據資通安全署最新發布的資通安全網路月報,本月蒐整政府機關資安聯防情資共5萬8,621件,較上月減少6,609件。資安署特別提醒,即使符合政府組態基準(GCB)的密碼規範,若使用常見鍵盤排序仍易遭暴力破解,顯示密碼安全意識仍待加強。
鍵盤排序密碼成破解漏洞 機關遭植入惡意程式
資安署指出,某政府機關接獲SOC通報,發現僅供內部使用的系統出現對外異常連線。經調查發現,該機關近期進行防火牆汰換時,未逐一檢視防火牆政策套用是否生效,導致外部可存取內部系統。
該系統管理者使用常見鍵盤排序方式設置密碼,例如「1qaz2wsx」、「!QAZ@WSX」等組合。
雖然這些密碼形式上符合GCB密碼長度與複雜度規範,但因規律性過高,遭暴力破解工具成功猜測登入,進而植入惡意程式。
資安署建議,高防護等級系統應導入多因子驗證機制,並建立「密碼黑名單」機制,排除常見鍵盤序列或可預測字串。此外,網路設備變更應落實驗證程序,定期稽核防火牆規則,並強化異常登入行為偵測,監控登入失敗次數、異常登入時段及短時間大量登入嘗試。
駭客濫用合法網站散布惡意程式
資安署分析本月聯防情資發現,資訊蒐集類威脅占比最高達38%,主要透過掃描、探測及社交工程等攻擊手法取得資訊。入侵嘗試類占26%,入侵攻擊類占18%。
駭客近期於社交工程釣魚郵件中濫用「Internet Archive」作為惡意程式的下載站。該網站為合法的檔案服務,駭客藉由利用其合法網域散布惡意程式,以規避資安偵測機制。
本月資安事件通報數量共53件,較去年同期減少32.91%,通報類型以非法入侵為主,占58.49%。仍有機關因可攜式媒體感染PUBLOAD惡意程式,亦觀察到有機關監視器遭入侵利用下載惡意腳本。
重大漏洞警訊:Windows Server、傑印公文系統、VMware工具
資安署本月提醒注意多項重大漏洞:
- 傑印資訊筆硯公文管理系統存在任意檔案上傳漏洞(CVE-2025-11948,CVSS 9.8)。未經身分鑑別的遠端攻擊者可上傳並執行網頁後門程式,進而於伺服器端執行任意程式碼。
- Windows Server Update Services(WSUS)存在不安全的反序列化漏洞(CVE-2025-59287,CVSS 9.8),此漏洞已知遭駭客利用。未經身分鑑別的遠端攻擊者可透過向WSUS伺服器發送特製事件,以系統權限執行任意程式碼。
- Windows SMB用戶端存在NTLM反射漏洞(CVE-2025-33073,CVSS 8.8)。攻擊者可透過執行惡意腳本,迫使SMB用戶端與其控制的伺服器連線,藉此繞過安全檢核提升至系統權限。
相關文章:美國CISA 一次新增五個遭利用漏洞 Oracle EBS 與 Windows SMB 成攻擊重點
- VMwre Aria Operations和VMware Tools存在權限提升漏洞(CVE-2025-41244,CVSS 7.8)。本地攻擊者可利用此漏洞將權限提升至虛擬機的root使用者。
資安署強調,上述漏洞官方皆已釋出修復更新,已知遭駭客利用的漏洞建議即刻評估修補,一般漏洞警訊則建議儘快安排更新。
面對日益複雜的網路威脅環境,資安署呼籲各機關應強化密碼安全意識,避免使用具規律性的密碼組合,並落實網路設備變更管理與驗證機制,即時修補高危漏洞,共同提升我國整體資安防護能量。
延伸閱讀:資安署25年9月資安月報:《資通安全管理法》修正公布實施;政府陳情管道成釣魚攻擊新途徑