2025.03 Note #23

資安動態

1. 國家資安韌性，國家資通安全戰略2025即將正式公布
2. Alphabet再度開價欲以300億美元買下Wiz : Alphabet在去年打算以230億美元收購雲端資安新創Wiz未果之後，Alphabet再度對Wiz祭出收購提議，此次的價碼提高至300億美元，彭博社（Bloomberg）則說是330億美元
3. 攻擊馬偕、彰基的CrazyHunter再度犯案，鎖定臺灣上市公司科定 : 聲稱他們加密了受害者所有的系統，包含Hyper-V、NAS、Vmware與Veeam的備份，並竊取了15 TB的資料，包含檔案伺服器資料、CRM、BPM、EIP、SAP、生產圖紙、客戶資料等其他敏感資料，要脅受害者與他們聯繫，否則將在24小時後揭露1 TB資料
4. 更新- 醫院面對勒索軟體攻擊的應變指南v1.1版｜衛生福利部 : 3/20 更改
5. 陸資新加坡商承接國泰世華信用卡系統 經濟部開罰217萬 ：經過調查確認「認和科技」陸資具有控制力，確實為陸資公司，將依照兩岸人民關係條例第93條之1規定處以217萬元罰鍰。
6. 群暉公布去年Pwn2Own找到的NAS重大漏洞細節，並指出若不處理攻擊者有機會發動RCE攻擊 破例為EOL 的DSM 6.2版提供修補，存在於7.2版以上版本的DSM，以及BeeStation Manager（BSM）
7. 駭客聲稱握有600萬筆Oracle雲端服務資料，該公司表示客戶資料並未外流 ：
   - 內容包含加密的SSO密碼、Java Keystore檔案（JKS）、金鑰檔案，以及企業管理者的JPS金鑰。他們聲稱在40天前取得Oracle Cloud的存取權限，並在偷到資料後，向Oracle勒索10萬門羅幣（XMR）
   - 駭客很有可能是利用CVE-2021-35587而得逞，此漏洞存在於OpenSSO代理程式元件Oracle Access Manager，CVSS風險為9.8分

工具

1. PGSync 4.0: syncing data from Postgres to Elasticsearch or OpenSearch
2. google/osv-scanner : v2.0.0 :
3. 1. 整合了 OSV-SCALIBR 庫(Enhanced Dependency Extraction)，包括 .NET、Python、JavaScript 和 Haskell
   • • Haskell: cabal.project.freeze, stack.yaml.lock
     • .NET: deps.json
     • Python: uv.lock
     • Artifacts: node_modules, Python wheels, Java uber jars, Go binaries
   1. 互動式 HTML 輸出：以更清晰、更易於操作的方式呈現漏洞掃描資訊
   2. Maven pom.xml 的引導式修復：透過智慧地建議優先順序、目標升級和提供靈活的策略，簡化漏洞管理
   3. 支援容器映像掃描

漏洞

1. GitLab 修補9項漏洞 ; 針對社群版（CE）及企業版（EE）發布安全更新17.9.2、17.8.5、17.7.7版，修補9項漏洞，其中被列為重大層級的CVE-2025-25291、CVE-2025-25292. (CVSS: 8.8) 緩解措施 : 啟用 2FA
2. Visual Studio 權限提高弱點 ：CVE-2025-25003 CVSS: 7.3，Microsoft Visual Studio 2019 / 2022 
3. AIX遠端指令執行漏洞 ： 二項漏洞影響AIX 7.2及7.3版
   CVE-2024-56346 ，CVSS: 10
   CVE-2024-56347，CVSS: 9.6
4. Tomcat漏洞揭露30小時後出現PoC，已被用於實際攻擊 : 高風險資安漏洞CVE-2025-24813 (兩週前即揭露)
5. VMware Tools authentication bypass vulnerability ：CVE-2025-22230 CVSS : 7.8 allows a non-administrative user on a guest VM to perform high-privilege operations within the VM. VMware Tools for Windows contains an authentication bypass vulnerability due to improper access control.   
   Fixed Version 12.5.1 release
6. org.keycloak/keycloak-services : CVE-2025-2559，unbounded token caching ! JWT Token Cache Exhaustion Leading to Denial of Service (DoS) in Keycloak , CVSS: 4.9
7. Kubernetes ingress-nginx 存在多個重大資安漏洞 影響版本 ingress-nginx 1.11.0 之前版本 , v1.11.0 - 1.11.4, v1.12.0. Fixed Versions v1.11.5 v1.12.1
   - CVE-2025-24514，CVSS：8.8 auth-url的註解可注入至nginx，可能導致在ingress-nginx控制器的上下文中 arbitrary code execution
   - CVE-2025-1974，CVSS：9.8 : 允許未經過身分驗證的攻擊者可存取Pod網路，在ingress-nginx控制器的上下文中arbitrary code execution
   - CVE-2025-1097，CVSS：8.8 : auth-tls-match-cn的註解可注入至nginx，可能導致在ingress-nginx控制器的上下文中 arbitrary code execution
   - CVE-2025-1098，CVSS：8.8: mirror-target和mirror-host的註解可注入至nginx，可能導致在ingress-nginx控制器的上下文中arbitrary code execution

科技動態

1. TypeScript 跟 C# 的作者在影片表示為什麼要使用Go 重構 TSC 而不是 C# or Rust
2. 1. 在 v7 中採用此版本
   2. VS Code,Playwright, TypeORM, rxjs  等將有 10x 的提升
2. Chrome改用Rust重寫字型處理函式庫Skrifa，取代FreeType提升安全性
3. Microsoft 收費版的 Notepad and Paint：Windows 11 最新一次的更新，月费9.99美元( $99.99/year)

• • AI rewriting of text selections.
  • AI generation of alternative versions of text selections, with different formatting, tone, and more.
  • AI shortening or lengthening of text selections.

AI 動態

• Measuring AI Ability to Complete Long Tasks : AI Agent 獨立完成的任務長度，大約每 7 個月就會翻倍一次

• 中國 - 人工智能生成合成內容標識辦法 : 中國要求標記由AI生成的內容，該辦法即將於今年9月1日實施，同一天實施的配套技術措施為《網路安全技術人工智能合成內容標識方法》。
• 完全由 AI 撰寫的科學論文通過審查 : Sakana AI Scientist-v2 完整生成「科學論文」，無人為修改，在國際頂級機器學習會議 ICLR 2025 Workshop 通過同行評審提交 3 篇由 AI 全生成的論文，所有論文從構思、實驗、程式碼、數據分析、圖表製作到全文撰寫均由 AI 自動完成
• Walk, Run, Crawl, RL Fun | Atlas 波士頓動力 : 這種機器人又更逼真了，攻擊它肝臟/下檔/喉嚨都沒有效。

• Figure 成立機器人製造機器人的工廠 : 機器人自動化製造工廠 BotQ，每年能生產 12,000 台人型機器人
• NVIDIA個人AI超級電腦「DGX Spark」，即日起開放預購，售價3,999美元，最快將於2025年5月開始出貨。約一個手掌大小 1.2公斤，是目前全球體積最小的AI超級電腦，高階版內建4TB儲存空間