2025/5/5 -2025/5/9 資安一週大事
- Ricky Chen / SOC資安工程師
- 5月12日
- 讀畢需時 6 分鐘
SonicWall、VPN
[5月5日] 駭客利用 SonicWall SMA 漏洞進行攻擊
SonicWall 的 SMA100 系列 VPN 裝置被發現存在兩個嚴重的安全漏洞,分別為 CVE-2024-38475 和 CVE-2023-44221,並已被駭客利用進行實際攻擊。
🔹 漏洞介紹
CVE-2024-38475:此為 Apache HTTP Server 的路徑穿越漏洞,攻擊者可在未經驗證的情況下讀取伺服器上的任意檔案。研究人員發現,駭客可利用此漏洞下載包含管理員會話資訊的資料庫,進而取得管理權限。
CVE-2023-44221:此為操作系統命令注入漏洞,需在已驗證的情況下才能被利用。攻擊者可藉此在裝置上執行任意命令,進一步控制系統。
這兩個漏洞若被結合使用,攻擊者可先利用 CVE-2024-38475 取得管理權限,再透過 CVE-2023-44221 完全控制裝置。
🛡 如何防範?
立即更新:確保所有 SMA 裝置已更新至最新的韌體版本,以修補已知漏洞。
檢查異常活動:檢視裝置的登入記錄和系統日誌,尋找未經授權的存取行為。
強化帳戶安全:使用強密碼,並啟用多因素驗證(MFA)以增加帳戶安全性。
限制存取權限:僅授予必要的存取權限,減少潛在的風險。
資料來源:
Langflow、RCE
[5月6日] Langflow 工具出現重大漏洞,使用者須立即更新
圖像化LLM應用開發工具Langflow被發現存在一個高風險的遠端程式碼執行漏洞(CVE-2025-3248),該漏洞已被美國CISA證實在實際攻擊中被利用。
🔹 漏洞介紹(CVE-2025-3248 )
這個漏洞為 RCE 漏洞,發生在 Langflow 這個 AI 開發工具的程式介面(API)上,原本
應該只有授權開發者能使用,但漏洞卻讓任何人都能在不需要登入或授權的情況下,直
接原端對系統下指令。
⚠️ 漏洞影響
如果駭客成功利用這個漏洞,他可以做出以下危險的行為:
竊取資料:像是資料庫裡的個資、公司內部機密等。
植入惡意程式:像是勒索病毒、木馬、殭屍網路程式。
當跳板攻擊別人:你的電腦會變成駭客的中繼站,去攻擊其他人或系統。
刪除或破壞資料:讓你無法使用系統,甚至導致服務中斷。
取得伺服器完全控制權:像變成有「管理員權限」的超級使用者,想幹嘛就幹嘛。
🚨 為什麼這很嚴重?
因為這個漏洞不需要登入、也不用破解密碼,駭客只要找到還在用舊版 Langflow 的系統,就能直接入侵。等於是家裡的大門沒鎖,陌生人隨時都能進來做壞事。
🛡 如何防範?
立即更新程式版本
請確認你使用的是 Langflow 1.3.0 或更新版本,這是官方修補漏洞後的安全版本。舊版本會讓駭客有機可乘。
不要直接公開在網路上
除非必要,不要讓 Langflow 被任何人從網路上就能連進來使用。應限制只有內部人員或特定網路才能連線。
設定帳號與權限控制
使用者應該要登入後才能操作系統,避免任何人不經授權就能控制程式。
部署在安全的環境中
建議使用虛擬私有雲(VPC)或容器(像是 Docker)隔離部署,降低整個系統受到攻擊的風險。
定期檢查系統狀況
觀察是否有不正常的登入紀錄、執行紀錄,或資料被傳出的跡象,盡早發現問題。
供應鏈攻擊的嚴重性不容忽視,因為它影響層面廣、潛伏時間長,且可能造成毀滅性後果。企業與開發者必須提高警覺,確保每個供應鏈環節的安全,以降低潛在風險。
資料來源:
殭屍網路、EOL、RCE
[5月7日] 老舊監視器漏洞遭駭!殭屍網路正在擴散
資安公司 Akamai 發現一個名為「LZRD」的殭屍網路(Botnet)正在利用奇偶科技(GeoVision)某些老舊的物聯網設備的漏洞進行攻擊。這些設備包括監視器、車牌辨識系統、IP 攝影機等。由於這些產品已經停止更新(EOL),廠商不再提供安全修補,駭客便趁機利用這些漏洞入侵設備。
⚠️ 漏洞介紹(CVE-2024-6047、CVE-2024-11120)
CVE-2024-6047 這是一個遠端命令執行漏洞(Remote Command Execution),意思是駭客不需要登入帳號密碼,就能直接對設備下指令、操控設備。
CVE-2024-11120 這是另一個尚未完全公開細節的嚴重漏洞,也能被用來入侵設備、執行惡意操作。
這兩個漏洞都允許駭客遠端入侵,控制設備、竊取資訊,甚至讓設備變成「殭屍節點」,成為攻擊其他網站或系統的跳板。
🚨 哪些設備有受影響?
