標籤: News

【重大漏洞通報】HPE StoreOnce 遭揭八項新漏洞,CVE-2025-37093 為最高危級別,建議立即升級修補

Posted on by blogadmin

惠普企業(Hewlett Packard Enterprise, HPE)近日發佈資安公告,揭露其備份與重複資料刪除平台 StoreOnce 存在 八項新資安漏洞,其中最具威脅的是被編號為 CVE-2025-37093 的身份驗證繞過漏洞,CVSS 評分高達 9.8 分(Critical,屬於極高風險級別。

CVE-2025-37093:攻擊門檻極低,具備完全繞過身份驗證的能力

該漏洞影響所有 StoreOnce Virtual Storage Appliance(VSA)4.3.11 以前的版本,允許遠端、未授權的攻擊者繞過身份驗證機制,直接存取備份系統與管理介面,等同於讓攻擊者取得內部資料與備份核心的主控權。漏洞是在 2024 年 10 月 31 日由匿名研究員通報,並由趨勢科技的 Zero Day Initiative(ZDI)協助揭露與驗證,ZDI 編號為 ZDI-CAN-24985

根據 CVSS v3.1 的向量(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),該漏洞具備:

  • 網路層級可利用(AV:N
  • 低攻擊複雜度(AC:L
  • 無需權限或使用者互動(PR:N, UI:N
  • 機密性、完整性與可用性全面高影響(C:H/I:H/A:H

換言之,攻擊門檻極低,後果卻極為嚴重。

涉及的其餘七項漏洞一覽

除了 CVE-2025-37093 外,本次資安公告(編號 HPESBST04847 Rev.1)還揭露以下漏洞,影響涵蓋遠端程式碼執行、目錄穿越、資訊洩露與伺服器端請求偽造等:

這些漏洞雖然評分略低於 CVE-2025-37093,但仍然具備中高等風險,特別是在系統無權限控管或網路缺乏隔離的環境中,更可能被鏈結利用以進行後續滲透與橫向移動。

受影響範圍與應對建議

  • 受影響版本:所有 HPE StoreOnce VSA 4.3.11 以前版本
  • 修補方案:HPE 已釋出版本 4.3.11,修復所有八項漏洞,建議立即升級
  • 更新來源:HPE 支援中心(HPE Support Center)

此外,建議企業在套用此類第三方更新時,務必遵循既有的 漏洞修補與變更管理流程,避免操作失誤導致備份中斷或資料遺失。

資安專家觀點:備份系統已成為攻擊目標新熱點

在近年攻擊趨勢中,我們觀察到越來越多攻擊者鎖定企業的備份與恢復基礎設施,不僅為了竊取機敏資訊,更意圖破壞企業在遭遇勒索軟體時的災難復原能力。

StoreOnce 作為高度普及的備份平台,若部署環境未及時修補,極可能成為內部網路攻擊的第一跳板。

此漏洞通報提醒我們:備份系統不再是「被動」資產,反而是需要積極保護的「關鍵防線」之一。

專家建議摘要

  • 儘速盤點內部 StoreOnce VSA 使用狀況,確認版本與修補進度
  • 對外開放的管理介面應部署多層防護(如 VPN、MFA、IP 白名單)
  • 加強對備份系統的異常行為監控(如異常登入、未授權操作)
  • 將備份設備納入常規漏洞掃描與滲透測試範圍
  • 建立事前、事中、事後的備份安全策略與演練機制

【資安快訊】殭屍網路潛伏 ASUS 路由器,逾 9,000 台設備遭部署 SSH 後門!

Posted on by blogadmin

2025 年 3 月中GreyNoise 資安研究團隊率先偵測到一場針對 ASUS 路由器的大規模入侵行動,並將其命名為「AyySSHush」——這是一場高度隱匿、持續性強的後門植入行動,至今已確認影響超過 9,000 台 ASUS 路由器,且受害數量仍在持續上升。

此行動的特徵與高階持續性攻擊(APT)手法相符,儘管尚無明確歸屬,但 GreyNoise 指出攻擊手法成熟,疑似具備國家級背景。

攻擊概況

AyySSHush 鎖定多款 ASUS 路由器,包括 RT-AC3100、RT-AC3200 與 RT-AX55 等,手法涵蓋:

  • 暴力破解登入憑證
  • 利用尚未取得 CVE 編號的認證繞過手法
  • 濫用已知漏洞 CVE-2023-39780(指令注入) 植入後門

攻擊者透過這些手法成功繞過驗證機制,並啟用路由器上的 SSH 服務,將自訂的公開金鑰寫入設備中,使其得以遠端存取。更關鍵的是,他們利用 ASUS 原生設定功能,使後門設定存放於 非揮發性記憶體(NVRAM,即使韌體升級或設備重開機仍可持續控制。

行動手法與隱匿技術

此攻擊具備以下幾項顯著特徵:

  • 不植入任何惡意程式,透過系統合法功能達成後門控制
  • 關閉路由器日誌功能與 趨勢科技的AiProtection 安全防護
  • 使用非標準 SSH 連接埠 TCP/53282
  • 幾乎不留下明顯痕跡,三個月內僅觀察到 30 次異常請求
針對華碩路由器的惡意請求 PhotoCredit:GreyNoise

