2025.12 Notes #42

資安動態

1. How I discovered a hidden microphone on a Chinese NanoKVM ：
   - NanoKVM 定義 : 允許用戶通過網絡遠程控制另一台電腦，只需連接 HDMI 接口和 USB，無需在目標電腦上安裝軟體，即可透過網路操作遠端的機器的鍵盤與滑鼠
   - 應用場景 : 實驗室或企業機房遠端管理多台伺服器或舊電腦、無頭伺服器: 對沒有顯示器和鍵盤的伺服器進行維護
   - 這次被抓包中國製的 NanoKVM 上發現內藏麥克風以及監聽軟體，如 tcpdump (監聽封包的工具) 、 aircrack (破解 WiFi 密碼的工具) 、 amixer 以及 arecord 可以設定 & 錄音的工具
   ( NanoKVM 內藏麥克風，還藏的很深 !!!!!??????)
2. 南韓驚爆12萬台監視器畫面遭駭！非法「裸體、分娩影片」被流入中國 :
   針對事件，南韓政府強調市面上約八成的網路攝影機為中國製廉價產品，並啟動「IP Camera安全強化後續對策」，要求高風險場所使用通過安全認證的攝影機。
3. 2025 年 12 月 5 日 Cloudflare 服務中斷 :
   - Cloudflare 又大規模斷線，事件發生在 2025 年 12 月 5 日約從台灣時間下午4 點 47 分開始，持續約 25 分鐘
   - 嘗試偵測和緩解本週披露的 React Server Components 中的一個全產業範圍漏洞時，對我們的本體剖析邏輯做出變更所觸發
   - As part of our ongoing work to protect customers who use React against a critical vulnerability, CVE-2025-55182, we started rolling out an increase to our buffer size to 1MB, the default limit allowed by Next.js applications, to make sure as many customers as possible were protected.
   - 北韓有關的威脅行為者透過利用 React Server Components 中的關鍵React2Shell漏洞進行部署。這種針對Linux的植入程式透過安裝五種獨立的持久性機制來建立長期存取權限，並能在受感染主機上執行任意命令
4. 滿分資安漏洞React2Shell利用活動急速升溫 :
   - React開發團隊發布更新，修補CVSS風險高達10分的React伺服器元件（RSC）漏洞CVE-2025-55182（React2Shell），漏洞公布一週後，威脅出現急劇升溫的現象
   - 漏洞的攻擊者，主要鎖定特定地區或國家的網路環境，明確聚焦在臺灣、新疆維吾爾、越南、日本，以及紐西蘭，想要利用多種公開可用的工具、商用產品，企圖藉此找出具有高價值的應用程式伺服器，針對政府機關、學術研究機構，以及經營關鍵基礎設施的廠商，其中包含負責鈾、稀有金屬，以及核燃料進出口的政府單位。再者，駭客偏好針對企業採用的密碼管理工具與安全儲存庫，以及採用React為基礎開發的SSL VPN設備管理介面，藉此增加漏洞帶來的危害。
   - 盤點第三方軟體的 React / Next.js 版本並升級到已修補的版本
   - 檢查 Linux 上是否出現異常 cron、bashrc、systemd user service 或可疑隱藏目錄
5. Google暗網報告（Dark Web Report）工具將在2026年2月終止服務
6. 逾1萬個Docker Hub映像檔曝露憑證與API金鑰 ：
   外洩各類憑證關聯的Docker Hub帳號數量，其中最多的是和AI模型金鑰有關帳號，達191個，如Anthropic、Grok。其次是API Token，有157個。雲端類（AWS/Azure/GCP/RDS等）和存取憑證（如JWT、App Key、加密金鑰）關聯的數量各為127和103個。其他還有資料庫、CI/CD平臺（如GitHub、Docker）、通訊協同平臺（如Slack）、和第三方支付工具（如Stripe）等各數十個。
7. 中國超狂作弊集團「AI換臉」代考 逾百名公務員遭開除 : 製作融合考生與槍手臉部特徵的照片，用於線上報名與偽造身份證件，再由槍手持假證混入中國10多個省市考場，替考生應試公務員等多項國家級考試

