2025/4/21 -2025/4/25 資安一週大事
- Ricky Chen / SOC資安工程師
- 4月29日
- 讀畢需時 7 分鐘
Elusive Comet、Zoom、遠端
駭客利用 Zoom 的「遠端控制」功能,誘騙受害者授權,進而遠端操控其電腦並安裝惡意程式。這種攻擊方式被稱為「ELUSIVE COMET」,主要針對加密貨幣和區塊鏈領域的專業人士。
🚨 駭客是如何行騙的?
假冒知名機構:駭客會冒充像是「Bloomberg Crypto」等知名媒體,透過 Twitter 私訊或電子郵件聯繫目標,邀請參加虛構的線上訪談或播客節目。
安排 Zoom 會議:受害者接受邀請後,駭客會安排一場 Zoom 視訊會議,並在會議中要求受害者分享螢幕,以展示其作品或資料。
請求遠端控制:在螢幕分享期間,駭客會發送遠端控制請求,並將自己的顯示名稱改為「Zoom」,使請求看起來像是系統通知。
取得控制權限:如果受害者未加留意,可能會誤以為是正常操作,點擊同意,從而讓駭客取得電腦控制權,安裝惡意程式,竊取資料或資產。
🛡️ 如何保護自己?
關閉遠端控制功能:在 Zoom 設定中,關閉「允許他人遠端控制我的螢幕」的選項。
提高警覺:對於來自不明來源的訪談邀請或會議請求,務必核實對方身份,避免輕易接受。
注意 Zoom 提示:當收到遠端控制請求時,仔細查看請求者的名稱,確認是否為可信對象。
加強資安意識:定期參加資安培訓,提升對社交工程攻擊的辨識能力。
資料來源:
PyTorch、RCE漏洞
深度學習框架PyTorch被發現存在一個嚴重的安全漏洞,漏洞編號為CVE-2025-32434。這個漏洞可能會被駭客利用來進行遠端代碼執行(RCE)攻擊,這意味著攻擊者可以在受影響的系統上執行任意程式碼,造成嚴重的安全風險。
🔹 漏洞詳情
漏洞來源:研究人員發現,當開發者使用PyTorch的torch.load功能,並設置weights_only=True參數來載入模型時,可能會導致安全防護失效。這樣的操作會讓攻擊者有機會突破系統的安全防護。
風險評估:這個漏洞的風險評分高達9.3分(滿分10分),顯示出其潛在的危險性。受影響的版本包括去年10月發布的2.5.1版,而在今年1月推出的2.6.0版中已經修復了這個問題。
⚠️ 為什麼這個漏洞重要?
PyTorch是目前廣泛使用的深度學習框架,許多知名公司如OpenAI和Meta都在使用它來開發生成式AI技術。如果這個漏洞被利用,可能會對許多企業和研究機構造成廣泛的影響。
🛡️ 如何保護自己?
升級版本:開發者應立即將PyTorch升級到最新的2.6.0版,以修補這個漏洞。
避免特定操作:如果無法立即升級,建議不要同時使用torch.load和weights_only=True來載入模型,以降低風險。
檢查第三方模型:開發者應仔細審核從公開儲存庫獲得的第三方AI模型,確保其安全性。
關注安全公告:定期查看GitHub上的安全公告,以獲取有關此漏洞的最新資訊。
資料來源:
Advcash、NPM
開源資安公司Socket揭露了一個名為merchant-advcash的惡意NPM套件。這個套件表面上看似是一個合法的金流整合工具,但實際上卻隱藏了一個危險的反向Shell功能,可能會對電商平台的安全造成威脅。
⚠️ 攻擊方式
觸發時機:這個惡意程式在用戶完成支付後才會啟動,這使得它更難被發現。
隱藏性:由於它在正常的交易流程中執行,因此可以避開許多安全檢測工具。
技術細節:該套件使用Node.js編寫,並在特定的回呼函式中嵌入了反向Shell的程式碼,讓伺服器連接到攻擊者指定的IP地址。
🚨 為什麼這很危險?
這種攻擊方式顯示出攻擊者對目標系統的深入了解,並且能夠利用正常的商業流程來隱藏他們的行為。雖然這個惡意套件已經被NPM官方下架,但它的存在提醒我們在處理金流和用戶資料時必須更加小心。
🛡️ 如何保護自己?
加強安全檢查:開發者應該使用動態和靜態檢查工具來監控第三方套件,避免僅依賴套件的描述或README文件來評估安全性。
供應鏈安全:在整合支付系統時,必須特別注意供應鏈的安全,確保所有使用的工具和套件都是可信的。
定期更新:保持所有開發工具和套件的最新版本,以減少安全風險。
資料來源:
資訊洩漏、Rack
[4月24日] Rack 爆出重大漏洞,恐導致網站敏感資料外洩!