完整入侵鏈分析

  1. 初始存取
    • 暴力破解密碼
    • 兩種未列 CVE 的認證繞過手法
  2. 指令執行
    • 利用 CVE-2023-39780 注入指令
  3. 持久化
    • 啟用 SSH 並插入攻擊者的公開金鑰
    • 設定寫入 NVRAM,重開機與升級後仍保留
  4. 隱匿行為
    • 關閉日誌、AiProtection
    • 不部署惡意程式

影響範圍與擴散情況

根據 Censys 掃描結果,截至 2025 年 5 月 27 日,已有 近 9,000 ASUS 路由器確認遭植入後門。雖然請求量極少(僅 30 筆),但實際感染設備眾多,顯示攻擊者以極高的隱蔽性建立一個潛伏中的殭屍網路。

值得注意的是,法國資安公司 Sekoia 也將此行動與他們所追蹤的「ViciousTrap」行動相互關聯,後者同樣針對 ASUS、Cisco、D-Link、Linksys 等 SOHO 路由器,並利用 CVE-2021-32030 發動攻擊,最終目的可能是轉發流量或架設跳板節點(Relay Node)。

目前尚無跡象顯示這波攻擊已被用於 DDoS 或代理惡意流量,但其部署方式明顯是為未來的大規模行動作準備。

已知攻擊指標(IoCs

  • 可疑 SSH 埠號: TCP/53282
  • 公開 SSH 金鑰:

“pubKeyHuntResults”: [

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZJ8L5mzhhaxfGzpHR8Geay/xDlVDSJ8MJwA4RJ7o21KVfRXqFblQH4L6fWIYd1ClQbZ6Kk1uA1r7qx1qEQ2PqdVMhnNdHACvCVz/MPHTVebtkKhEl98MZiMOvUNPtAC9ppzOSi7xz3cSV0n1pG/dj+37pzuZUpm4oGJ3XQR2tUPz5MddupjJq9/gmKH6SJjTrHKSECe5yEDs6c3v6uN4dnFNYA5MPZ52FGbkhzQ5fy4dPNf0peszR28XGkZk9ctORNCGXZZ4bEkGHYut5uvwVK1KZOYJRmmj63drEgdIioFv/x6IcCcKgi2w== rsa 2048  ]

攻擊來源 IP(應封鎖):

  • 101.99.91.151
  • 101.99.94.173
  • 79.141.163.179
  • 111.90.146.237

防護建議

  1. 立即升級韌體:ASUS 已針對 CVE-2023-39780 推出修補程式,但需留意:若設備先前已遭攻擊,韌體升級無法移除後門!
  2. 檢查 SSH 設定
    • 確認是否啟用了非預設 SSH 埠(TCP/53282)
    • 檢視 /home/root/.ssh/authorized_keys 是否存在未知金鑰
  3. 封鎖已知惡意 IP
  4. 若懷疑遭入侵,建議執行完整 「回復原廠設定(Factory Reset)」,並重新手動設定密碼及安全性配置。

若您使用 ASUS 路由器做為主要網路出入口設備(尤其為企業/分公司/遠端工作場景),建議立即執行檢查。此類高度隱匿的長期滲透攻擊,正逐步成為下一波 APT 行動的基礎建設。

【資安觀點】DragonForce 勒索軟體濫用 SimpleHelp,發動針對 MSP 的供應鏈攻擊

Posted on by blogadmin
Photo Credit: Sophos

2025 年初,勒索軟體集團 DragonForce 發動一起具有高度戰略性的攻擊行動,成功入侵一家受託管理服務供應商(MSP),並濫用其遠端管理工具 SimpleHelp,針對多家下游客戶展開雙重勒索攻擊。這起事件不僅再度暴露 MSP 在供應鏈安全中的高風險地位,也凸顯遠端監控與管理平台成為攻擊者的熱門武器。

01|攻擊概覽:從 MSP 入手、層層滲透

根據 Sophos 的資安調查報告,DragonForce 疑似利用 SimpleHelp 未修補的三個漏洞(CVE-2024-57727、57728、57726)作為攻擊入口。攻擊者在取得 MSP 系統控制權後,直接操作 SimpleHelp 進行下列行動:

  • 偵察與側錄: 針對 MSP 客戶系統進行橫向偵察,蒐集裝置資訊、用戶帳號、系統組態與網路連線資料。
  • 資料竊取與部署加密器: 將勒索軟體推送至多個客戶環境,有部分成功加密與資料外洩。
  • 雙重勒索策略: 除了加密資料,更威脅公開外洩資料以提高贖金壓力。

02|SimpleHelp:MSP 的利器,也可能是攻擊者的捷徑

SimpleHelp 是許多 MSP 廣泛部署的遠端支援工具,用來存取、維運與部署軟體。正因其高度系統權限與跨客戶的控管能力,一旦遭到濫用,便成為攻擊者可以“一次入侵,多點打擊”的絕佳利器。

值得注意的是,DragonForce 並非首例濫用 MSP 工具的勒索集團。過去,REvil 曾利用 Kaseya 發動大規模供應鏈攻擊,影響逾千家企業;而 ConnectWise ScreenConnect 亦屢次成為攻擊渠道。

03|攻擊者輪廓:DragonForce 正在擴張其「勒索聯盟」

DragonForce 此前已在英國知名零售商 Marks & SpencerCo-op 的攻擊中現身,成功竊取大量顧客資料,並部署勒索程式。根據 BleepingComputer 的觀察,該集團正推動一種 白標式勒索軟體即服務(White-label RaaS)模式,允許 affiliate 使用自訂品牌部署 DragonForce 的加密工具,試圖建立類似「勒索聯盟」的網路勢力。

