美國網路安全暨基礎設施安全局(CISA)將兩項重大資安漏洞列入已知遭利用漏洞目錄:
華碩 Live Update 的供應鏈攻擊漏洞,以及
開源地理資訊系統 GeoServer 的 XML 外部實體注入(XXE)漏洞。這兩起事件凸顯供應鏈攻擊與開源軟體漏洞對企業資安的持續威脅。
ShadowHammer 鎖定華碩
CISA 近期將編號
CVE-2025-59374 的漏洞加入 KEV 目錄,該漏洞的 CVSS 評分高達 9.3 分。這個漏洞源自 2019 年 3 月曝光的攻擊事件,當時俄羅斯資安公司卡巴斯基將此攻擊行動命名為「ShadowHammer 行動」。
這起攻擊發生於 2018 年 6 月至 11 月間,某 APT 組織成功入侵華碩伺服器,在 Live Update 軟體中植入惡意程式碼。此攻擊採用精準的目標鎖定策略:
遭植入木馬的軟體版本內建了一份包含超過 600 個獨特 MAC 位址的清單,惡意程式碼僅在受害裝置的網路卡 MAC 位址符合清單內容時才會啟動執行。
卡巴斯基指出,攻擊者採取「精準狙殺」策略,鎖定特定使用者群體。這種攻擊手法展現高度的技術複雜性與針對性。華碩當時回應表示,僅有少數裝置受到影響,並
在 Live Update 3.6.8 版本中修補了此漏洞。
值得注意的是,華碩已在 2024 年 12 月 4 日正式宣布 Live Update 軟體終止支援(EOS),最後版本為 3.6.15。CISA 要求聯邦民間行政部門(FCEB)機構若仍在使用此工具,必須在 2026 年 1 月 7 日前停止使用。此外,華碩在支援頁面中強調,使用者應將 ASUS Live Update 更新至 3.6.8 或更高版本,以解決資安疑慮。
GeoServer XXE 漏洞遭實際利用,影響範圍廣泛
CISA 接著將另一個高嚴重性漏洞
CVE-2025-58360 加入 KEV 目錄,
該漏洞影響 OSGeo GeoServer,CVSS 評分為 8.2 分。這是一個未經身份驗證的 XML 外部實體注入(XXE)漏洞,影響 2.25.5 版本及之前的所有版本,以及 2.26.0 至 2.26.1 版本。
這個漏洞源於 GeoServer 在處理特定端點(/geoserver/wms 操作 GetMap)的 XML 輸入時,未能適當限制 XML 外部實體參照。攻擊者可在 XML 請求中定義外部實體,執行多種惡意行為。
根據 GeoServer 維護團隊的警告,成功利用此漏洞可能造成三種主要威脅:第一是
任意檔案讀取,攻擊者可存取伺服器檔案系統中的機敏資料;第二是
伺服器端請求偽造 (SSRF),讓攻擊者得以與內部系統互動;第三是
阻斷服務 (DoS) 攻擊,透過耗盡系統資源癱瘓服務。
受影響的套件包括 docker.osgeo.org/geoserver、org.geoserver.web:gs-web-app(Maven)及 org.geoserver:gs-wms(Maven)。
官方已在 2.25.6、2.26.2、2.27.0、2.28.0 及 2.28.1 版本中修補此漏洞。
攻擊細節尚未公開,但威脅確實存在
目前尚無 CVE-2025-58360 在實際攻擊中的詳細利用資訊。不過,加拿大網路安全中心已在 2024 年 11 月 28 日明確指出:「CVE-2025-58360 的攻擊程式碼已實際出現。」這證實該漏洞確實遭到利用。
值得注意的是,GeoServer 在過去一年內已發生多起資安事件。另一個重大漏洞
CVE-2024-36401(CVSS 評分 9.8)也遭多個威脅行為者利用,顯示 GeoServer 已成為攻擊者的熱門目標,使用該軟體的組織必須格外警戒。
建議防護措施
針對這兩項已遭利用的漏洞,組織應採取以下防護措施:
- 華碩 Live Update 使用者:停止使用已終止支援的 Live Update 軟體,改用其他系統更新管理方案。若仍在使用舊版本,請更新至 3.6.8 或更高版本。
- GeoServer 管理員:將系統更新至已修補的版本(2.25.6、2.26.2、2.27.0、2.28.0 或 2.28.1)。FCEB 機構必須在 2026 年 1 月 1 日前完成修補。
- 供應鏈風險管理:建立供應鏈安全監控機制,定期檢視第三方軟體的更新來源並驗證其完整性。
- 開源軟體管理:建立開源軟體清單,追蹤已知漏洞,確保及時套用安全更新。
這兩起事件再次突顯供應鏈攻擊與開源軟體漏洞對企業資安的嚴重威脅。組織不僅要關注自身系統的安全性,更要審慎評估第三方軟體的風險,建立完整的漏洞管理流程,才能在日益複雜的威脅環境中保護關鍵資產。
本文轉載自 TheHackerNews。