2025.10 Notes #37

資安動態

1. 單點故障 資料無備份全燒光！南韓情報資源管理院大火「G槽受損」 19.1萬公務員受影響 :
   a. 南韓國家資訊資源管理院（NIRS）9月26日發生大火 (起因爲電池)，其中一台專門儲存74個政府機關公務員雲端文件的伺服器 -? 雲端儲存平台「G槽」（G Drive），為此次96個被燒毀的系統之一，完全沒有外部備份，G Drive 存有約858TB的資料，若以1TB相當於26億張A4文件換算，此次損毀相當於約2.23兆張A4紙(八年工作資料已徹底消失) -> 沒有備援, 沒有資料備份 -> 全國的行政數據危機
   ( 政府曾要求所有工作資料須統一存至 G-Drive，不得留存在辦公室電腦 )
   b. 647項政府服務無法使用，包含官方電子郵件與行動身分識別系統(含郵政、金融、稅務、申領證件)，對民眾生活與行政運作影響甚鉅 目前仍難以預估全面恢復的時間( 25/10/2日恢復率為15.6%)
   c. 南韓政府已選定一家雲端公司，將被燒毀的96個系統遷移至大邱的一個數據中心，作為未來的替代方案
   d. 應用 :目前南韓郵政購物中心，入駐商戶損失估算達 126 億韓元
   AUTH 相關: 網路商城無法登入 民間銷售管道全部封死,
   e. 調查人員在調查起火原因時發現，數據中心使用的 LG Energy Solution 鋰電池已使用了超過十年，保固期為 2024 年 6 月。當時 LG Energy Solution 已建議南韓政府盡快更換，但政府卻無視風險，未有落實換電計劃。(UPS建議的8至10年使用週期)
   f. 應預防卻未預防的重大疏失，兩層沒有被火災波及的電腦室另有551個系統，但是也需要在進一步檢查後才能夠重啟，南韓總統表示 「如此重要的國家網路中心應該要有兩套系統，可以在遭到外力損傷時可以立刻啟動備援系統，但是這第二套系統看來從未存在。」
2. 強化臺灣產品資安，資安院漏洞獵捕計畫正式推出 :
   - 數位產業署將鼓勵共同供應契約廠商從明年起依機關要求提供SBOM表，使軟體產品開發過程更加透明化
   - 由企業廠商（藍隊）提供產品測試標的、白帽駭客（紅隊）挖掘漏洞、資安院測試團隊（綠隊）負責確保網路與測試場域順利運作，資安院裁判團隊（紫隊）審核通報結果與獎勵分配。
   - 藍隊（電子產品製造品牌廠商）報名期間將9月25日到10月27日，活動正式開始時間為12月1日到明年1月31日。
   - 這是資安院第一次舉辦，目前先聚焦電子產品製造品牌廠商，之後舉辦將納入軟體開發業者。
3. 中國宇樹AI機器人存在資安漏洞UniPwn，攻擊者不僅能完全存取，還能透過藍牙進行自動感染 :
   - 寫死的加密金鑰、身分驗證繞過，以及未適當清理可被用於命令注入
   - 能自我擴散（Wormable），只要其他曝險的機器人在藍牙能夠存取的範圍
   - 人形的 G1、H1，G1 每 5 分鐘就會乖乖把資料送到中國伺服器
4. 微軟、Palo Alto Networks、SentinelOne宣布退出MITRE資安評測，引發外界質疑測試機制失焦

工具

1. PostgreSQL 18 Released! :非同步I/O（AIO）功能
2. Beyond Sandbox Domains Rendering Untrusted Web Content with SafeContentFrame - Google Bug Hunters：
   - SafeContentFrame is a client-side TypeScript library
   - PSL domain – usercontent.goog placing *.usercontent.goog onto the Public Suffix List (PSL).
3. microsoft sbom-tool：v4.1.2
4. google osv-scanner : Release v2.2.3 · Feature #2203 Update osv-scalibr to 0.3.4 for improved dependency extraction
5. 2025年10月7日  Synology 儲存系統硬碟相容性政策常見問題 Synology 終於「解禁」第三方硬碟了僅維持了過去 6 個月的限制，最新釋出 DSM 7.3＋ 系統中，今年推出的 25 系列 NAS 終於恢復支援 Seagate、WD 等品牌硬碟，不再限用自家品牌硬碟，也不會再跳出惱人的「未經驗證硬碟」警告 (檢查是否 DSM 7.3＋)
6. 微軟宣布電腦版及網頁版收信軟體Outlook將導入新措施，不再顯示信件內文當中的SVG圖片

資安故事線

1. Qualcomm to Acquire Arduino—Accelerating Developers’ Access to its Leading Edge Computing and AI Qualcomm （全商業 vs 教學）
2. Major technological innovation beyond 2030 --- PwC analysis, page 81, Semiconductor and beyond 2026 PDF

1. X (技術可行性：往右代表技術成熟性，Y 軸（市場潛力): 越往上代表可能帶來更多半導體與產業需求。 CAGR to 2030
2. 泡泡大小：代表近五年投入的資金規模
3. 科技區分：越右上角的核心科技，越兼具最高可行性與最大市場潛力
4. Advanced AI(先進 AI)、Driverless(自駕)、Humanoid robot(人形機器人)、Brain–computer interface（腦機介面）Quantum Computing(量子計算)
5. 左下角技術挑戰極大 : Quantum Communication(量子通訊)難以商業化、而 Quantum Computing(量子計算) 在一點右上角算是有機會商業 - Maglev Train（磁浮列車）- Artificial Photosynthesis（人工光合作用）- Space Elevator（太空電梯）- Next Generation Renewable Energy（下一代再生能源）
6. 現在新型核分裂核融合的話題中的 Nuclear fusion (核融合)被視為技術成熟度較低，市場潛力龐大，太空探索(Space exploration) 也是