Ruby 的核心網頁中介軟體函式庫 Rack 被發現存在一個編號為 CVE-2025-27610 的「資訊洩漏」安全漏洞。此漏洞可能允許未經授權的攻擊者讀取到應用程式的敏感機密資訊(如 API 金鑰、資料庫密碼等),對使用 Rack 的 Ruby on Rails、Sinatra 等框架開發的網站和服務帶來嚴重風險。
🔹 漏洞介紹
影響範圍: 主要影響 Rack 函式庫。由於 Rack 是 Ruby on Rails、Sinatra 及許多其他 Ruby 網頁框架的基礎元件,因此使用這些框架的應用程式都可能間接受到波及。
漏洞編號: CVE-2025-27610
漏洞類型: 資訊洩漏 (Information Disclosure)
漏洞描述: 此漏洞的具體技術細節可能與 Rack 處理某些特定請求或資料的方式有關。該漏洞允許攻擊者在特定條件下,讀取到應用程式環境中本應受到保護的機密資訊或敏感數據。
🚨 造成影響
若 CVE-2025-27610 漏洞被成功利用,可能導致以下嚴重後果:
敏感組態資料外洩: 攻擊者直接取得 API 金鑰、資料庫使用者名稱與密碼、用來加密 Session 的金鑰、第三方服務憑證等。
資料庫遭入侵: 攻擊者利用竊取的資料庫密碼,可能直接存取、竊取、竄改甚至刪除資料庫中的重要資料。
第三方服務被濫用: 攻擊者利用竊取的 API 金鑰,可能濫用與應用程式串接的雲端服務、支付服務或其他 API 服務,造成金錢損失或衍生其他問題。
🛡 如何保護自己?
針對 CVE-2025-27610 這個具體漏洞,主要的預防和修補措施如下:
盤點與版本確認: 開發和維運團隊應立即清查所有 Ruby 應用程式,確認所使用的 Rack 函式庫的具體版本號。需對照官方發布的安全公告,判斷目前使用的版本是否落在此次漏洞影響的範圍內。
立即更新 Rack 版本: 這是最重要且最直接的解決方法。 一旦確認使用的 Rack 版本受到影響,應盡快將 Rack 函式庫更新到官方發布的、已修復 CVE-2025-27610 漏洞的安全版本。請密切關注 Rack 官方(或 RubyGems.org)發布的最新版本資訊。
遵循官方建議: 除了更新版本,也需留意 Rack 官方或相關安全機構是否針對此漏洞提出其他的緩解措施或安全建議,並遵照執行。
監控與審計 (持續性措施): 定期審查應用程式日誌,監控是否有可疑的存取行為。保持對 Rack 及相關依賴套件的安全更新關注,建立快速應對漏洞的機制。
資料來源:
WooCommerce、社交工程
近期出現針對 WordPress 電子商務平台 WooCommerce 網站管理員的網路攻擊活動。攻擊者透過社交工程手法,散佈偽裝成緊急安全更新或修補程式的惡意檔案。一旦管理員受騙安裝這些假修補程式,攻擊者就能植入惡意軟體,進而劫持整個 WooCommerce 網站,可能導致資料外洩、金融損失與商譽受損。
⚠️ 攻擊手法
攻擊目標: 使用 WordPress 搭配 WooCommerce 建立的電子商務網站的管理員 (Administrators)。
核心手法: 社交工程 (Social Engineering) / 網路釣魚 (Phishing)。
誘餌: 攻擊者製作並散佈看起來非常緊急且重要的「假冒安全修補程式」或「更新通知」。這些通知可能聲稱能修復某個嚴重的 WooCommerce 或相關外掛程式的漏洞。
傳播途徑: 這些假冒的更新通知或檔案可能透過以下方式傳遞給管理員:
釣魚電子郵件 (Phishing Emails)。
在已被初步入侵的網站後台顯示的假冒通知或彈出視窗。
其他直接聯繫管理員的嘗試。
欺騙方式: 攻擊者會讓這些假修補程式的說明、檔名或來源看起來盡可能像是官方發布的,誘騙管理員出於安全考量而急於下載並安裝。然而,這些檔案實際上內含惡意程式碼(例如:網站後門、密碼竊取工具、檔案上傳工具等)。
🛡️ 如何防範?
WooCommerce 網站管理員可以採取以下措施來防範此類攻擊:
保持極度懷疑: 對於任何非主動請求的、聲稱是緊急安全修補程式或更新的通知(尤其來自 Email 或非官方介面)都應抱持最高度的懷疑。
堅持從官方管道更新:
永遠只從 WordPress 後台的「更新」頁面、官方 WordPress 外掛程式庫 (WordPress.org/plugins/) 或 WooCommerce 官方網站 (WooCommerce.com) 下載和安裝更新與修補程式。
絕對不要點擊 Email 中的連結或下載附件來進行安全更新。
多方驗證資訊: 如果收到某個嚴重漏洞的通知,應先到 WooCommerce、WordPress 官方部落格、官方社群或信譽良好的第三方資安新聞網站(如 Bleeping Computer, Wordfence blog 等)查證該漏洞消息是否屬實,以及官方建議的處理方式。
使用可靠的安全外掛程式: 安裝並正確設定信譽良好的 WordPress 安全外掛程式(例如 Wordfence, Sucuri Security 等),它們可能可以協助偵測惡意檔案或未經授權的檔案變更。
資料來源:
Comments