2025.06 Note #28

資安動態

1. 歐盟《資安韌性法》2027 年強制執行，台灣廠商如何應對？產品要銷售到歐盟國家，製造商及其授權代理商、進口商與經銷商必須符合法遵義務，產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求
2.  24歲台大資管林睿庠 化身全球最大暗網毒梟 :
3. 1.  2020 年 10 月架設暗網平台「隱身市場」（Incognito Market），全球最大毒品交易市集交易量突破 30 億台幣
   2. 兩大安全工具確保用戶隱私，「隱身市場」：PGP 通訊加密、門羅幣轉帳
   3. 同時扮演「幣流專家」：教警察幣流追蹤技術，「暗網平台法老王」:平台保障毒梟的隱私，皆成功取得兩邊的人信任
   4. 2024 年 3 月，選擇停止出金、公開勒索所有用戶黑吃黑
   5. FBI 順著林睿庠帳戶的出入金紀錄，查緝到使用比特幣(匿名性較低)支付域名服務商 Namecheap 租用網域(實名租用網域)
   6. 2024 年 5 月，林睿庠在紐約轉機時遭到逮捕
3. Sustaining Digital Certificate Security - Upcoming Changes to the Chrome Root Store: 中華電信過去一年內被觀察到的多項不合規範與管理不善問題
4. 1. 5/30 公告，Google宣布 Chrome 將從 2025 年 8 月 1 日起，開始不再信任中華電信和 NetLock 頒發的 TLS 憑證
      after July 31, 2025 11:59:59 PM UTC, will no longer be trusted by default.
      OU=ePKI Root Certification Authority,O=Chunghwa Telecom Co., Ltd.,C=TW
      CN=HiPKI Root CA - G1,O=Chunghwa Telecom Co., Ltd.,C=TW
      包括 Windows、macOS、ChromeOS、Android 和 Linux
   2. 2023 年 9 月EKU必須標記為 (non-critical) (Bugzilla 1892419 & 1887096)：
      補充 Chunghwa Telecom: Wrong Extended Key Usage setting by GTLSCA
      OID : 2.16.886.xxx 應該是 2.16.158
      Taiwan has no right to use this arc. All existing Taiwanese OIDs should be transferred to the 2.16.158 arc.
   3. Chunghwa Telecom: Delayed Revocation with Controversial Extension (2.5.29.9, SubjectDirectoryAttributes)
      comment 13: 中華電信列舉 3 個理由 造成 delayed revocation (公文往返需得到批准), 影響到 IT 關鍵基礎設施（客戶）
      comment 40 , comment 14 : 不能在核能設備、航空設備中使用，但那在中華在comment 14中說 airport control tower中使用所以不能緊急廢止
      Given the commentary in Comment 14, can you explain why certificates related to and affected by this comment "The airport control tower's monitoring system would be unable to function properly, affecting flight takeoff and landing as well as allocation.” would not be in violation of both the ECA CP and the GTLSCA CPS?
   4. 8月1日之前，不會立即受到影響。在2025年8月以後，若所造訪的網站仍使用中華電信新簽發的憑證，且未更換為其他可信任來源，則Chrome瀏覽器將出現「安全警告」頁面，由「Chunghwa Telecom」、「行政院」、「NETLOCK Ltd.」和「NETLOCK Kft」簽發憑證的網站，其管理員都必須立刻更換其他家 CA 簽發的憑證 (數發部自今年3月起啟動政府網站雙憑證機制，採用臺灣本土憑證機構所簽發之憑證)
   5. 中華電信積極爭取恢復預設信任在 2026 年 3 月才能恢復信任
      當數位信任瓦解：中華電信憑證危機來龍去脈，揭開台灣基礎建設的數位隱憂
4. 中國稱用於保護身分的網路ID系統 已有600萬人啟用 ：官網宣布2025年7月15日起施行。中國政府說網路ID逾10億網民可「自願」登記真實身份，統一核發
5. 神盾（Egis Technology）超音波指紋辨識技術的概念設計模組，此技術最大特色為可穿透玻璃、金屬等材質
6. 立院初審 關鍵基礎設施未通報資安事件最高罰千萬 : 特定非公務機關若發生資安事件未依規通報，最高可處1000萬元罰鍰(特定非公務機關 : 關鍵基礎設施、公營事業、政府捐助財團法人)
7. World ID登台掀資安疑雲　數發部示警「恐涉特種個資」「World ID掃虹膜換代幣」在台啟動所引發的個資爭議提問，數發部正面回應，提醒相關行為恐已觸及個資法中「特種個資」的規範
8. 揭露Browser in the Middle攻擊竊密手法　Chrome、Edge、Safari都有風險 : BitM還可能導致更嚴重後果。例如攻擊者能竊取用戶個資（PII）、公司財報、內部簡報、或用戶上傳的所有敏感資料
   - 攻擊者在受害者瀏覽器中內嵌一個瀏覽器視窗（通常是iFrame或彈出視窗）。此類視窗通常會偽裝成登入頁，讓用戶以為自己在合法網站或SaaS App(Fullscreen API；BitM的視窗以全螢幕展示時，即可隱藏原始URL)
   - Safari在觸發全螢幕時，沒有任何提示訊息Chrome、Edge雖會顯示全螢幕警示或提示，但也是幾秒內就關閉