工具

1. Microsoft sbom-too :Release v4.1.5
   - Bump component detection 更新到 6.2.1 
2. google osv-scanner : Release v2.3.1
3. CycloneDXcyclonedx-cli : Release 0.29.2
4. Go versions 1.25.5 and 1.24.11
   - CVE-2025-61729，crypto/x509: excessive resource consumption in printing error string for host certificate validation
   - CVE-2025-61727，crypto/x509: excluded subdomain constraint does not restrict wildcard SANs
5. Transparent Database Encryption for PostgreSQL: PostgreSQL extension that provides Transparent Data Encryption (TDE) to protect data at rest.
6. PGlite (Embeddable Postgres) :
   - full Postgres database locally in WASM with reactivity and live sync
   - a WASM Postgres build packaged into a TypeScript client library that enables you to run Postgres in the browser, Node.js, Bun and Deno, with no need to install any other dependencies
   - PGlite is single user/connection.
7. Progress on TypeScript 7 – December 2025 :
   TypeScript 7編譯速度可達10倍，v6.0 為最後JavaScript版，全面轉向Go原生實作的編譯器與語言服務

故事線

1. OWASP 2025年Web應用安全十大威脅揭曉，存取控制漏洞位居榜首 :
   - 正式公布
   第1名 : 存取控制漏洞（Broken Access Control）允許攻擊者繞過授權或未經授權存取
   第2名 : 安全配置錯誤（Security Misconfiguration）系統、應用程式或雲端服務設定不正確
   第3名軟體供應鏈缺失（Software Supply Chain Failures: 第三方軟體建置、分配或更新過程中出現中斷或其他問題
2. MITRE 於12/15日發布 2025 年度最危險軟體弱點 Top 25 排行榜

IBM推動雲端策略 傳砸3427億收購Confluen

AI

1. NBA開發AI指標「槓桿分數」 量化球員關鍵時刻貢獻 ：
   - 引力分數(Gravity）: 量化球員吸引防守的程度
   - 槓桿分數(Leverage Score）：不再只看單純得分數據，而是量化球員在關鍵時刻對球隊勝率的真實貢獻
   - 控球分數 (HandleScore) :讓「腳踝終結者」的球技也能轉化為具體數據指標
   NBA 與 AWS 宣布建立全新多年合作夥伴關係 共同推動籃球運動創新的新時代
2. OWASP公布AI代理的10大資安威脅
   一系列的指引供企業參考，內容涵蓋AI資安的治理、資安解決方案藍圖、安全AI代理應用程式實作指引，以及AI代理威脅與緩解手冊等
3. claude code, 被 agent 刪掉了整個 home 目錄 ( macos )，比之前的 D 槽還慘 https://www.reddit.com/....../claude_cli_deleted_my....../
   I was having the Claude CLI clean up my packages in an old repo, and it nuked my whole Mac! What the hell? Has anyone ever had this happen? I’m trying to figure out if this is even reversible. So much work lost..
4. My LG TV’s new software update installed Microsoft Copilot, which cannot be deleted
   - LG 的電視最近軟體更新被安裝了 微軟的 Copilot，而且無法刪除
5. OpenAI發表GPT-5.2 價格調高40%
6. Adobe（#ADBE）正式把 Photoshop、Adobe Express、Acrobat 三款重量級應用導入 ChatGPT。只要對 ChatGPT 說一句話，就能讓 Adobe

