2025/2/17-2025/2/21 資安一週大事

AMI、AWS

[2月17日] Amazon EC2 安全風險：研究人員發現 "whoAMI" 攻擊可導致代碼執行

一種名為「whoAMI」的攻擊方式，它利用了 亞馬遜雲端服務（AWS）中的 機器鏡像（AMI）命名漏洞，讓攻擊者不需要入侵企業的 AWS 帳戶，就能取得執行程式的權限。

攻擊方式

攻擊者會偽造一個與企業常用名稱相似的 AMI（機器鏡像），並利用程式碼中的設定漏洞（例如沒有指定 AMI 擁有者、使用了通配符、或開啟most_recent=true 參數）來誘導系統誤選惡意 AMI，讓攻擊者成功執行惡意程式。

攻擊影響

這種攻擊可能帶來嚴重的安全風險，影響包括：

1. 惡意程式執行：攻擊者可以透過被誘導啟動的 AMI 在受害者的 AWS 環境中執行惡意程式，例如安裝後門或竊取資料。

2. 系統完整性受損：攻擊者可以對企業的 AWS 環境進行惡意修改，例如篡改應用程式、植入木馬、進一步滲透內部系統等。

3. 雲端資源濫用：攻擊者可以利用這個機制，透過受害者的 AWS 帳戶執行

建議

要防止這類攻擊，建議採取以下安全措施：

1. 限制 AMI 來源（啟用 "Allowed AMIs" 功能）

• AWS 提供 Allowed AMIs 功能，可設定 只允許企業內部或指定可信來源的 AMI 被使用，避免不小心選到惡意 AMI。

2. 啟用 AWS IAM 限制權限

• 使用 AWS IAM（身份與存取管理） 設定權限，確保 只有授權的角色或用戶 能夠啟動 AMI，降低風險。

3. 監控與日誌分析（AWS CloudTrail + SIEM）

• 使用 AWS CloudTrail 監控 AMI 的變更與啟動記錄，搭配 SIEM 系統（如 Splunk、Datadog）即時偵測可疑的 AMI 變更或異常行為。

whoAMI 攻擊不需要入侵 AWS 帳戶，只要企業的系統誤選了惡意 AMI，攻擊者就能執行惡意程式，造成資料外洩、系統損害與財務損失。

透過限制 AMI 來源、明確指定 AMI 擁有者、監控與日誌分析等措施，可以有效降低這類攻擊的風險，保護雲端環境的安全。

資料來源：

https://www.bleepingcomputer.com/news/security/whoami-attacks-give-hackers-code-execution-on-amazon-ec2-instances/

網路設備、Cisco

[2月18日] Salt Typhoon黑客組織鎖定思科設備漏洞，攻擊全球電信業者

近期有名為 Salt Typhoon 的中國駭客組織，針對美國及全球電信業者發動大規模攻擊。攻擊主要針對 思科（Cisco）IOS XE 網路設備，駭客利用 CVE-2023-20198 和 CVE-2023-20273 這兩個漏洞來入侵系統。

