2025.03 Note #22

資安動態

1. 高達2.84億筆帳密資料收入Have I Been Pwned，都源自駭客盜取的Log資料 : Have I Been Pwned，最近納入1.5TB巨量事件記錄資訊，它們都是遭竊的資料，該網站的創辦人Troy Hunt指出，內容多達230億筆，其中包含4.93億組網站及電子郵件資料，影響2.84億個（284,132,969）電子郵件信箱，而這批資料的來源，是一個名為Alien Txtbase的Telegram頻道。
2. 彰基連日遭駭客大規模攻擊 資安部門徹夜作戰 : 彰基最近一年來，每個月都遭受5000筆以上的駭客攻擊，但是彰基有專門資安中心和專職的資安長，且資安方面預算占總預算12%到20%，資訊相關工程師有70名，資訊部門及其他相關部門更都通過ISO27001認證。 ---> 專業 !
   - 勒索軟體駭客Crazy Hunter聲稱竊得大量病人的個資，並在地下論壇開價10萬美元尋求買家，1,660萬筆病人資訊，檔案大小為32.5 GB，涵蓋臺北、淡水、新竹、臺東院區，以及臺北與新竹的兒童醫院，這批資料包含姓名、身分證字號、手機號碼、Line ID、住家地址、生日，以及醫療記錄 (25.03.07 .sql 檔案)
3. 醫院面對勒索軟體攻擊的應變指南 : 3月6日於衛生福利部資安資訊分享與分析中心（HISAC) 發布
4. 在逾10億藍牙及Wi-Fi裝置的樂鑫晶片上，含有可用來攻擊的隱藏功能 : Tarlogic Security上周揭露，有一款同時支援藍牙與Wi-Fi的微晶片ESP32含有未紀錄的隱藏命令 漏洞編號CVE-2025-27840，可允許駭客修改晶片以解鎖其它功能，植入惡意程式，或是進行裝置身分竊盜攻擊。中國樂鑫的合作對象，從百度、小米到Amazon都有，使用該晶片的IoT裝置超過10億臺
5. 微軟棄用古老的DES加密，希望Windows用戶換用AES : 正式宣布將於 Windows 11 24H2 以及 Windows Server 2025 中移除資料加密標準 (DES) 密碼。微軟計畫分兩個階段停用 Kerberos 中的 DES：
6. 1. 相容模式： 在 Windows 7 和 Windows Server 2008 R2 及之後發布的所有 Windows 用戶端和伺服器版本中，Kerberos 中的 DES 預設為停用。管理員可以手動配置 DES 密碼，但安裝了 2025 年 9 月 9 日及之後發布的更新的 Windows 11 24H2 和 Windows Server 2025 裝置除外。
   2. 停用模式： 一旦移除 Kerberos 中的 DES，它將不再作為 Windows Server 2025 及更高版本和 Windows 11 24H2 及更高版本中 Kerberos 的任何功能的加密密碼提供支援。（AES 加密應用於 BitLocker）