科技動態 

1. Advancing Microsoft 365: New capabilities and pricing update ：
   Office 365與Microsoft 365將全面導入更多AI，並將於7月調漲商用訂閱價格，漲幅介於0~33%之間
2. 澳洲列入FB、IG等10平台 正式禁止16歲以下未成年人使用社交媒體 ：
   澳洲成為全世界第一個禁止電子毒品 (社群媒體) 的國家
   12/10 日起正式實施未成年人社交媒體禁令，16 歲以下的未成年人將被禁止使用 IG、FB、TikTok、YouTube 、X 等 10 款社交媒體，成為全球首個禁止 16 歲以下未成年人使用主流社交媒體平台的國家
3. YouTube’s CEO is latest tech boss limiting his kids’ social media use
   內文提到YouTube的現任與前任 CEO、微軟 Bill Gates 與 Mark Cuban都幹了一樣的事情，禁止家裡的小孩使用社群媒體
   Several tech bosses have taken a similar approach. YouTube’s former CEO Susan Wojcicki, also barred her children from browsing videos on the app, unless they were using YouTube Kids. She also limited the amount of time they spent on the platform.
4. Google : CSS Wrapped 2025
   Chrome Team 的 2025年度總結
5. Linux基金會成立代理式AI基金會，收編三大標準
   - Anthropic’s Model Context Protocol (MCP)
   - Block’s goose
   - OpenAI’s AGENTS.md. 等三大代理式AI標準
6. 中研院攜手中油深鑽近4000公尺 發現高潛能地熱儲集層 :
   中研院+中油在鑽近4000公尺發現 #高潛能地熱儲集層中研院與中油在 #宜蘭員山 開鑽的全臺第一座「#深層地熱探測井」，近日已完成鑽探作業與地質及熱源綜合分析。這次試驗井首度深鑽至地下近4,000公尺，井底實測溫度接近攝氏150度，證實該區域地下存在上湧熱源，宜蘭平原北部的深層地熱具高度開發潛力，值得進一步深入探勘。希望儘速透過產官學研的共同努力，將 #深層地熱 發展成臺灣 #綠能轉型 的新生力量
7. 德國一州大舉「去微軟化」！省下 1.27 億元以外的數位主權考量
   法國 11 部委已在 50 萬個工作站安裝 LibreOffice，成為歐洲最大規模政府開源部署之一。義大利國防部 15 萬部電腦標準化採用 LibreOffice 及開放文件格式（ODF），是歐洲第二大 LibreOffice 案例。法國南部城市圖盧茲將 90% 桌面系統遷移至 LibreOffice，三年內節省約 180 萬歐元。西班牙巴塞隆納更成為首個加入「公共資金公共程式碼」歐洲運動城市，大力投資開源軟體為數位策略核心。
8. cloud.microsoft : Microsoft 官方推出、專為其雲端產品（如 Microsoft 365、Azure）設計的頂級網域名稱 (gTLD)，提供一個統一、高度安全的入口和基礎設施，讓使用者和應用程式在雲端環境中更安全地存取服務，並取代傳統的舊網域（如 microsoftonline.com）

資安事件

1. 華碩拒付贖金，駭客集團公開標售1TB檔案「底價70萬美元」
   - 華碩驚傳駭客攻擊 勒索集團：已竊取1TB資料含「相機原始碼」
   - 駭客公布7竊密檔案驚見聯發科驅動程式資料夾 : 不只牽涉到華碩的內部技術，也可能包含合作夥伴像是美商虹軟科技（ArcSoft）和高通的專屬工具或模組
   - 25/12/17 爆出 CVE-2025-59374 不知細節 9.3 CRITICAL CVE-2025-11901

