據資通安全署最新發布的資通安全網路月報,本月蒐整政府機關資安聯防情資共6萬1,580件,較上月略減1,215件。《資通安全管理法》修正案已於12月1日正式施行,數位發展部並於12月19日發布「危害國家資通安全產品審查辦法」,為我國資安法制開啟新篇章。
SSL VPN漏洞遭利用 駭客植入資料庫惡意程式
資安署揭露,某機關網站偵測發現異常連線,經調查發現駭客利用SSL VPN功能漏洞成功登入並新增帳號,後續更連線至資料庫主機植入惡意程式。調查過程中發現該機關存在多項資安風險,包括防火牆韌體版本未更新、入侵防禦系統(IPS)授權逾期,以及管理頁面未限制連線來源等疏漏。
資安署分析指出,本案事故根因聚焦於「資安授權過期」、「韌體與弱點維護疏漏」、「帳號權限管理缺失」及「外部存取控管過於寬鬆」等四大面向。由於防護設備韌體未及時更新,攻擊者得以利用已知漏洞並配合概念驗證工具,成功繞過身分驗證機制進入系統。
資安署提出四項防護建議:首先,建立授權到期預警機制,確保資安設備維持有效授權以利自動更新特徵碼;其次,將資安設備韌體納入定期更新排程並檢查已知弱點修補情形;第三,定期清查系統帳號是否有異常新增,停用或移除未使用之服務功能與帳號;最後,遠端連線服務應遵循「原則禁止、例外允許」及「最小權限原則」辦理。
駭客濫用CAB壓縮檔 隱匿惡意程式躲避偵測
資安署分析本月聯防情資,資訊蒐集類威脅占比最高達45%,主要透過掃描、探測及社交工程等攻擊手法取得資訊。入侵嘗試類占21%,入侵攻擊類占18%。
值得關注的是,駭客近期於社交工程釣魚郵件中利用微軟CAB(Cabinet)檔案作為惡意程式散布載體。CAB是微軟常用的壓縮封裝格式,廣泛應用於Windows更新、驅動程式及安裝程式部署流程。駭客將惡意執行檔藏匿於CAB檔中,利用其具備的封裝彈性與合法性,降低檔案特徵可見度以繞過安全偵測,誘使收件者點擊執行惡意內容。
本月資安事件通報數量共107件,為去年同期的1.67倍,通報類型以非法入侵為主,占71.57%。資安署特別提醒,本月再次偵測到多個機關因安裝冒牌軟體而遭植入惡意程式,占總通報件數32.71%。
重大漏洞警訊:7-Zip、WordPress外掛、研華設備需即刻修補
資安署本月提醒注意多項重大漏洞:
- 壓縮程式7-Zip 25.01以下版本存在連結追蹤(Link Following)漏洞(CVE-2025-55188,CVSS 3.6),未經身分鑑別的本機端攻擊者可利用此漏洞寫入任意檔案。
- WordPress擴充程式與網頁主題存在10個高風險PHP本機檔案包含(PHP Local File Inclusion)漏洞,包括CVE-2025-67522、CVE-2025-67523、CVE-2025-67524、CVE-2025-67525、CVE-2025-67526、CVE-2025-67527、CVE-2025-67529、CVE-2025-67530、CVE-2025-67531及CVE-2025-67532(CVSS 9.8),未經身分鑑別的遠端攻擊者可誘使伺服器端PHP程式載入本機非預期檔案,並執行任意程式碼。
- 研華科技(Advantech)WISE-DeviceOn Server存在使用硬刻加密金鑰(Use of Hard-coded Cryptographic Key)漏洞(CVE-2025-34256,CVSS 9.8),未經身分鑑別的遠端攻擊者可自行製作權杖偽冒任意帳號,取得完整控制權。
- 已知遭駭客利用的漏洞方面,Cisco Secure Email Gateway(SEG)與Secure Email and Web Manager(SEWM)所使用的AsyncOS作業系統存在不當輸入驗證漏洞(CVE-2025-20393,CVSS 10.0),未經身分鑑別的遠端攻擊者可利用此漏洞以root權限執行任意指令。React Server Components在解析序列化資料時存在安全漏洞(CVE-2025-55182,CVSS 10.0),攻擊者無需身分驗證即可透過惡意負載達成遠端程式碼執行。
《人工智慧基本法》三讀通過 奠定AI發展法制基礎
立法院於12月23日三讀通過《人工智慧基本法》,旨在促進以人為本的人工智慧研發與產業發展,建構人工智慧安全應用環境,落實數位平權並保障人民基本權利。本法將確保技術應用符合社會倫理,維護國家文化價值及提升國際競爭力。
此外,數位發展部依《資通安全管理法》第11條第3項授權,於12月19日發布「危害國家資通安全產品審查辦法」,溯及至12月1日施行,並於資通安全署官網公布提報危害國家資通安全產品情資相關表單。
面對日益複雜的網路威脅環境,資安署呼籲各機關應確保資安防護設備授權有效、落實韌體與漏洞定期更新、強化帳號權限管理,並嚴格控管遠端存取服務,共同提升我國整體資安防護能量。