這次攻擊的嚴重性在於，駭客不僅能入侵設備，還能長期滲透並維持存取權限，這對全球的電信和網路基礎設施造成重大威脅。

攻擊方式

Salt Typhoon 駭客組織透過以下方式達成攻擊目的：

1. 利用漏洞入侵設備

   • 駭客透過 CVE-2023-20198 獲取管理權限，控制受害設備。

   • 透過 CVE-2023-20273，駭客進一步對設備進行 未經授權的變更，例如修改設定、植入惡意指令碼。

2. 修改設備設定，建立 GRE 隧道

   • 駭客會 篡改路由器設定，開啟 GRE（Generic Routing Encapsulation）隧道，讓駭客能隱密地存取受害設備，並繞過防火牆或安全監控。

   • 這使得駭客可以長期潛伏在受害者的網路環境中，難以被發現。

3. 長期滲透與操控網路流量

   • 透過這些隱藏的網路通道，駭客可以攔截並監控通訊內容，例如企業機密資料或政府機構的內部訊息。

   • 甚至可以操控或竄改網路流量，影響企業或政府機構的關鍵業務運作。

4. 攻擊持續至少五年

   • 根據安全研究機構的報告，Salt Typhoon 已持續進行這類攻擊至少五年，影響遍及超過 100 個國家、1000 多台設備。

   • 這類攻擊可能與政治、軍事或經濟間諜行動有關，目標可能包括政府機構、電信業者、大型企業等。

建議

為了降低這類駭客攻擊的風險，企業和組織應採取以下防範措施：

1. 立即修補漏洞

   • 針對思科設備的 CVE-2023-20198 和 CVE-2023-20273 漏洞，應立即安裝官方修補程式（Patch），避免駭客利用已知弱點入侵系統。

   • 若尚未有更新，應採取臨時緩解措施，如關閉不必要的管理介面或限制存取權限。

2. 強化設備存取控制

   • 限制管理介面（如 HTTP、SSH、Telnet）的存取，只允許內部可信任的 IP 進入。

   • 啟用 多重驗證（MFA），避免駭客輕易取得管理權限。

   • 定期變更管理密碼，並使用高強度密碼（避免使用預設密碼）。

3. 監控異常網路行為

   • 檢查是否有 未經授權的 GRE 隧道，這是駭客用來繞過防火牆的常見手法。

   • 設定 日誌監控，特別關注：

     • 設備設定是否異常變更

     • 來自未知 IP 的異常存取

     • 異常的 高流量或不明封包

資料來源：

https://www.ithome.com.tw/news/167390

惡意軟體、零日漏洞、Ivanti

[2月19日] Ivanti旗下SSL VPN系統零時差漏洞再傳遭到利用，駭客去年12月於日本散佈惡意軟體SpawnChimera

近期發現 Ivanti SSL VPN 系統 存在一個 零日漏洞（CVE-2025-0282），此漏洞在 2024 年 12 月 被駭客利用，對 日本企業 發動了攻擊。駭客成功入侵目標設備，並植入名為 SpawnChimera 的惡意程式。

攻擊方式

1. 發現並利用漏洞

   駭客會掃描網路上使用 Ivanti SSL VPN 的伺服器，確認是否存在 CVE-2025-0282 漏洞。一旦確認漏洞存在，駭客便能繞過身份驗證，進入目標系統。

