近期資安研究揭露,一支與中國有關的駭客組織 Storm-1849(又稱 UAT4356)正大規模鎖定 Cisco Firewall 裝置,特別是全球政府、國防機構與大型企業網路環境中廣泛部署的 Cisco ASA(Adaptive Security Appliance)。
這類設備不只是防火牆,它同時承擔 VPN 存取控管、流量檢查、入侵防護 等多重安全角色,一旦遭到入侵,就等同讓攻擊者突破「安全閘口」,直接接觸到內部敏感系統。
威脅輪廓:從美國政府到全球組織
根據資安媒體 Hackread的報道 ,Palo Alto Networks Unit 42 公布,這波攻擊行動自 2025 年 10 月持續至今,目標遍及:
- 美國聯邦政府
- 美國州與地方政府機關
- 軍事及國防承包商
- 金融業
- 歐洲與亞太多國政府與企業
更有趣的是,研究人員觀察到攻擊行動在 10 月 1–8 日短暫停歇,恰好與中國的「國慶黃金週」假期一致,這也成為外界懷疑背後與中國相關的重要線索之一。
受攻擊國家包括:印度、日本、澳洲、英國、法國、挪威、荷蘭、西班牙、波蘭、阿聯、尼日、阿塞拜然、不丹……範圍相當廣泛。
結論很明確:這不是單一國家事件,而是全球攻擊行動。
邊界設備(Edge Devices)已成為主要戰場。
攻擊手法:串聯兩項已知漏洞,取得長期控制權
駭客利用了 Cisco ASA 中兩個已知弱點,並進行漏洞串聯攻擊:
兩者搭配後,攻擊者能:
- 取得系統層級控制權
- 植入持久化存取(即使重開機或更新也無法移除)
- 修改設定,引導流量或竊取加密內容
也就是說,即使你「更新了系統」或「重開機防火牆」,入侵仍可能不會消失。
官方已發布緊急要求,但攻擊仍在持續
美國網路安全與基礎架構安全局(CISA)已於上月發布 緊急通告,要求所有聯邦機構立即修補 Cisco ASA 裝置。
然而,Unit 42 的研究顯示,許多組織仍未完全修補或仍持續遭到入侵嘗試。
資安專家建議:修補只是起點,不是終點
1. 立即修補(Patch Now)
如果機構仍在使用 Cisco ASA:
- 確認版本是否已修補上述兩個 CVE
- 若未修補,請 優先處理
2. 假設已遭入侵(Assume Compromise)
即使已修補,也應進行:
- 完整設定重置(Factory Reset)
- 重新產生所有密鑰、金鑰、VPN 憑證
- 檢查是否存在不明使用者或 ACL 規則
3. 加強邊界設備防護策略
- 不要只把防火牆當成「門口保全」
- 應以 零信任(Zero Trust) 思維重新檢視邊界控管
- 包含 記錄審查、異常行為偵測、存取行為基線化監控
結語:邊界設備的戰場化,已成既定事實
傳統上,我們常以為攻擊者會直接「攻進內網」或「社交工程到權限帳號」。
但這次事件再次證明:
駭客不再從裡面打,而是直接攻擊看守入口的安全設備本身。
對政府、國防、金融等高價值組織而言,
邊界設備的安全,已經不是「網路設備管理」層級的問題,而是國家級資安策略問題。