這種 affiliate-friendly 模型降低了技術門檻,讓更多駭客團體能輕易使用強大的勒索工具,加速勒索產業的「商品化」。

04|專家觀點:MSP 是新戰場的核心破口

MSP 因具備橫跨多家企業的系統存取權限,正逐漸成為勒索集團的主要攻擊目標。資安團隊若忽視 MSP 工具的風險評估與存取控管,將讓供應鏈變成最薄弱的一環。

建議重點如下:

  • 立即盤點與修補: 確認是否仍使用受影響版本的 SimpleHelp 並盡快更新至最新版本。
  • 強化帳號保護: 為 MSP 工具啟用多因素驗證(MFA)、限制系統權限,並落實最小授權原則。
  • 監控異常活動: 部署端點與網路層級的偵測機制,持續監控 RMM 工具的異常使用行為。
  • 與 MSP 合作建立資安SLA 要求 MSP 提供漏洞修補時間表與異常存取通報機制。

結語|面對供應鏈威脅,防禦不能只守城門

本次 DragonForce 濫用 SimpleHelp 的案例,再次提醒我們:「敵人早已不再從正面突破,而是從你信任的供應商後門潛入。」

無論您是企業、MSP 或資安廠商,都應將供應鏈風險納入核心資安治理範疇。透過持續風險監控、漏洞修補與零信任架構的實踐,才能真正提升整體抵禦勒索攻擊的能力。

【資安觀點】FBI 查封 LummaC2 惡意軟體主控網域:全球竊資行動遭重創

Posted on by blogadmin
美國司法部的查封公告

美國司法部(DOJ)日前正式宣布,透過兩張獲得法院核准的搜查令,成功查封五個與知名竊資惡意軟體 LummaC2 有關的網域,此行動由 FBI 聯同微軟、及多個政府機構與民間單位協力完成。

這起跨國打擊行動對全球資訊竊取活動造成重大衝擊,也再次凸顯「惡意軟體即服務(Malware-as-a-Service, MaaS)」模式所帶來的資安風險正持續升高。

LummaC2 是什麼?為何它備受關注?

LummaC2 是一種資訊竊取型惡意軟體(Infostealer),近年來於地下網路世界中聲名大噪,成為黑市中最受歡迎的竊資工具之一。此類惡意軟體可在感染裝置後竊取以下資訊:

  • 瀏覽器自動填寫資料與歷史紀錄
  • 電子郵件與網銀帳號密碼
  • 加密貨幣錢包助記詞(seed phrases)
  • 各類個人敏感資料與認證憑證

這些被竊資訊,最終可能被用於盜領銀行帳戶、身份冒用、或發動進一步針對企業或個人的攻擊,例如 BEC 詐騙或資料勒索。

背後運作模式揭密

根據法院文件揭露,LummaC2 的操作者經營多組網域,這些網域主要作為用戶後台(user panels)使用,提供已購買或租用服務的駭客夥伴部署惡意軟體、遙控感染裝置、並回傳所竊資料。

FBI 調查發現,全球至少有 170 萬個裝置遭 LummaC2 感染並資料外洩,可見其規模之龐大與滲透範圍之廣。

FBI 行動時間軸總覽

  • 2025 年 5 月 19 日:美國政府查封與 LummaC2 相關的兩個主要網域。
  • 2025 年 5 月 20 日:LummaC2 管理員緊急發布三個替代網域,供用戶恢復操作。
  • 2025 年 5 月 21 日:FBI 立即回應,再次查封上述三個新網域,徹底中斷服務。

目前這些網域已無法訪問,僅顯示 DOJ 與 FBI 的查封公告,意味著該服務暫時無法對外營運。

官方聲明重申威脅嚴峻

  • DOJ 國安局長 Sue J. Bai 表示:「這次行動彰顯公私協力在網路威脅應對中的關鍵角色。」
  • 刑事調查部門主管 Matthew R. Galeotti 指出:「LummaC2 竊取數百萬人個資,助長銀行詐騙與虛擬貨幣盜竊。」
  • FBI 資安部門助理局長 Bryan Vorndran 強調:「這是目前地下市場中最廣泛使用的 infostealer 之一。」

除了查封行動,微軟也同步提起民事訴訟,額外關閉 2,300 個可能與 LummaC2 有關的網域,此舉反映科技業對抗資安威脅的決心與責任。

資安專家觀點:這場戰役只是開端

雖然這次成功癱瘓 LummaC2 的核心基礎設施,但我們作為資安專業人員必須正視一個現實:惡意軟體供應鏈具有高度替代性與彈性。只要需求仍存在,其他類似的 infostealer 工具勢必會繼續出現,甚至升級演化以規避偵測。

建議企業與個人應採取的防禦措施:

  1. 導入端點偵測與回應系統(EDR/XDR):強化對 infostealer 行為的即時攔截能力。
  2. 限制使用者權限:防止惡意軟體於感染後快速橫向移動。
  3. 加密憑證與資料儲存機制:避免明文存放登入資訊。
  4. 定期審查瀏覽器與密碼管理器中的自動填寫內容
  5. 教育員工警覺釣魚郵件與社交工程攻擊