資安事件

1. Red Hat傳出GitLab平臺遭到入侵，恐洩露客戶網路環境相關資料：
   a. Red Hat證實確實有資料外洩的情況，入口發生在他們其中一個GitLab實體（instance）
   b. 兩週前入侵Red Hat，並在該公司的程式碼及CER資料當中找到憑證、資料庫的URI，以及其他內部資訊，他們用來入侵Red Hat的下游客戶的基礎設施
   c. 駭客成功竊取 Red Hat 近 570GB 的壓縮資料，涵蓋約 28,000 個內部開發儲存庫，也在Telegram頻道公布這批資料的資料庫列表，內含2020年至2025年的CER名單，其中包含廣泛的美國知名企業組織及政府機關，例如：美國銀行、 T-Mobile、AT&T、富達投信（Fidelity）、Walmart、好市多（Costco），以及聯邦航空總署、美國眾議院
2. Google：駭客向企業高層寄勒索電郵: 多家企業高層收到聲稱來自 Clop 勒索集團 的郵件，內容指控他們已經入侵 Oracle E-Business Suite，竊取了大量敏感資料
   a. 9 月底展開，來自大量遭入侵的電子郵件帳號
   b. Oracle 表示，攻擊者可能利用了 2025 年 7 月安全更新中已修補的漏洞，並再度強調「立即PATCH」的重要性
   c. 漏洞修補延遲 = 被勒索的入口，立即檢查 Oracle E-Business Suite 是否應用了 7 月的安全更新
3. 英國雲端巨頭 Salesforce 遭駭　10億筆客戶資料外流 : 攻擊並非直接駭入Salesforce，而是透過「vishing」語音釣魚手法，假冒員工致電IT服務台，藉此誘騙目標企業安裝惡意工具。 (透過 Salesforce 遭到入侵的公司，並點名 39 間)
   - 如 Salesforce付款，Salesforce的客戶就無需付款。但若在10月10日以前未接到Salesforce支付贖款，就會公布這些資料
   - 如 Salesforce 不付款，他們將與客戶合作，就最近的資安事件對Salesforce提起訴訟。AppOmni技術長Brian Soby說，這是第一次駭客藉由官司壓力迫使受害原廠付贖金
4. 親俄駭客入侵台灣加油站　27分鐘「無痕滲透」影片曝光 : 駭客組織成功入侵嘉義一家加油站的POS（銷售點）系統，並將此行動形容為「一次安靜而精準的滲透演習」。 駭客同時上傳一段長達27分鐘影片，作為「技術展示」與入侵證據，內容疑似包含系統介面操作與網路環境的部分畫面，企圖藉此彰顯該組織實際控制能力。從一名內部員工的終端設備滲透進入 POS 系統，成功「熟悉內部運作流程」，甚至啟用俄文操作介面作為「紀念標記」。整起行動在不中斷服務的情況下完成，駭客自誇為「最乾淨的入侵示範」。記者致電遭駭客入侵的加油站，站內人員表示不知道POS 系統遭駭客入侵，將立即請示總公司如何處置。事後加油站人員回覆：「總公司不接受採訪。

漏洞

1. (25/07/03 有提過一次) sudo linux 提權到 Root : run arbitrary commands as root, even if they are not listed in the sudoers file www.sudo.ws/security/advisories/
   - EUVD-2025-19673, CVE-2025-32463,  , 9.3 CRITICAL allows local users to obtain root access because /etc/nsswitch.conf from a user-controlled directory is used with the --chroot option.
   - 25/10/01美國 CISA 已將 Sudo 漏洞列入「已知被利用漏洞 (KEV)」名單，並要求聯邦機構在 10 月 20 日前完成修補或停用。( sudo在chroot環境當中以root權限處理特定的組態檔案/etc/nsswitch.conf，使得攻擊者有機會惡意操控，並載入自製的.so程式庫檔案)
2. redis trigger a use-after-free condition RCE
   EUVD-2025-32326 , CVE-2025-49844 9.9 Critical, An authenticated attacker with low-privilege access can potentially: - Execute arbitrary code remotely on the Redis server - Compromise the confidentiality, integrity, and availability of the system - Gain unauthorized access to sensitive data - Potentially take complete control of the affected Redis instance
   FIXED: v8.0.4，v8.2.2+
3. GitLab
   CVE-2025-9642 , 8.7 High  allow an attacker to inject malicious content that may lead to account takeover.
   Fexed: 18.4.1, 18.3.3, 18.2.7

AI

1. 加州正式成為全美首個要求AI公司揭露安全測試制定的州別
2. OpenAI DevDay 2025 ChatGPT Apps 需要審核上架，年底才開放能用
   Codex GA、Slack 整合、Codex SDK GPT-5 Pro API, Sora 2 API, Realtime mini 模型

科技動態

1. Google證實Android for PC明年推出 : 7月「將ChromeOS與Android整合為單一平臺」後，上周現身高通於夏威夷舉行的Snapdragon 高峰會，在開幕演說中證實，可執行於筆電的Android即將完成