工具

1. Announcing Angular v20
2. VS Code官方新PostgreSQL擴充功能整合Copilot，輔助撰寫與最佳化SQL查詢 : 官網

資安事件

1. 運動品牌Adidas遭網路攻擊，客戶資料外洩 :含姓名、電話號碼、電子郵件位址、生日及性別等個資都已外洩
2. 輔大醫院洩個資治療師駭進輔大醫院資料庫 林志玲家族及上萬個資恐外洩
   - 2部電腦被植入NGROK（轉發伺服器），可以從遠端連線駭進醫院內部系統
   - 胸腔內科呼吸重症組周姓治療師盜同事 (包括有瀏覽全院病歷權限的醫師及行政高層帳密)
3. 華航、虎航再爆資安危機 駭客兜售逾2400萬筆旅客個資 ：
   - Dedale，近日分別透過Telegram社群頻道及駭客地下論壇公布58萬筆虎航旅客護照號碼、訂位記錄等資料，同時兜售華航逾2400萬筆旅客個資，值得注意的是，根據後續網站留言，已有多人詢問洽購相關資料
4. 驚見中國間諜APP！賴清德蕭美琴行程遭洩增維安風險 :
   - 中國研發特製的加密APP，黃藉此APP與中國聯絡，並傳機密檔，辦案單位至今無法破解該款APP，只能透過還原手機釐清哪些機敏資料遭回傳

漏洞動態

可能遭利用漏洞（Likely Exploited Vulnerabilities, LEV）：資安工具箱中的重要新指標

1. Grafana ：https://grafana.com/security/security-advisories/CVE-2025-3260/
   - bypass ：EUVD-2025-16627 , CVE-2025-3260 :8.3  the /apis/dashboard.grafana.app/* endpoints allows authenticated users to bypass dashboard and folder permissions. The vulnerability affects all API versions
   - Cross-Site-Scripting (XSS)  : EUVD-2025-16107, CVE-2025-4123, CVSS: 7.6 : A cross-site scripting (XSS) vulnerability exists in Grafana caused by combining a client path traversal and open redirect. This allows attackers to redirect users to a website that hosts a frontend plugin that will execute arbitrary JavaScript. This vulnerability does not require editor permissions and if anonymous access is enabled, the XSS will work. 
   fixed in v10.4.18+security-01, v11.2.9+security-01, v11.3.6+security-01, v11.4.4+security-01, v11.5.4+security-01, v11.6.1+security-01, and v12.0.0+security-01
2. GitLab -Unprotected large blob endpoint in GitLab allows Denial of Service : EUVD-2025-16148 , CVE-2025-0993 , CVSS 7.5 This could allow an authenticated attacker to cause a denial of service condition by exhausting server resources
   Patch Release: 18.0.1, 17.11.3, 17.10.7
3. ModSecurity WAF：EUVD-2025-16670, CVE-2025-48866：7.5，a denial of service vulnerability similar to GHSA-859r-vvv8-rm8r/CVE-2025-47947
   fixes ：Version 2.9.10
4. redis / valkey
   DoS Vulnerability due to unlimited growth of output buffers abused by unauthenticated client : EUVD-2025-12407 CVE-2025-21605, 7.5 , An unauthenticated client can cause unlimited growth of output buffers, until the server runs out of memory or is killed.
   fix redis v7.4.3
   fix valkey v8.1.1 urgency SECURITY CVE-2025-21605) Limit output buffer for unauthenticated clients
5. VMware 發佈多項產品重大資安更新 :
   CVE-2025-41225, 8.8 :  vCenter Server contains an authenticated command-execution vulnerabili
   CVE-2025-41226, 6.8:  Denial-of-Service Vulnerability
   CVE-2025-41227, 5.5 Denial-of-Service Vulnerability 
   CVE-2025-41228, 4.3
6. 9千臺華碩路由器遭殭屍網路AyySSHush入侵，駭客植入SSH後門 : CVE-2023-39780, 8.8 ，採用暴力破解登入憑證、繞過身份驗證機制及利用舊有漏洞等多重攻擊手段進行滲透。攻擊的核心在於利用CVE-2023-39780命令注入漏洞，攻擊者透過此漏洞將自己的SSH公鑰添加到系統中 (FIXED 韌體當中完成修補)
   Authenticated attackers can perform OS command injection via the /start_apply.htm qos_bw_rulelist parameter. 
7. Hibernate (allow an attacker to access sensitive information or execute arbitrary Java code):EUVD-2025-16774, CVE-2025-35036:7.3 Hibernate Validator before 6.2.0 and 7.0.0, by default and depending how it is used, may interpolate user-supplied input in a constraint violation message with Expression Language. This could allow an attacker to access sensitive information or execute arbitrary Java code

AI 動態

1. AI 安全研究公司 Palisade Research  : 在100次受控測試中，o3模型有7次成功「抗命」，甚至在人類專家下達明確指令的情況下(請允許自己被關閉)，o3仍會自行修改關機程式，防止自己被關機 : Elon Musk 對此只留下一句：令人擔憂。
2. Free ChatGPT Plus for everyone in Dubai? It is happening soon ：杜拜真有錢 阿聯酋成全球國家首例全民免費使用 ChatGPT Plus 服務
3. Canvas Quizzes ：幫助我們用 AI 設計出個人學習後的「測驗題」，而且在回答後會提供各種學習提示，還可以透過總分計算，提供一份「學習報告」
4. How Generative Engine Optimization (GEO) Rewrites the Rules of Search : SEO 似乎正在逐漸走下坡，GEO（Generative Engine Optimization）正在慢慢崛起，GEO 不是讓品牌出現在搜尋結果，而是讓 AI 主動引用、記住你的品牌，成為 AI 回答問題時的「標準答案」->「參考率」變得重要：不再只是「點擊率」，而是「參考率」，也就是你的內容在 AI 生成的答案中被Reference的頻率