結語:資訊戰不斷演進,防守思維不能停滯

LummaC2 案再次提醒我們:資安並非單一事件的應對,而是一場持續進行的長期戰爭。只有結合技術、流程與意識教育,並積極參與公私協作網絡,才能有效降低風險,保護我們的數位資產與未來。

【資安通報】新型勒索軟體 Bert 現身:結合進階規避技術與雙重勒索戰術,企業須嚴陣以待

Posted on by blogadmin

首次發現時間:2025年4月初
威脅等級:高
攻擊手法:雙重勒索(加密檔案 + 資料外洩威脅)
主要傳播管道:釣魚郵件、偽冒軟體更新、漏洞利用等

威脅概觀

Bert 勒索軟體是 2025 年出現的新型勒索軟體家族,具備典型的「雙重勒索」特性:不只對受害者的檔案進行加密,此外,Bert 擁有資料外洩網站(Data Leak Site),若企業拒絕支付贖金,攻擊者將在此平台曝光竊取的敏感內容,造成更嚴重的商譽損害與合規風險。

被加密的檔案會加上副檔名:.encryptedbybert,並產生一份名為 .note.txt 的勒索說明文件,要求受害者透過 Session 通訊應用程式聯繫攻擊者,這也顯示攻擊者重視匿名性與規避執法機構追蹤的能力。

已知受害對象

  • SIMCO Electronics(美國)
  • Yozgat City Hospital(土耳其)
  • National Ticket Company(美國)
  • 台灣某半導體供應鏈廠商

目前觀察顯示,Bert 並未鎖定特定產業,攻擊對象涵蓋醫療、製造、服務等多個垂直領域,顯示其行動以經濟利益為主導。

攻擊技術與行為特徵

  • 檔案加密副檔名:.encryptedbybert
  • 勒索訊息檔名:.note.txt
  • 通訊方式:Session App(匿名即時通訊工具)
  • 加密同時竊取機敏資料進行勒索
  • 傳播方式包括:
    • 含有惡意巨集的 Office 文件(釣魚郵件)
    • 偽裝成更新程式或破解工具的惡意執行檔
    • 網頁掛馬與漏洞利用
    • 外接裝置如 USB 傳染

MITRE ATT&CK 戰術與技術對應

根據對 Bert 勒索軟體樣本的靜態與動態行為分析,其攻擊鏈可明確對應至多項 MITRE ATT&CK 技術,涵蓋從初始執行到資料加密的各階段。以下為相關技術對應摘要:

高級規避與持久化技術

Bert 除了具備典型勒索軟體功能,更整合虛擬化與沙箱環境偵測機制(T1497),可有效繞過自動化分析與監控系統。其進一步透過修改 Windows 的 Image File Execution Options(IFEO)登錄機碼,實現程序攔截與靜默執行,從而增強持久性與隱蔽性。這類技術顯示 Bert 擁有高度模組化與針對分析環境調適的能力。

初步攻擊指標(Indicators of Compromise, IOC

檔案資訊:

  • 加密副檔名:.encryptedbybert
  • 勒索說明檔名:.note.txt

疑似通訊 ID(Session App 範例):

  • 05be2653fc28a7b9ee95c8cda412bf2c749fa2bd9e7f650bbaaf116e0ac315d5

可疑檔案路徑:

  • C:\Users\[username]\AppData\Roaming\Bert\payload.exe
  • C:\ProgramData\BertLauncher\launch.bat

可疑下載 URL(應列入封鎖名單):

  • hxxp://malicious-domain[.]com/updates/officepatch.exe
  • hxxps://fileshare[.]xyz/crack/BertLoader.exe

相關 SHA-256 檔案雜湊:

  • ad4ef2d5c7a3cfdfebcfaf726c8de12349b30b5e72438dc7f3a8eb95e2b10f13

防禦建議

  1. 強化備份策略
    定期備份關鍵資料,並儲存於 離線或不可變更(Immutable)儲存設備,防止勒索軟體加密備份檔案。
  2. 端點偵測與回應(EDR)
    部署具行為分析與威脅獵捕功能的 EDR 工具,監控可疑檔案執行、權限異常提升、系統 API 操作等行為。
  3. 員工資安訓練
    針對釣魚郵件、社交工程、非法軟體安裝等進行教育訓練。可結合 模擬攻擊演練(Phishing Simulation) 增加實戰應對經驗。
  4. 監控異常 Session 通訊與加密行為
    設置 SIEM/IDS 規則偵測使用 Session 通訊 App 的流量(如 port 4280),以及大量檔案加密、重命名等行為。
  5. 引入誘捕防禦技術(Deception Technology)
    在企業內部部署誘餌帳號(decoy accounts)、虛假資料夾、仿真伺服器等誘捕資產,一旦遭到存取,立即觸發告警。
    • 有效偵測橫向移動與勒索軟體活動
    • 適合與 SIEM、EDR 結合使用
    • 可作為早期偵測機制,比傳統病毒碼更快發現新變種行為

專家觀點總結

Bert 勒索軟體反映出現代勒索攻擊者的策略日益成熟,除了透過加密造成業務中斷,更強調資訊外洩帶來的威脅與談判籌碼。面對這類新型威脅,企業應建立「資安韌性框架」,從預防、防禦、監控到應變流程全面強化。

