2025.07 Note #30

資安動態

1. AWS 開始賣憑證(AWS Certificate Manager introduces public certificates you can use anywhere) : valid for 395 days
   - $149 -> per wildcard name
   - $15 -> FQDN(Fully Qualified Domain Name)
2. Getting ready to issue IP address certificates -Let's Encrypt Community Support : available under the shortlived profile (which has a 6-day validity period) - 測試環境、IoT 裝置、內部服務或臨時服務 簡化部署流程
3. 揭露160億筆帳密資料外洩，疑透過竊資軟體收集、拼湊而成: 來自30個公開的資料庫，每個資料庫內含數千萬至35億餘筆記錄，來源疑似是透過竊資軟體（Infostealer）收集而得。 這項消息一出，引起許多資安專家提出警告，呼籲用戶最好儘速更換Google、臉書、Apple等各項網路帳號的密碼，並啟用多因素驗證（MFA）
4. 首例！高中生改悠遊卡編碼「無本儲值」再退費A數十萬 : 犯案的高中生，疑似上網買NFC讀寫器，破解晶片編碼位置，改寫金額，再拿去機台操作，半年多來成功刷退超過40次
   - 2010 年已經破解MIFARE Classic 所採用的 CRYPTO1 演算法 (開源工具 Proxmark3)
   - 悠遊卡公司目錢並未將系統全面升級保持新舊卡片並行
   - 改卡裡面的金額，直接拿悠遊卡去捷運站退款，不是消費
   - 加值紀錄在悠遊卡 server端，利用悠遊卡公司與捷運公司對帳的時間差
   - 悠遊卡的有效期限為20年，可進行展期，續卡可再使用5年
5. 勒索軟體Qilin提供加盟主法律咨詢服務，意圖向受害組織施加更多壓力 :駭客為加盟主（Affiliate）提供名為「呼叫律師（Call Lawyer）」的功能，藉由在談判過程為加盟主提供法律方面的協助，從而施加法律風險的壓力，目的是增加受害組織付錢的意願，而這樣的做法，在勒索軟體網路犯罪生態圈裡，可說是首見。
6. 65臺Exchange Server遭鎖定，駭客埋入鍵盤側錄工具，企圖挖掘用戶帳密資料: 駭客在這些郵件伺服器的Outlook Web Access（OWA）登入網頁植入惡意程式碼，目的是進行鍵盤內容側錄。值得留意的是，從受害規模來看，臺灣是最嚴重的國家之一，僅次於越南和俄羅斯
7. 加拿大以國家安全為由，終止海康威視當地業務，政府機關與國有企業停用該廠牌設備
8. 美國國會禁止公家裝置安裝WhatsApp
9. 新版NFC規格出爐，感測距離擴大4倍 : NFC 15版規格，將無接觸感測距離由0.5公分擴大為2公分，並可支援無線充電、數位支付以及產品永續利用等更多應用場景

資安事件

1. 逢甲大學：遭勒索病毒鎖定，已拿到10GB資料，包含一些程式碼、員工數據、學生付款紀錄、數據庫架構；若逢甲大學不回應Nova要求，10天之後，Nova將會對外公開部分資料。
2. 黑松遭駭公司內部郵件通訊錄遭網路入侵外流 : 公開一份 inotes.heysong.com.tw 的資料庫。丟出一份 .cs 檔案，大小只有225KB，卻包含黑松公司418筆內部帳號資訊：員工帳號、電子郵件、Notes 系統用戶端設定、電腦名稱、作業系統版本，甚至還有 HTTP 密碼的雜湊值。
3. 迪士尼史上最重大資安事件，64G樂園設計圖限期3天全公開 ：64GB有關「巴黎迪士尼」的內部資料，共有超過 39,000 個檔案，多為與巴黎園區建設、整修相關的設計圖、照片及工程圖紙等，其中包括逾4,000張樂園幕後照片與影片。重點項目「冰雪奇緣」的完整研究報告，這份PDF檔共計395頁，內容涵蓋總體設計圖、更細部的區域規劃以及電力與供水系統的配置計畫
4. 日本「大創」驚爆個資外洩 上萬名顧客、合作商、應徵者恐受害 ：一名員工誤將內部57個Google群組設為公開，導致約1萬筆個人與合作商資訊恐遭外洩，時間跨度長達4年半
5. 調查局偵破殯葬業者夥同駭客長期竊取消防局救護即時資訊案 : 每年駭進消防系統 3 千萬次搶生意救護車還沒來殯葬業者已到。業者取得相關出勤資訊後，由內部工作人員24小時排班檢視，若有重傷或到院前心肺功能停止（OHCA）之傷者資訊，便依照座標資訊搭配Google Map或「台灣即時影像監視器網站」，由業務員前往現場等候搶客，每月可多獲5至10件生命禮儀服務，領先同業，甚有葬儀社業者竟比救護車提早抵達現場遞送名片，令民眾頗感錯愕；另一方面，業者長期以駭侵手法竊資，每年連線逾三千萬次以上，亦嚴重危害公務機關資訊安全、資料保全及社會公益。
6. 資安守護者也淪陷！精誠遭駭牽動個資黑市價格
   - Gmail帳號約65美元，Facebook帳號約45美元，Netflix或Spotify等訂閱帳號價格落在10至15美元。PayPal等支付帳號若有餘額，價值可達200美元以上
   - 企業機密數據 : 一份公司內部的財務報告、技術文件，甚至客戶名單等，都可能以數千至數萬美元價格在暗網交易