工具

1. TestSprite : AI 驅動的自動化測試平台
2. google osv-scanner : Release v2.0.0-rc1

漏洞

1. golang
2. 1. golang.org/x/oauth2 : CVE-2025-22868，CVSS 7.5，Unexpected memory consumption during token parsing
   2. golang.org/x/crypto : CVE-2025-22869，CVSS 7.5，Potential denial of service(golang.org/x/crypto/ssh)
2. Elastic修補Kibana危險程度近乎滿分的漏洞 : RCE ，CVE-2025-25015，Kibana發布安全性更新8.17.3版，CVSS : 9.9
3. Apache Tomcat Potential RCE  : CVE-2025-24813, CVSS : 8.6 ,受影響的有 Tomcat v9, v10, v11，前提:如果為預設servlet 啟用了寫入功能， Patches available  
4. nginx Infinite loop: 影響版本: 1.34.2之前，可能造成 infinite loop and cause an increase in CPU resource utilization 甚至 Dos , CVE-2025-1695 CVSS : 8.6
5. VMware ESXi、Workstation、Fusion的零時差漏洞
   - CVE-2025-22224,CVSS: 9.3 (Time-of-Check Time-of-Use (TOCTOU) vulnerability 全球尚有近 4.15 萬臺掛在網際網路上的 ESXi 執行個體尚未修補)
   - CVE-2025-22225，CVSS: 8.2 (Write-what-where Condition )
   CVE-2025-22226 : CVSS 7.1
6. PHP已知CGI漏洞出現攻擊行動，駭客針對日本科技公司、電信業者 : 戴夫寇爾揭露PHP程式語言重大層級漏洞CVE-2024-4577，此漏洞存在於CGI參數而有機會被用於注入攻擊，使得攻擊者能藉此用於遠端執行任意程式碼（RCE），如今傳出有人將此漏洞用於攻擊日本
7. AMD Zen CPU EntrySign漏洞(CVE-2024-56161) : (CVSS , 7.2)可以偽造 RSA 公鑰和簽章允許修改 CPU 行為。根據 google 最新Zen and the Art of Microcode Hacking - Google Bug Hunters 有2錯誤
   (1) AMD 使用 AES-CMAC 當作 HASH Function
   (2) AMD 使用 NIST 文件中的附錄中的範例 Key 當作真正產品的 Key
   We noticed that the key from an old Zen 1 CPU was the example key of the NIST SP 800-38B publication (Appendix D.1 2b7e1516 28aed2a6 abf71588 09cf4f3c) and was reused until at least Zen 4 CPUs. Using this key we could break the two usages of AES-CMAC: the RSA public key and the microcode patch contents. 

AI 動態

1. Agentic Document Extraction : Landing AI 的全新 PDF 內容提取方法 Agentic Document Extraction，超越傳統 OCR 技術，傳統 OCR 技術僅能擷取文字，而 ADE 可以同時擷取文字、表格、勾選框、流程圖…等視覺元素，能精確定位文件中的視覺元素、文字
2. Mistral 推出 Mistral OCR ： 精準解析文件中的文字、表格、圖片、數學公式，將各種文件統一格式，如科學論文、LaTeX 格式、表格、數學公式、內嵌圖片等複雜文件
3. Microsoft 醫療領域的語音 AI 助理 Dragon Copilot：目前全球醫護人力短缺，醫療系統也都開始積極採用 AI 技術。Microsoft Dragon Copilot 將於 5 月在美國、加拿大正式上市
4. Meta 最新研究：用「大腦訊號」就能打字 :  Brain2Qwerty，不需要進行侵入式手術，就能夠根據大腦發出的訊號，解讀使用者想要打出的句子。目標是恢復溝通：透過這項技術，未來可以為無法說話、行動的患者提供更安全、便利的醫療方案，讓他們無需侵入式手術，就能恢復溝通。
5. OpenAI 計畫推出每月最高 $20,000 美元的 AI Agent (類員工):
6. 1. $2,000/月：商業專業人士、高收入知識工作者專用的 AI
   2. $10,000/月：進階軟體開發者專用
   3. $20,000/月：支援博士級研究
6. 繼 DeepSeek 後，又一個中國 AI 團隊爆紅 Manus 通用AI:
7. 1. The General AI Agent = DeepResearch + Operator + Claude 
   2. 多元輸出結果：格式如文件、圖表、PPT，甚至是 App、網頁、Podcast
   3. 如股票分析、篩選履歷、房地產研究…
7. Manus 補充 1 : Manus 推出 3小時 後開源就出2個替代品Open Manus, Owl by CAME
   Manus 補充 2 : Manus 被越獄找到背後程式碼、Prompt : jianxliao 請 Manus 列出在 "/opt/.manus/" 的檔案，就成功獲得 Manus 沙盒測試程式碼 重播過程

科技動態

1. A 10x Faster TypeScript ： 原本用 node.js 跑的，將 TypeScript 編譯器移植到原生程式碼 (Golang)，帶來 10 倍效能提升，影響VS Code,Playwright, TypeORM, rxjs ，其 source
   ( 微軟選擇 golang 而不是 C# 作為 TS 的編譯器，這對C#團隊 ..... )
2. Wiki - HypeCycles : 過去30年主要的炒作技術

• • • 1998-2001: Dotcom Bubble. (www)
    • 1999-2006: Java
    • 2004-2007: Web 2.0
    • 2007-2010: The Cloud
    • 2010-2015: Social media
    • 2012-2015: Internet of Things
    • 2013-2015: Big Data
    • 2017-2021: Blockchain
    • 2021-present: AI