【資安警示】BianLian 與 RansomExx 利用 SAP NetWeaver 漏洞部署 PipeMagic 木馬程式

Posted on by blogadmin
Photo Credit: SAP

近期,兩個知名的勒索軟體集團——BianLianRansomExx,被發現正在濫用 SAP NetWeaver 平台的一項重大漏洞(CVE-2025-31324),並藉此部署新型木馬程式 PipeMagic。這項發現再次證明了高價值企業應用系統(如 SAP)對進階持續性威脅(APT)組織具有高度吸引力,並且正被多方惡意勢力同時針對。

漏洞概況:CVE-2025-31324 與 PipeMagic 的關聯

根據資安公司 ReliaQuest 5月14日發布了研究報告的更新,他們發現了來自 BianLian 勒索集團RansomExx 勒索家族(微軟稱其為 Storm-2460 的攻擊證據。研究團隊追蹤到與過往 BianLian 架構有關聯的 IP 位址,進一步證實該組織參與了至少一起事件。

報告指出,一台 IP 為 184[.]174[.]96[.]74 的伺服器正在運行由 rs64.exe 啟動的反向代理服務,該伺服器所使用的 SSL 憑證與埠號與先前 BianLian 的 C2 基礎設施相同,另一個 IP 184[.]174[.]96[.]70 也被確認由同一託管服務商管理,強化了 BianLian 涉案的可信度。

PipeMagic 木馬及零時差漏洞的攻擊鏈

值得警惕的是,ReliaQuest 發現此波攻擊不僅針對 SAP,還搭配部署了一個名為 PipeMagic 的模組化木馬程式。該木馬近期曾被用於攻擊 Windows CLFS 系統的一項權限提升漏洞(CVE-2025-29824),並已影響到美國、委內瑞拉、西班牙與沙烏地阿拉伯等國的機構。

駭客在利用 SAP NetWeaver 漏洞成功植入 web shell 後,透過這些後門傳送 PipeMagic。雖然首次嘗試部署未遂,但後續攻擊則透過 MSBuild 的 inline 任務執行功能 部署 Brute Ratel C2 管理框架,並伴隨觸發 dllhost.exe 的異常行為,明確顯示了攻擊者正在重複利用 CVE-2025-29824 的 CLFS 漏洞進行滲透。

中國駭客組織亦介入漏洞利用

就在 ReliaQuest 公布調查結果前一天,EclecticIQ指出,數個中國背景的 APT 組織,包括 UNC5221、UNC5174 與 CL-STA-0048,皆已針對 CVE-2025-31324 展開大規模攻擊行動,散播各式惡意程式載荷。

此外,資安業者Onapsis 證實,自 2025 年 3 月起,攻擊者已同時利用 CVE-2025-31324 及一個與其相關的物件反序列化漏洞(CVE-2025-42999)進行入侵行動。幸好,SAP 最新發布的修補程式已修正這兩項漏洞的根本原因。

專家建議:務必盡速更新修補,防止持續滲透

ReliaQuest 表示:「雖然 CVE-2025-42999 在技術上需要較高權限才能利用,但 CVE-2025-31324 卻能讓攻擊者在無驗證的狀態下獲得完整系統控制權,兩者幾乎沒有實質差異,防禦措施應相同處理。」

針對此波威脅,我們建議:

  • 立即檢查並更新 SAP NetWeaver 系統至最新版本
  • 監控是否有異常的 MSBuild 執行行為或 DLL 裝載情況
  • 加強對反向代理與 C2 通訊的偵測規則
  • 封鎖已知涉案 IP、憑證與特徵碼

結語

此次事件顯示,即使是高度專業、企業等級的應用平台如 SAP,也難以避免成為攻擊目標。尤其當多個攻擊組織同時盯上同一漏洞時,更顯示出該漏洞的高風險性質。企業與政府單位務必強化補丁管理流程,提升威脅獵捕與端點偵測反應(EDR)能力,避免成為下一個 PipeMagic 的受害者。

Fortinet 修補 CVE-2025-32756 零時差 RCE 漏洞,FortiVoice 系統已遭攻擊,其他多項產品亦受波及

Posted on by blogadmin
Photo Credit: Fortinet

Fortinet 近日發布資安通告,修補一項遭到零時差攻擊利用的重大遠端程式碼執行(Remote Code Execution, RCE)漏洞,該漏洞編號為 CVE-2025-32756,影響範圍涵蓋 FortiVoice、FortiMail、FortiNDR、FortiRecorder 及 FortiCamera 等多項產品,CVSS 風險評分高達 9.6(極高)

漏洞技術細節與攻擊行為分析

CVE-2025-32756 為一個 堆疊溢位漏洞(CWE-121),攻擊者可透過特製的 HTTP 請求,在無需身份驗證的情況下,遠端執行任意程式碼或系統命令,取得設備控制權限。

Fortinet 表示,此漏洞是由內部產品安全團隊在分析實際攻擊行為時發現。攻擊者入侵後會:

  • 發動內部網路掃描
  • 刪除系統崩潰紀錄(crash logs)以掩蓋入侵痕跡
  • 啟用非預設的 fcgi debugging 功能,用以記錄系統或 SSH 登入嘗試時的帳號密碼
  • 部署惡意軟體、設定 cron job 蒐集認證資訊
  • 投放指令碼掃描整體網路結構與其他潛在攻擊目標