工具

1. Download Windows 惡意軟體移除工具 (64-bit) from Official Microsoft Download Center ：2025/6/10  官方免費惡意軟體移除工具。MSRT 會尋找及移除威脅，並且恢復這些威脅所做的變更
2. Cursor on Web and Mobile : Cursor 宣布推出網頁、手機版的 Cursor Agent，隨時隨地都可以 Vibe Coding (背景自動完成任務)
   這樣的生活....

漏洞

1. ClamAV - PDF Scanning Buffer Overflow Vulnerability
   - EUVD-2025-18658, CVE-2025-20260: 9.8 CRITICAL: emote code execution -(RCE). Given that ClamAV is routinely used to process untrusted input (for example, email attachments and downloaded files), a malicious PDF document could trigger this vulnerability, allowing an attacker to execute arbitrary code on the system running ClamAV.
   FIXED : v1.4.3 v1.0.9
2. WinRAR  Directory Traversal Remote Code Execution目錄遍歷漏洞
   - CVE-2025-6218 , 7.8 High，該漏洞允許在解壓縮惡意檔案後執行惡意軟體並取得系統控制權。該漏洞在通用漏洞評分系統 (CVSS) 中的得分為 7.8 / 10，屬高風險等級。 WinRAR 7.11 或以前的 Windows 版本均受影響，包括了 Windows 平台上的 RAR、UnRAR 及 UnRAR.dll 程式庫都受到影響
   FIXED: v7.12
3. sudo linux 提權到 Root : run arbitrary commands as root, even if they are not listed in the sudoers file www.sudo.ws/security/advisories/
   - EUVD-2025-19673, CVE-2025-32463,  , 9.3 CRITICAL allows local users to obtain root access because /etc/nsswitch.conf from a user-controlled directory is used with the --chroot option.
4. IBM發布應用程式伺服器WebSphere更新，修補任意程式碼執行漏洞
   - EUVD-2025-19137, CVE-2025-36038, 9.0 CRITICAL，影響 v9.0和8.5版
5. Windows版TeamViewer存在高風險漏洞，攻擊者可利用SYSTEM權限刪除檔案 :
   - CVE-2025-36537, 7.0 High
   - 影響 TeamViewer Remote Full Client (Windows) < 15.67
   - 影響 TeamViewer Remote Host (Windows) < 14.7.48809
   FIXED : v15.67

AI 動態

1. 「法律版Google」Lawsnote侵權 創辦人重判4年賠1億 ：判處七法共同創辦人郭榮彥與謝復雅各4年、2年徒刑，2人並與七法應連帶賠償法源1億545萬餘元
   (這判決符合比例原則？)
2. 數據公司 Similarweb AI 程式工具（Vibe Coding 工具）的排名，其中 Lovable 流量最大。
   1) Lovable 2) Cursor (3). Replit. 4. Bolt：5 V0 6.Windsurf
3. AI search finds publishers starved of referral traffic : 研究顯示 AI 降低了原始網站的訪問流量，以 Google 的 AI 總結為例降低了 30%的流量(看來這趨勢只會更明顯)
4. Microsoft 推出 AI 醫生：診斷準確率是醫生的 4 倍 : MAI Diagnostic Orchestrator（MAI-DxO），能夠正確診斷 85.5% 的複雜病例 (有 5-20 年經驗的人類醫生平均只有 20% 的準確率)

科技

1. Portable Network Graphics (PNG) Specification (Third Edition) : 2025/06/25 , 22 年後的一次重大更新。v3 中，PNG 加入了三項新功能
   - 高動態範圍 (HDR) 影像
   - 動態 PNG（APNG）製作動畫
   - Exif 資料儲存
2. Swift程式語言將Android納入官方支援平臺 : 可望簡化行動程式開發人員同時建置iOS與Android程式的流程