高。

他補充：「這將使攻擊者得以在公開修補前，快速開發漏洞利用工具。F5 本季公布的漏洞數量高達 45 件，相較上季僅 6 件，顯示公司正全力封補被竊取的弱點，以搶在駭客利用前完成修復。」

■ 專家結語：供應鏈資安風險再度升溫

F5 事件再次凸顯 軟體供應鏈安全的脆弱性。對企業而言，防禦不僅止於端點或網路邊界，更需關注第三方供應商的開發與維運環境。
建議企業：

• 立即更新所有 F5 相關產品；
• 審視內部與外部連線的權限控管；
• 建立供應鏈風險監測機制與零信任架構；
• 主動導入威脅情報與行為分析監控，偵測潛在的長期滲透活動。

F5 的資安事件是全球企業應警惕的一記警鐘——當攻擊者將焦點轉向核心基礎架構供應商，任何環節的鬆懈，都可能成為整個網路防禦體系的破口。