2025.02 Note #21

資安動態

1. CISA 與聯邦調查局（FBI）近日發布最新安全公告 ：三項軟體安全開發的核心原則：
2. 1. 安全成果的所有權：製造商必須主動消除漏洞，減少對修補程式和更新的依賴。
   2. 透明度：供應商應明確揭露漏洞，並維護健全的事件回應機制。
   3. 策略性領導：高階主管必須要求記憶體安全轉型，並優先考慮長期安全投資
      實施編譯器保護措施如執行時檢查和警戒值，執行對抗性測試包括靜態分析和模糊測試，以及發布將舊有程式碼轉換為記憶體安全替代方案的路線圖
2. 微軟針對WSUS服務棄用再度警告，2個月後將停止驅動程式同步服務: 微軟發布公告，驅動程式同步功能即將於4月18日棄用。驅動程式檔案，微軟表示會透過Microsoft Update Catalog網站提供，但IT人員無法匯入WSUS使用。8月列為將在Windows Server 2025移除的功能，9月正式宣布棄用WSUS。 在 WSUS 棄用之後，微軟鼓勵企業採用基於雲端的解決方案進行用戶端和伺服器更新，例如 Windows Autopatch、Microsoft Intune 和 Azure Update Manager。
3. 台灣、日本攜手推動無現金支付　甩開密碼煩惱日本「嗶」消費
   沒串接日本Pay Pay 悠遊付：研發中
4. Google出大招：計畫Google登入「整合比特幣錢包」
5. Google證實將以QR Code逐步取代簡訊驗證碼: QR Code進行身分驗證的時代即將來臨，未來會逐步捨棄 SMS 驗證，以減少全球簡訊濫用
6. JAR檔案簽章工具遭到濫用，攻擊者藉此於受害電腦啟動惡意軟體XLoader
7. 台灣資安市場地圖 2月份更新: Beta68 ，台灣共計 404 間廠商
8. 史上最嚴重！Bybit 交易所遭駭 15 億美元 : 超過 40 萬顆 ETH，市價多達 15 億美元的資產遭竊。損失金額創下史上最高紀錄

公司受駭

1. 勒索軟體Sarcoma聲稱攻擊PCB大廠欣興電子，竊得337 GB內部資料 : 377 GB的SQL檔案及文件

工具/軟體

1. Citus :  open-source extension of Postgres，transforms Postgres into a distributed database，目前 v13.0 已經支援 postgres V 17.2
2. microsoft/markitdown： 微軟開源，Office 文件轉成 Markdown 格式
3. dockur/windows Windows inside a Docker container :