其中 fcgi debugging 為一項異常指標(Indicator of Compromise, IOC),若在系統上啟用,執行以下指令可進行檢查:

nginx

diag debug application fcgi

若回傳包含「general to-file ENABLED」,即表示該功能已被啟用,系統可能已遭入侵。

已知攻擊來源 IP(建議封鎖)

  • 198.105.127[.]124
  • 43.228.217[.]173
  • 43.228.217[.]82
  • 156.236.76[.]90
  • 218.187.69[.]244
  • 218.187.69[.]59

受影響產品與修補建議版本如下:

FortiVoice

  • 6.4.x → 升級至 6.4.11 或以上
  • 7.0.x → 升級至 7.0.7 或以上
  • 7.2.x → 升級至 7.2.1 或以上

FortiMail

  • 7.0.x → 升級至 7.0.9 或以上
  • 7.2.x → 升級至 7.2.8 或以上
  • 7.4.x → 升級至 7.4.5 或以上
  • 7.6.x → 升級至 7.6.3 或以上

FortiNDR

  • 1.1–1.5, 7.1 → 建議升級至最新修補版本
  • 7.0.x → 升級至 7.0.7 或以上
  • 7.2.x → 升級至 7.2.5 或以上
  • 7.4.x → 升級至 7.4.8 或以上
  • 7.6.x → 升級至 7.6.1 或以上

FortiRecorder

  • 6.4.x → 升級至 6.4.6 或以上
  • 7.0.x → 升級至 7.0.6 或以上
  • 7.2.x → 升級至 7.2.4 或以上

FortiCamera

  • 1.1, 2.0 → 建議遷移至已修補版本
  • 2.1.x → 升級至 2.1.4 或以上

緊急緩解措施(若暫時無法修補)

對於無法即時更新修補的設備,Fortinet 建議暫時 關閉 HTTP/HTTPS 管理介面,以降低攻擊面。

關聯背景資訊

在此事件發生之前,Fortinet 曾於上月被 Shadowserver Foundation 發現,已有 超過 16,000 台暴露於網際網路的 Fortinet 設備 遭到入侵,且設置了一種新型的 symlink 後門,雖已修補但仍允許威脅者存取敏感檔案。

此外,Fortinet 亦在今年 4 月初通報另一個與 FortiSwitch 相關的重大漏洞,顯示威脅者正持續鎖定 Fortinet 各類產品作為入侵企業網路的跳板。

資安專家建議行動項目:

  1. 立即修補漏洞:優先升級受影響產品至安全版本。
  2. 封鎖惡意 IP:將上述攻擊來源納入防火牆黑名單。
  3. 檢查入侵跡象:確認是否啟用了 fcgi debugging,並檢視系統帳號登入紀錄與可疑排程任務。
  4. 強化防護策略:落實多因素驗證(MFA)、限制管理介面存取來源 IP、強化日誌監控與異常行為偵測。
  5. 進行網路流量分析:觀察是否有與已知惡意 IP 通聯的異常連線。

此事件再次警示企業應強化資安態勢感知與設備防護措施,尤其針對邊界設備與管理介面之防禦應更為嚴謹。建議企業導入持續威脅偵測(EDR/NDR)、漏洞管理平台(VMS)與資安事件應變流程,以提升整體防護韌性。

Interlock 勒索軟體攻擊事件曝露全球國防供應鏈的脆弱性

Posted on by blogadmin

資安業界持續警告,勒索軟體已不再只是金錢勒索的工具,而是被用作地緣政治博弈中的數位武器。近期 Interlock 勒索軟體針對某國防承包商的攻擊事件,再次揭示了這類攻擊對於國防產業供應鏈、機敏資料外洩與戰略安全風險的巨大衝擊。

根據資安公司Resecurity 的調查,這次事件中遭到入侵的系統揭露了多家全球國防產業領頭企業的供應鏈與作業資訊。這不僅對該受害公司造成影響,也可能對全球其他承包商與軍方單位產生連鎖性的風險擴散效應。

攻擊揭露的國際國防企業名單包括:

  • Hanwha(韓華)
  • German Aerospace(德國航太)
  • Leonardo(李奧納多)
  • PW Defence
  • Raytheon(雷神)
  • Simmel Difesa
  • SpaceX(太空探索技術公司)
  • SE Corporation
  • Thales(泰雷茲)
  • Talley Defense
  • QinetiQ(英國凱尼提克)

這些企業在全球防衛網絡中扮演關鍵角色,任一點被入侵,整體鏈條都有風險失守的可能。

勒索軟體背後的真正意圖:滲透、間諜與破壞

雖然表面上看來是為勒贖而來,但根據 Resecurity 的分析,有些勒索集團與國家支持的進階持續性威脅(APT)組織有直接或間接關聯。這些組織利用勒索軟體當作掩護行動的工具,進行以下目的:

  • 暗中蒐集軍工業情報與關鍵技術
  • 操控軍事供應鏈時程,延緩生產與部署
  • 作為戰略性破壞或心理戰手段
  • 利用資訊外洩影響外交或軍事決策

隨著全球地緣衝突升溫,類似手法可能會持續成為國家級敵對行動的一環。

攻擊的供應鏈效應:從單點滲透到全面擴散

在國防產業中,供應鏈環環相扣。當主要承包商的系統被入侵時,相關下游供應商、製造商、甚至政府單位也可能遭受次級攻擊。常見的風險包括:

