據資通安全署最新發布的資通安全網路月報,本月蒐整政府機關資安聯防情資共6萬2,795件,較上月增加4,174件。《資通安全管理法》修正案已於12月1日正式施行,相關7項子法預計115年1月1日上路,強化我國資安法制基礎。
偽冒Chrome更新提示 誘騙下載惡意程式
資安署揭露,某機關於資安健診期間偵測到可疑程式,經SOC鑑識研判屬高風險檔案,並發現異常對外連線行為。調查顯示,機關人員於下班時間使用辦公室電腦瀏覽網頁時,畫面出現引導更新Chrome擴充元件的彈跳視窗,人員誤信該提示為正常更新通知,依指示操作後下載惡意程式。
資安署指出,近年駭客頻繁透過偽裝系統更新或瀏覽器擴充元件更新的彈跳視窗,誘使使用者在相似介面下載惡意程式。若缺乏瀏覽器或端點防護機制有效控管,即可能成為惡意程式入侵端點的入口。
相關文章:ClickFix攻擊新變種JackFix 利用假冒Windows更新畫面散布多種惡意程式
建議機關採取三項防護措施:第一,強化瀏覽器與擴充元件管控,採白名單制度並啟用彈跳視窗阻擋,由管理者集中派送更新;第二,透過群組原則(Group Policy Object, GPO)阻擋未簽章或來源不明程式執行;第三,加強教育訓練,提升人員辨識假更新提示與偽造下載頁面的能力。
公私混用弱密碼 臉書粉專管理權遭奪
另一起案例中,機關因業務宣傳需求設置Facebook粉絲專頁,由承辦人與維運廠商負責管理。然而承辦人的個人Facebook帳號因使用弱密碼遭入侵,連帶影響與個人帳號綁定的機關粉專管理權限,導致原管理者皆遭移除權限。
事件後經內政部警政署刑事警察局聯繫Meta公司協助,始恢復原管理者權限。資安署強調,公務粉絲專頁不宜使用個人帳號管理,因個人帳號可能連動第三方應用程式、跨裝置登入、密碼跨平台重複使用,或未啟用多因子驗證(MFA),均提高帳號遭入侵或存取權杖(Access Token)遭濫用的風險。
建議機關啟用多因子驗證、使用高強度且不重複的密碼並定期更換、啟用登入提醒功能,並定期檢查已授權的第三方應用程式,移除不明或不再使用的應用程式,避免驗證權杖遭濫用。
駭客濫用CatBox雲端空間散布惡意程式
資安署分析本月聯防情資,資訊蒐集類威脅占比最高達41%,主要透過掃描、探測及社交工程等攻擊手法取得資訊。入侵嘗試類占23%,入侵攻擊類占18%。
值得注意的是,駭客近期於社交工程釣魚郵件中濫用免費雲端分享空間「CatBox」作為惡意程式下載站。該網站提供使用者上傳檔案並產生下載連結,駭客藉由利用其合法網域散布惡意程式,以規避資安偵測機制。
本月資安事件通報數量共72件,較去年同期增加35.85%,通報類型以非法入侵為主,占58.40%。仍有機關因可攜式媒體感染PUBLOAD惡意程式,亦觀察到機關網路錄影遭入侵,利用Curl指令下載Linux惡意程式。
重大漏洞警訊:Samba、Fortinet、Oracle高危漏洞需即刻修補
資安署本月提醒注意多項重大漏洞:
Samba存在作業系統指令注入漏洞(CVE-2025-10230,CVSS 10),若使用者架設Samba AD Domain Controller伺服器並啟用WINS協定支援,未經身分鑑別的遠端攻擊者可注入任意指令於伺服器上執行。
華碩(ASUS)部分DSL型號路由器存在身分鑑別繞過漏洞(
CVE-2025-59367,CVSS 9.3),遠端攻擊者可對受影響設備執行未經授權的存取。
Cisco Catalyst Center虛擬設備存在不當存取控制漏洞(CVE-2025-20341,CVSS 8.8),取得一般權限的遠端攻擊者可透過傳送特製HTTP請求提升至管理者權限。
已知遭駭客利用的漏洞方面,Fortinet FortiWeb存在相對路徑遍歷漏洞(
CVE-2025-64446,CVSS 9.8)及作業系統命令注入漏洞(CVE-2025-58034,CVSS 7.2),攻擊者可透過特製HTTP、HTTPS請求或命令列介面執行管理者權限指令。Oracle Fusion Middleware存在關鍵功能驗證缺失漏洞(
CVE-2025-61757,CVSS 9.8),允許未經驗證的遠端攻擊者接管身分管理系統。
《資通安全管理法》修正案正式施行
《資通安全管理法》修正案已於114年9月24日經總統公布,並於12月1日施行。相關子法包括「資通安全法施行細則」、「資通安全責任等級分級辦法」、「資通安全維護計畫實施情形稽核辦法」、「資通安全事件通報應變辦法」、「公務機關所屬人員辦理資通安全事項作業辦法」、「資通安全情資分享辦法」及「危害國家資通安全產品審查辦法」等7項子法,預計於115年1月1日施行。
面對日益複雜的網路威脅環境,資安署呼籲各機關應強化瀏覽器與軟體安裝管控、落實帳號安全管理、即時修補高危漏洞,並配合新法施行完善資安管理制度,共同提升我國整體資安防護能量。