漏洞

1. Fortinet 公布 FortiOS、FortiWeb、FortiProxy、FortiSwitchManager 存在「加密簽章驗證不當（CWE-347）」漏洞，攻擊者只要針對 FortiCloud SSO 發送精心打造的 SAML 訊息，就可能在「未經驗證」的情況下，直接拿到設備管理權限。 
   Fortinet FortiOS 只要是啟用此單一簽入機制的FortiOS、FortiWeb、FortiProxy，或是FortiSwitchManager，就會受到影響
   - CVE-2025-59718 9.8 CRITICAL : A improper verification of cryptographic signature vulnerability in Fortinet FortiOS FortiSwitchManager 7.0.0 through 7.0.5 allows an unauthenticated attacker to bypass the FortiCloud SSO login authentication via a crafted SAML response message
   - CVE-2025-59719 : 9.8 CRITICAL :
   FIXED : PATCH
2. pgadmin4 has a Meta-Command Filter Command Execution
   CVE-2025-13780 9.1 Critical pgAdmin versions up to 9.10 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.
   The PLAIN restore meta-command filter introduced in pgAdmin as part of the fix for CVE-2025-12762 does not detect meta-commands when a SQL file begins with a UTF-8 Byte Order Mark (EF BB BF) or other special byte sequences. 
3. Synology DiskStation Manager (DSM) 
   CVE-2024-45538 9.6 Critical Cross-Site Request Forgery (CSRF) vulnerability in WebAPI Framework in Synology DiskStation Manager (DSM) before 7.2.1-69057-2 and 7.2.2-72806 and Synology Unified Controller (DSMUC) before 3.1.4-23079 allows remote attackers to execute arbitrary code via unspecified vectors.
   CVE-2024-45539 7.5 High Out-of-bounds write vulnerability in cgi components in Synology DiskStation Manager (DSM) before 7.2.1-69057-2 and 7.2.2-72806 and Synology Unified Controller (DSMUC) before 3.1.4-23079 allows remote attackers to conduct denial-of-service attacks via unspecified vectors
   FIXED : Synology-SA-24:27 DSM
4. WinRAR Directory Traversal Remote Code Execution Vulnerability
   CVE-2025-6218 7.8 High
   說明 : 列入 KEV
5. Apache Struts DoS org.apache.struts:struts2-core 
   CVE-2025-66675 8.2 High file leak in multipart request processing causes disk exhaustion. This issue affects Apache Struts: from 2.0.0 through 6.7.4, from 7.0.0 through 7.0.3. Users are recommended to upgrade to version 6.8.0 or 7.1.1, which fixes the issue. It's related to  https://cve.org/CVERecord?id=CVE-2025-64775  - this CVE addresses missing affected version 6.7.4
6. Apache Commons Text
   CVE-2025-46295 9.8 CRITICAL Apache Commons Text versions prior to 1.10.0 included interpolation features that could be abused when applications passed untrusted input into the text-substitution API. Because some interpolators could trigger actions like executing commands or accessing external resources, an attacker could potentially achieve remote code execution. This vulnerability has been fully addressed in FileMaker Server 22.0.4.
7. GitLab CE/EE 
   CVE-2025-8405 8.7 High
   CVE-2025-12716 8.7 High
   CVE-2025-12029 8.0 High
   FIXED : GitLab Patch Release: 18.6.2, 18.5.4, 18.4.6
8. TeamViewer Client File Hash Validation Bypass
   CVE-2025-44016 8.8 High
   FIXED : PATCH
9. Notepad++ v8.8.9 new security enhancement, new features, regression fixes & bug-fixes
   Notepad++ 8.8.9，其實不是一般功能更新，而是緊急修補自動更新程式 WinGUp 的安全漏洞：更新流程竟會下載到一個陌生的 AutoUpdater.exe，執行後會蒐集系統資訊（netstat、systeminfo、tasklist、whoami 等）寫入 a.txt，接著再透過 curl 把檔案上傳到曾被惡意程式濫用的 temp.sh 網站。 過去 8.8.8 已先強制從 GitHub 下載更新，而 8.8.9 則更進一步要求 下載的安裝程式必須通過開發者憑證與簽章驗證才會安裝」，驗證失敗就直接中止更新。如果團隊內有在用 Notepad++：
   • 立刻更新至 8.8.9，避免繼續暴露在被劫持更新流量的風險。
   • 檢查系統暫存資料夾是否出現 AutoUpdater.exe、update.exe 等可疑檔名，並檢視近期可疑連線。
   • 若曾安裝過需要自訂根憑證的舊版 Notepad++，記得依官方建議移除舊憑證。