  • 憑證竊取後的橫向滲透
  • 假冒信件造成的標靶式釣魚攻擊
  • 對老舊裝置與合作平台的漏洞利用
  • 未受保護的 API、FTP 或存取端口被掃描與滲透

這些風險在未實作資安縱深防禦(Defense in Depth)架構的環境中尤其明顯。

引入「欺敵技術」作為防禦新思維

在面對像 Interlock 這類高風險威脅時,傳統的被動防禦(如防火牆、AV、EDR)已顯不足。主動式防禦技術──尤其是「欺敵技術(Deception Technology」,正成為企業與國防單位的新防線。

欺敵技術的核心目的是: 在真實環境中佈建出一套虛假但可信的資產與資源,引誘攻擊者進入陷阱,以便及早偵測並回應攻擊行為。

欺敵技術常見的部署元件包括:

  • Decoys 誘餌主機:模擬伺服器、工作站、資料庫、印表機、網路裝置等資源
  • Lures 誘導資訊:如弱密碼帳號、預設設定、虛構的權限或 AD 元件
  • Breadcrumbs 麵包屑:部署在真實生產環境中的誘導資料,例如記憶體憑證、瀏覽器紀錄、資料夾捷徑、網路磁碟代號
  • Baits 勾餌內容:引誘點擊或存取的敏感文件、Beacon 檔案、虛構 DNS 紀錄、程式程序等

一旦攻擊者接觸這些資源,即可觸發偵測與封鎖機制,有效縮短「潛伏時間(dwell time)」,並提升攻擊溯源能力。

國防產業需全面提升資安等級

針對此次事件,資安專家提出以下因應建議:

  • 落實 CMMC(Cybersecurity Maturity Model Certification)驗證與追蹤
  • 強化網路區隔與關鍵系統隔離
  • 部署零信任架構(Zero Trust Architecture)與用戶行為監控
  • 建立欺敵防禦環境以即時發現潛藏攻擊者
  • 公私部門合作,建立共享的威脅情報平台
  • 規劃橫跨內部與供應鏈的危機應變機制

結語:國防產業的資安已是國安等級任務

Interlock 事件再次提醒我們,在數位戰爭時代,任何承包商、技術供應商甚至中小製造商,都是國家防禦的一環。資安不只是技術問題,更是組織風險、信任機制與國安防線的延伸。

唯有透過持續的監控、創新的防禦架構(如欺敵技術)、合規驗證與跨部門協作,我們才能真正守護國家級基礎關鍵資產。

【威脅分析】MirrorFace 再出手:針對日本與台灣的 APT 行動揭露升級版 ANEL 與 ROAMINGMOUSE 工具鏈

Posted on by blogadmin
Photo Credit: TrendMicro

2025 年 3 月,資安業者TrendMicro偵測到中國關聯的國家級駭客組織 MirrorFace(又名 Earth Kasha) 發動新一波網路間諜攻擊,明確鎖定日本與台灣的政府機關與公部門單位。此次攻擊採用一系列升級的惡意程式,包括新的ROAMINGMOUSE dropper與功能強化的ANEL 後門程式,顯示該組織具備持續研發與行動能力,且正在強化針對亞太地區的滲透行動。

攻擊關鍵概覽

  • 攻擊者組織:MirrorFace(Earth Kasha / 疑似 APT10 子集)
  • 主要目標:台灣與日本的政府機構、公營單位
  • 攻擊時間點:2025 年第一季
  • 核心工具
    • ROAMINGMOUSE(含 Base64 解碼與側載能力的 dropper)
    • ANEL(升級版後門,支援 BOF in-memory execution)
    • NOOPDOOR(隱蔽型次階段後門,支援 DNS over HTTPS)

攻擊流程解析

MirrorFace 延續一貫手法,自魚叉式釣魚攻擊(Spear Phishing)展開滲透行動。初始信件多來自被入侵的合法帳號,信中嵌入的 OneDrive 連結會下載 ZIP 檔案,內含惡意 Excel 文件,並觸發巨集執行載具程式 ROAMINGMOUSE

ROAMINGMOUSE 的行為特徵包括:

  1. 解碼內嵌的 ZIP 檔(Base64 格式)並釋出到本地磁碟。
  2. 拆出以下元件:
    • 合法執行檔(如 JSLNTOOL.exe)
    • 惡意 DLL:JSFC.dll(ANELLDR,負責側載執行)
    • 加密後的 ANEL payload
    • 合法 DLL 依賴檔(如 MSVCR100.dll)
  3. 利用 Windows 合法程式(explorer.exe)觸發側載程序,使惡意 DLL(ANELLDR)得以解密並啟動 ANEL 後門模組。

ANEL 功能強化概述

此次行動中使用的 ANEL 為升級版本,具備以下新功能:

  • 支援 BOF(Beacon Object File)記憶體內執行
    BOF 是可擴充 Cobalt Strike agent 功能的輕量 C 語言模組,此支援顯示 MirrorFace 正結合紅隊工具進行後滲透行動。
  • 資訊收集命令集擴充
    包含螢幕截圖、程序清單、網域與使用者資訊等,供攻擊者遠端分析與橫向移動判斷。