受到影響的是奇偶科技的以下產品(多屬於舊款設備):
網路攝影機(IP Camera)
車牌辨識系統(LPR Devices)
數位錄影機(DVR)
其他 GeoVision 出品的安防相關物聯網設備
這些設備有個共同點:已經停止支援(EOL,End of Life),也就是說官方已不再提供更新與修補。
🛡 如何防範?
檢查設備型號與版本:確認你是否使用奇偶科技的相關設備,並查詢是否在受影響的範圍內。
更換或升級設備:如果你的設備已經停止更新,建議更換為仍有廠商支援的產品,以確保安全。
加強網路安全措施:避免將這些設備直接連接到公共網路,並設定適當的防火牆與存取控制。
定期檢查設備活動:監控設備的運作情況,留意是否有異常的行為或未經授權的存取紀錄。
資料來源:
Cisco、資安漏洞
[5月8日] Cisco 發現嚴重漏洞,建議立即更新以防駭客入侵
Cisco 最近修補了一個嚴重的安全漏洞(編號 CVE-2025-20188),這個漏洞影響其無線網路控制器(Wireless LAN Controllers)上的 IOS XE 軟體。如果被駭客利用,可能導致設備被完全控制。
🔹 漏洞說明
這個漏洞出現在 Cisco 無線網路控制器(WLC)所使用的作業系統 IOS XE 中,問題在於它內建了一組固定的「通行證」(Token),這組通行證本來是給系統自己在特定功能(例如下載韌體)時使用的,結果沒保護好。
駭客如果知道這組通行證,就可以假冒合法使用者,直接對設備下指令,不需要登入帳號密碼!
🚨 哪些設備會受到影響?
以下設備在啟用「Out-of-Band AP Image Download」功能時,可能受到影響:
Catalyst 9800-CL 無線控制器(雲端版)
Catalyst 9800 系列無線控制器
Catalyst 9300、9400、9500 系列交換器上的嵌入式無線控制器
Catalyst 無線接入點上的嵌入式無線控制器
🛡 如何防範?
避免購買來路不明的智慧電視或播放裝置,特別是價格異常便宜的品牌。
安裝來自官方應用商店的軟體,不要從未知網站下載應用程式。
定期更新設備韌體與應用程式,修補可能的安全漏洞。
關閉不必要的遠端存取功能,減少駭客入侵的機會。
監控家中網路流量,若發現異常流量(如設備在沒使用時仍大量連線),可能是已遭駭。
資料來源:
釣魚郵件、惡意檔案
[5月9日] 釣魚郵件變聰明了!駭客用 Excel 惡意檔入侵政府系統
資安公司趨勢科技發現,中國駭客組織 MirrorFace(又稱 Earth Kasha)擴大攻擊範圍,從過去主要針對日本,現在也將目標對準臺灣的政府機關與公共機構。他們利用名為 RoamingMouse 的惡意 Excel 檔案,以及後門程式 Anel,進行網路釣魚攻擊,竊取機密資料。
🔹 攻擊方式
攻擊手法:駭客透過被入侵的帳號,發送看似正常的釣魚郵件,內容可能是假裝應徵信或出國考察報告,內含 OneDrive 連結。
惡意檔案:收件人點擊連結後,會下載包含惡意 Excel 檔案的 ZIP 壓縮檔。這些 Excel 檔案被稱為 RoamingMouse,內含巨集。
後門程式:若啟用巨集,RoamingMouse 會在電腦上安裝後門程式 Anel,讓駭客能夠遠端控制電腦、截圖、偵察環境等。
進階攻擊:若駭客確認受害者是目標對象,會進一步安裝第二階段後門程式 NoopDoor,並利用 DNS over HTTPS 技術,隱藏與控制伺服器的通訊。
⚠️ 有哪些特別之處?
攻擊對象:從日本擴展到臺灣,特別是政府與公共機構。
攻擊手法改變:從過去使用 Word 檔案,改為使用 Excel 檔案;觸發方式也從滑鼠移動改為點擊。
防毒偵測:RoamingMouse 能偵測 McAfee 防毒軟體,並調整運作模式,以避開偵測。
🛡️ 如何防範?
提高警覺:對於來自不明或可疑來源的郵件,特別是含有 OneDrive 連結或要求啟用巨集的 Excel 檔案,要特別小心。
更新防毒軟體:確保防毒軟體為最新版本,並定期進行全系統掃描。
教育訓練:加強員工的資安意識,定期進行釣魚郵件演練,提升辨識與應對能力。
限制巨集執行:在辦公室電腦上,設定限制巨集的自動執行,減少被攻擊的風險。
資料來源:
Comments