2. 植入惡意程式（SpawnChimera）

   成功入侵後，駭客會在系統內部部署 SpawnChimera，這是一種升級版的惡意軟體，擁有更強的隱匿與攻擊能力。

3. 建立隱藏通訊管道

   SpawnChimera 會使用 Unix Domain Socket 來建立隱密的通訊管道，讓駭客能夠遠端操控設備，並避免被傳統的網路監控工具發現。

4. 強化攻擊與防止競爭對手入侵

   駭客會修改 strncpy 函數，自行修補漏洞，防止其他駭客利用相同漏洞進行攻擊，確保自己獨占對該設備的控制權。

5. 持續滲透與數據竊取

   一旦掌控系統，駭客可能進行以下行動：

   • 竊取機密資料，例如公司內部文件、帳號密碼等。

   • 建立後門，即使系統部分修復，也能再次入侵。

   • 進一步攻擊內部網路，利用 VPN 連結到更多企業內部設備，擴大攻擊範圍。

建議

如果企業正在使用 Ivanti SSL VPN，應立即採取以下防護措施：

• 更新系統與補丁，密切關注 Ivanti 官方公告，儘快安裝安全更新。

• 檢查異常活動，觀察 VPN 伺服器的存取日誌，是否有可疑的登入行為。

• 啟用多重驗證（MFA），降低駭客利用帳號入侵的機率。

• 網路隔離，限制 VPN 連線權限，避免攻擊蔓延到內部系統。

這次攻擊顯示，駭客不僅利用漏洞入侵，還強化惡意軟體的隱蔽性，讓防禦方更難發現問題。因此，企業應該加快應對，避免成為下一個受害者。

資料來源：

https://www.ithome.com.tw/news/167430

惡意軟體、ERP

[2月20日] 資安業者揭露RevivalStone攻擊行動，國人駭客利用ERP軟體弱點入侵日本企業

中國駭客組織 APT41 旗下的 Winnti Group 透過一系列精密手法發動 RevivalStone 網路攻擊，主要鎖定 日本製造、材料與能源產業。

攻擊手法

1. 利用 ERP 軟體的 SQL 注入漏洞

   攻擊者鎖定企業內部使用的 ERP（企業資源規劃）軟體，透過 SQL 注入 攻擊，竊取企業內部帳號、密碼或其他機密資料，並進一步在受害伺服器上部署後門程式。

2. 部署 Web Shell（網頁後門）

   成功入侵後，駭客會在受害公司的 網站伺服器 上植入 Web Shell，這是一種惡意腳本，允許攻擊者遠端控制伺服器，執行任意命令、存取檔案，甚至建立新的後門來維持持久性存取。

3. 進行網路偵察與橫向移動

   一旦取得初步存取權限，駭客開始進行 內部網路偵察，尋找可進一步攻擊的目標，例如：

   • 存取內部伺服器，竊取資料

   • 攻擊其他系統帳戶，擴大控制範圍

   • 利用 Windows 內建工具（如 PsExec 或 WMI）進行無檔案攻擊，以降低被偵測的可能性

4. 傳播 Winnti 惡意軟體

   當駭客掌握足夠的網路控制權限後，他們會在關鍵系統中植入 Winnti 惡意軟體，這是一種用於長期監控與遠端控制的後門程式，能夠：

   • 竊取企業內部機密資料（如研發成果、財務報告、客戶資料）

   • 監視企業內部活動，蒐集有價值的情報

   • 建立隱藏通道，讓駭客持續存取受害企業的內部網路

5. 濫用台灣企業的數位憑證

   為了掩飾攻擊行為並讓惡意程式看起來更可信，駭客濫用了 台灣企業的數位憑證 來簽署惡意軟體，使得安全軟體不易察覺異常，從而提高攻擊成功率。

建議

企業應採取以下資安防護措施，降低遭受攻擊的風險：

1. 修補 ERP 及 Web 伺服器的已知漏洞，減少攻擊面

2. 強化 SQL 防護，啟用輸入驗證與 WAF（Web Application Firewall）

3. 限制 Web Shell 存取，監控異常流量與可疑請求

4. 落實內部網路監控，偵測異常的存取行為與不明程式執行

5. 定期審查數位憑證，防止未授權使用

資料來源：

https://www.ithome.com.tw/news/167454

防火牆、PaloAlto

[2月21日] Palo Alto Networks警告：防火牆漏洞遭串連利用，盡快修復！

Palo Alto Networks 防火牆被發現存在 CVE-2025-0108 和 CVE-2025-0111 兩個漏洞，駭客已經開始利用它們攻擊管理介面並入侵系統。全球數千台 PAN-OS 防火牆暴露在網路上，包含台灣設備，存在極高風險，並且已被偵測到相關攻擊活動。

漏洞詳情

1. CVE-2025-0108

   • 類型：認證繞過漏洞

   • 影響範圍：影響 PAN-OS 的 Web 管理介面

   • 風險：駭客可以繞過登入驗證，直接存取管理介面，進而控制防火牆設備或修改設定。

2. CVE-2025-0111

   • 類型：遠端程式碼執行（RCE）漏洞

   • 影響範圍：透過 Web 介面進行攻擊

   • 風險：攻擊者可以在受影響的設備上執行任意程式碼，可能導致資料洩露、系統崩潰或設備被駭客完全控制。

影響與風險

• 全球數千台 PAN-OS 防火牆 直接暴露在公網上，若未修補漏洞，可能遭受大規模攻擊。

• 攻擊者可以利用這些漏洞 入侵企業內網，影響企業的 安全防護機制，甚至導致系統癱瘓。

• 台灣地區 也有防火牆設備受影響，需立即關注。

建議

• 立即更新 PAN-OS 至官方最新修補版本，以防止漏洞被利用。

• 若無法立即修補，應 關閉 Web 管理介面對外網的存取，降低攻擊風險。

• 設定 IP 白名單 限制管理介面存取範圍，只允許特定內部 IP 進入。

• 監控異常登入行為，確保防火牆管理帳號未被惡意存取。

資料來源：

https://www.ithome.com.tw/news/167473