2025.03 Note #23
avatar-img
subzero

2025.03 Note #23

更新於 發佈於 閱讀時間約 8 分鐘

資安動態

  1. 國家資安韌性,國家資通安全戰略2025即將正式公布
  2. Alphabet再度開價欲以300億美元買下Wiz : Alphabet在去年打算以230億美元收購雲端資安新創Wiz未果之後,Alphabet再度對Wiz祭出收購提議,此次的價碼提高至300億美元,彭博社(Bloomberg)則說是330億美元
  3. 攻擊馬偕、彰基的CrazyHunter再度犯案,鎖定臺灣上市公司科定 : 聲稱他們加密了受害者所有的系統,包含Hyper-V、NAS、Vmware與Veeam的備份,並竊取了15 TB的資料,包含檔案伺服器資料、CRM、BPM、EIP、SAP、生產圖紙、客戶資料等其他敏感資料,要脅受害者與他們聯繫,否則將在24小時後揭露1 TB資料
  4. 更新- 醫院面對勒索軟體攻擊的應變指南v1.1版|衛生福利部 : 3/20 更改
  5. 陸資新加坡商承接國泰世華信用卡系統 經濟部開罰217萬 :經過調查確認「認和科技」陸資具有控制力,確實為陸資公司,將依照兩岸人民關係條例第93條之1規定處以217萬元罰鍰。
  6. 群暉公布去年Pwn2Own找到的NAS重大漏洞細節,並指出若不處理攻擊者有機會發動RCE攻擊 破例為EOL 的DSM 6.2版提供修補,存在於7.2版以上版本的DSM,以及BeeStation Manager(BSM)
  7. 駭客聲稱握有600萬筆Oracle雲端服務資料,該公司表示客戶資料並未外流
    - 內容包含加密的SSO密碼、Java Keystore檔案(JKS)、金鑰檔案,以及企業管理者的JPS金鑰。他們聲稱在40天前取得Oracle Cloud的存取權限,並在偷到資料後,向Oracle勒索10萬門羅幣(XMR)
    - 駭客很有可能是利用CVE-2021-35587而得逞,此漏洞存在於OpenSSO代理程式元件Oracle Access Manager,CVSS風險為9.8分

工具

  1. PGSync 4.0: syncing data from Postgres to Elasticsearch or OpenSearch
  2. google/osv-scanner : v2.0.0 :
    1. 整合了 OSV-SCALIBR 庫(Enhanced Dependency Extraction),包括 .NET、Python、JavaScript 和 Haskell
      • Haskell: cabal.project.freezestack.yaml.lock
      • .NET: deps.json
      • Python: uv.lock
      • Artifacts: node_modules, Python wheels, Java uber jars, Go binaries
    1. 互動式 HTML 輸出:以更清晰、更易於操作的方式呈現漏洞掃描資訊
    2. Maven pom.xml 的引導式修復:透過智慧地建議優先順序、目標升級和提供靈活的策略,簡化漏洞管理
    3. 支援容器映像掃描

漏洞

  1. GitLab 修補9項漏洞 ; 針對社群版(CE)及企業版(EE發布安全更新17.9.2、17.8.5、17.7.7版,修補9項漏洞,其中被列為重大層級的CVE-2025-25291、CVE-2025-25292. (CVSS: 8.8) 緩解措施 : 啟用 2FA
  2. Visual Studio 權限提高弱點 :CVE-2025-25003 CVSS: 7.3,Microsoft Visual Studio 2019 / 2022 
  3. AIX遠端指令執行漏洞 : 二項漏洞影響AIX 7.2及7.3版
    CVE-2024-56346CVSS: 10
    CVE-2024-56347,CVSS: 9.6
  4. Tomcat漏洞揭露30小時後出現PoC,已被用於實際攻擊 : 高風險資安漏洞CVE-2025-24813 (兩週前即揭露)
  5. VMware Tools authentication bypass vulnerability :CVE-2025-22230 CVSS : 7.8 allows a non-administrative user on a guest VM to perform high-privilege operations within the VM. VMware Tools for Windows contains an authentication bypass vulnerability due to improper access control.   
    Fixed Version 12.5.1 release
  6. org.keycloak/keycloak-services : CVE-2025-2559,unbounded token caching ! JWT Token Cache Exhaustion Leading to Denial of Service (DoS) in Keycloak , CVSS: 4.9
  7. Kubernetes ingress-nginx 存在多個重大資安漏洞 影響版本 ingress-nginx 1.11.0 之前版本 , v1.11.0 - 1.11.4, v1.12.0. Fixed Versions v1.11.5 v1.12.1
    - CVE-2025-24514,CVSS:8.8 auth-url的註解可注入至nginx,可能導致在ingress-nginx控制器的上下文中 arbitrary code execution
    - CVE-2025-1974,CVSS:9.8 : 允許未經過身分驗證的攻擊者可存取Pod網路,在ingress-nginx控制器的上下文中arbitrary code execution
    - CVE-2025-1097,CVSS:8.8 : auth-tls-match-cn的註解可注入至nginx,可能導致在ingress-nginx控制器的上下文中 arbitrary code execution
    - CVE-2025-1098,CVSS:8.8: mirror-target和mirror-host的註解可注入至nginx,可能導致在ingress-nginx控制器的上下文中arbitrary code execution

科技動態

  1. TypeScript 跟 C# 的作者在影片表示為什麼要使用Go 重構 TSC 而不是 C# or Rust
    1. 在 v7 中採用此版本
    2. VS Code,PlaywrightTypeORMrxjs  等將有 10x 的提升
  2. Chrome改用Rust重寫字型處理函式庫Skrifa,取代FreeType提升安全性
  3. Microsoft 收費版的 Notepad and Paint:Windows 11 最新一次的更新,月费9.99美元( $99.99/year)
    • AI rewriting of text selections.
    • AI generation of alternative versions of text selections, with different formatting, tone, and more.
    • AI shortening or lengthening of text selections.

AI 動態

raw-image
  • Figure 成立機器人製造機器人的工廠 : 機器人自動化製造工廠 BotQ,每年能生產 12,000 台人型機器人
  • NVIDIA個人AI超級電腦「DGX Spark」,即日起開放預購,售價3,999美元,最快將於2025年5月開始出貨。約一個手掌大小 1.2公斤,是目前全球體積最小的AI超級電腦,高階版內建4TB儲存空間
avatar-img
subzero
4會員
28內容數
資安, 科技, AI, 醫療的筆記本
留言
avatar-img
留言分享你的想法!
subzero 的其他內容
2025/04 資安/ AI / 科技 動態
科技/AI/資安/漏洞動態
2025/04 資安/ AI / 科技 動態
科技/AI/資安/漏洞動態