此外,趨勢科技觀察到 MirrorFace 在某些案例中搭配使用開源工具 SharpHide,部署新版本的 NOOPDOOR 後門(又稱 HiddenFace),其最大特點是採用 DNS over HTTPS(DoH) 技術進行 C2 溝通,以規避傳統 DNS 安控機制的偵測。

對台灣與日本的資安啟示

MirrorFace 此次針對台灣與日本的行動,再次印證該組織長期關注亞太區高價值機構,並具備持續武器升級與投放能力。

此類攻擊帶給資安防禦團隊的幾項重要啟示:

1. 情資導入為首要防線

企業與政府單位應優先整合各界 APT 威脅情資,透過 IOC 匹配提升偵測力,並加速威脅反應機制。

2. 端點行為監控為關鍵

導入具備行為分析、記憶體側載偵測能力的 EDR/XDR 解決方案,才能有效攔截類似 ROAMINGMOUSE 與 ANEL 的無檔案攻擊鏈。

3. 加強內部教育與滲透測試

高階駭客利用信任機制(如已知聯絡人信箱)發動釣魚攻擊,強化內部資安教育與定期模擬演練,已成為防線中不可或缺的一環。

結語:APT 威脅將常態化,資安策略需持續演進

MirrorFace 展示出的行動規劃與技術能力,已不再是「間歇性行動」,而是持續滲透與情報收集的長期部署。面對此類國家級駭客組織,傳統以「事件回應」為主的策略已難以應對,企業與政府單位應朝向「情資驅動防禦(Threat Intelligence-Driven Defense)」進行全面升級。

在未來的資安策略中,情資整合、攻防模擬、行為監控與跨部門協作將是核心要素。台灣作為地緣政治敏感地區之一,更應提前佈建防禦縱深,以因應下一波更具針對性的威脅行動。

【資安通報】Apache Parquet Java 漏洞(CVE-2025-46762)可被利用進行遠端程式碼執行攻擊

Posted on by blogadmin
Photo Credit: gbhackers.

近期發現 Apache Parquet Java 存在一項高風險安全漏洞(CVE-2025-46762),可被攻擊者利用來進行遠端程式碼執行(Remote Code Execution, RCE),影響層面廣泛。該漏洞由 Apache Parquet 開發貢獻者吳剛(Gang Wu)於 parquet-avro 模組中發現,並於 2025 年 5 月 2 日正式公開。

漏洞概述

此漏洞影響 Apache Parquet Java 1.15.1 及其以前的所有版本。攻擊者可將惡意程式碼嵌入 Parquet 檔案中的 Avro schema 中,當應用程式解析該檔案時,便可能觸發程式碼執行。該行為不需任何使用者互動,且一旦成功執行,將導致系統完全淪陷,具高度危險性。

技術分析:CVE-2025-46762

本次漏洞核心問題出在 parquet-avro 模組的結構(schema)解析流程不安全。具體而言,Avro schema 欄位可被植入惡意程式碼,而當 Java 系統載入該檔案時,若採用了 specific 或 reflect 資料模型(為預設常用設定),將可能自動執行這段程式碼,導致 RCE。

雖然使用 generic 資料模型的系統不受此漏洞影響,但值得注意的是,Java 預設信任的套件(如 java.util)仍可能成為攻擊入口,使漏洞有機可乘。

影響範圍

  • 所有 Apache Parquet Java 1.15.1 以下版本
  • 使用 parquet-avro 的 大數據平台,例如:
    • Apache Spark
    • Apache Hadoop
    • Apache Flink
  • 依賴 Avro schema 處理的 資料處理流程與 ETL 管線

任何從外部來源讀取 Parquet 檔案的系統若未進行版本修補,皆有可能在反序列化階段被植入惡意程式碼並觸發 RCE。

緩解建議(Mitigation)

為降低風險並阻止攻擊路徑,建議採取以下資安行動:

方案一:立即升級至 Apache Parquet Java 1.15.2

此版本已修復信任套件範圍管理不當問題,可有效阻止攻擊者透過 Avro schema 注入程式碼。

方案二:暫時修補(適用於尚無法升級者)

請將 JVM 啟動參數設為:

bash

複製編輯

-Dorg.apache.parquet.avro.SERIALIZABLE_PACKAGES=””

此設定將清空可被序列化執行的 Java 套件清單,防止惡意程式碼載入執行。

加強策略建議

  • 優先採用 generic Avro model:此模型不受漏洞影響,應列為資料處理預設選項。
  • 封鎖外部不明來源的 Parquet 檔案,並進行嚴格的驗證流程。
  • 實作 Schema 驗證與 Sandboxing,避免在生產環境直接執行未驗證的 Avro 結構。

資安風險與威脅評估

未修補的系統將暴露於以下風險:

  • 遠端程式碼執行(RCE:攻擊者可植入具後門能力的 Parquet 檔進行惡意操作。
  • 供應鏈攻擊:惡意檔案可能透過數據流程進入後端系統,引發連鎖性失控。
  • 資料外洩與存取權限提升:攻擊成功後,可能導致敏感資料暴露或被竊取。
  • 業務營運中斷:一旦後端伺服器遭控制,將可能導致資料處理中斷或毀損。

資安專家總結

CVE-2025-46762 是一起極具危害性的漏洞,特別是對於使用 Apache Parquet 處理大量資料的企業與金融單位而言。建議所有企業資訊團隊即刻審查是否使用受影響版本,並採取修補或風險控制措施,以確保資料處理流程的完整性與安全性。