漏洞

1. OpenSSH 已發布安全更新，以解決 OpenSSH 中的弱點 : CVE-2025-26465, CVSS 6.8 Man-in-the-Middle and DoS Attacks — Patch Now
2. PostgreSQL CVE-2025-1094: CVSS, 8.1，PostgreSQL允許SQL指令的描述包含不可信任的輸入所致，使得PostgreSQL互動工具psql在讀取內容的過程裡，因為處理無效的UTF-8字元出現問題，從而產生SQL注入的現象。
   PostgreSQL 17.3, 16.7, 15.11, 14.16, and 13.19 Released
3. Java Gradle : allowing an attacker to potentially manipulate file creation and deletion processes，CVE-2025-27148(CVSS, 8.8)，Upgrade to Gradle 8.12.1 or 8.13 immediately
4. Windows LDAP heap-based buffer overflow, integer underflow : CVE-2025-21376，RCE (CVSS, 8.1)，Server 2008 SP2 to Server 2025, and Windows 10/11 versions from 1507 to 24H2
5. Modsecurity Encoding Error (Redhat): CVE-2025-27110 (CVSS, 8.1)，Libmodsecurity
   Upgrade Libmodsecurity to version 3.0.14
6. MongoDB的程式庫Mongoose存在重大漏洞，攻擊者有機會竊取資料庫內容、RCE CVE-2024-53900 (9.1) RCE CVE-2025-23061 (9.0)
7. 登入模組PAM-PKCS#11存在重大漏洞 : 繞過Linux主機身分驗證機制、提升權限: CVE-2025-24032(CVSS, 9.2, Authentication Bypass with Default Value for cert_policy), CVE-2025-24531(CVSS,9.4, Authentication Bypass in Error Situations), and CVE-2025-24031(CVSS, 5.1) latest patched versions
8. GitLab 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、跨網站指令碼、洩露敏感資料、權限提升，A CSP-bypass XSS in merge-request page CVE-2025-0376 (CVSS, 8.7), DoS CVE-2024-12379 (CVSS, 6.5)
   GitLab Patch Release: 17.8.2, 17.7.4, 17.6.5
9. 微軟發布二月例行更新總共修補63項弱點，數量較上個月159個減少許多。這次修補的漏洞當中，包含20個權限提升漏洞（EoP）、2個安全功能繞過漏洞、25個遠端程式碼執行（RCE）漏洞、1個資訊洩露漏洞、9項阻斷服務（DoS）漏洞，1個可被用於竄改的漏洞，以及5項可被用於欺騙的漏洞。4個是零時差漏洞，有兩個被用於攻擊行動，皆被列為高風險等級，CVSS風險分別為7.1、7.8，分別是：Windows儲存權限提升漏洞CVE-2025-21391，以及適用於WinSock的Windows附屬功能驅動程式（Ancillary Function Driver，AFD）權限提升漏洞CVE-2025-21418，美國網路安全暨基礎設施安全局（CISA）已將它們納入遭到利用的漏洞列表（KEV），要求聯邦機構必須在3月4日之前完成修補。
10. Palo Alto Networks tags new firewall bug as exploited in attacks : Palo Alto Networks 警告一個文件讀取漏洞（CVE-2025-0111）正在與其他兩個漏洞（CVE-2025-0108 和 CVE-2024-9474）鏈接在攻擊中利用。 CVE-2025-0108: 認證繞過漏洞，已於 2025 年 2 月 12 日修補。CVE-2024-9474: 權限提升漏洞，允許 PAN-OS 管理員以 root 權限執行命令，已於 2024 年 11 月修補。CVE-2025-0111:文件讀取漏洞，允許認證攻擊者讀取 "nobody" 用戶可讀取的文件，已於 2025 年 2 月 12 日修補
11. ClamAV CVE-2025-20128: Cisco 釋出開源防毒軟體 ClamAV 1.4.2和1.0.8版本，其中一項重要安全更新是修補可能導致拒絕服務（DoS）攻擊的漏洞 CVE-2025-20128
12. 全錄（Xerox）印表機通報的資安漏洞CVE-2024-12510、CVE-2024-12511能截取AD帳密資料，於受害組織網路環境持續活動

AI 動態

1. Humanity's Last Exam :  人類的最後考試，Center for AI Safety（AI 安全中心）與 Scale AI 聯合打造了AI推理基準，HLE dataset 包含大約 2700 題(仍會接受新題目)，只要 AI 通過，就是AGI的水準，到 25/2/17 日為止
   OpenAI Deep Research: 26.6%
   o3-mini (high): 14.0%
   DeepSeek-R1： 8.6%
2. ENIGMAEVAL: 比HLE(人類的最後考試)更苛刻的基準，同樣由 Scale AI、Center for AI Safety 以及 MIT 的研究者聯合推出
3. Perplexity Deep Research : 免費版 Deep Research媲美 OpenAI 的 Deep Research，3 分鐘就能完成深度研究報告，Humanity’s Last Exam 基準測試中，得到 21.1%，接近 OpenAI 的Deep Research 26.6％ (免費用戶每日可以使用 5 次)
4. OmniParser V2 : Microsoft推出，能讓 GPT-4o、DeepSeek R1、Claude Sonnet 3.5…等 AI 模型，理解螢幕內容、自動操作電腦
5. NBA 展示多種 AI 機器人技術！幫 Curry 訓練投籃 : NBA 在這次 2025 全明星科技高峰會
6. 1. A.B.E.（自動籃球引擎）：專門為投籃訓練設計，能自動撿籃板、傳球
   2. M.I.M.I.C.（模擬機器人）：模擬進攻、防守戰術，幫助球員戰術演練
   3. K.I.T.（運動介面工具）：能關心球員健康與心理狀態，訓練期間提供陪伴
   4. B.E.B.E.（基礎裝備機器人）：負責整理訓練器材、幫籃球充氣等工作
6. xAI：免費開放 Grok 3 給大家用，直到伺服器崩潰
7. 新加坡宣布將投入10億星元 設立半導體研發中心 : 包括AI和量子運算等新興領域
8. Microsoft 量子電腦: 發表量子晶片 Majorana One，預計在 2027 至 2029 年左右，有望打造出第一台真正具備容錯能力的量子電腦
9.  Figure AI 發表 Helix，這款結合視覺、語言、行動的通用模型，同時控制 2 台機器人的系統，機器人可以一起合作完成長時間、複雜的任務