2025.05 Note #26

資安動態

1. 南韓電信業龍頭SK電訊（SK Telecom) 大規模 SIM 卡資安事件:
2. 1. 4月18日 : 晚間6時起，就在SKT伺服器偵測到容量9.7GB檔案異常移動，並於該日晚間11時20分發現被植入惡意程式編碼、檔案遭到刪除的痕跡
      - 4月19日 週末深夜，攻擊者鎖定4G/5G認證伺服器（HSS），23:00 左右在HSS伺服器植入惡意程式，利用合法系統程序（如svchost.exe）掩護，竊取USIM資料庫內的IMSI、ICCID、Ki密鑰等敏感資訊
      - 4月20日 : SKT並未在24小時內（法定時限）向主管機關通報，而是在4月20日下午4:46才以「原因不明的侵害事故」名義向韓國網路振興院（KISA）報告，並未明確承認已確認的個資外洩 (刻意淡化嚴重性)
      - 4月22日 : 正式對外公布事件，SKT啟動免費USIM更換、加強SIM卡異常認證阻擋、提供「USIM保護服務」政府成立緊急應變小組 (國會議員與媒體質疑SKT未及時通報、通報內容過於保守，且在主管機關提供技術支援時選擇拒絕，導致消費者損失與社會恐慌擴大)
      - 4月28日，SK電訊開始為用戶免費更換SIM卡，使得2600家門市大排長龍，有些店家甚至無法提供足夠SIM卡更換(無法供應超過2300萬名的用戶數)
   2. 攻擊者使用偽造數位簽章，使惡意程式被誤判為合法SKT內部工具。利用憑證竊取工具（如Mimikatz）獲取更高權限，並清除安全日誌以掩蓋行蹤
      攻擊路徑 :
      → SKT可能對外開放的VPN服務漏洞 (如未修補的CVE漏洞或弱密碼)
      → 偽造合法員工帳戶，滲透至企業內網 AD (Active Directory)
      → 進一步滲透至資產管理系統（NAMS/FIMS）與單一登入系統（如ADFS/OAuth）
      → 鎖定核心的4G/5G認證伺服器HSS伺服器，逐步橫向移動，最終進行資料外洩
   3. 包含 IMSI、MSISDN、ICCID 等重要資料，駭客可以用它複製一模一樣的 SIM 卡分身，跟原本的 SIM 同時宣稱自己是本尊。真假 SIM 卡手機同時開機，兩張 SIM 卡將互相搶占網路連線(電信廠商有機會偵測異常並同時停用)；若被害者手機關機或未上線，則假 SIM 卡手機便能取而代之，接收認證簡訊，完成密碼重設、信用卡刷卡 OTP 確認等程序 ( 破壞 MFA : Access to SMS/voice OTP channels)
   4. USIM key values : 128-bit root key K (also called Ki) and its derived variant OPc used in 3G/4G/5G AKA.These keys reside both on the physical USIM card and—crucially—inside the operator’s HSS/AuC provisioning database so that authentication vectors can be generated on demand. (對稱式加密)
2. 遭詐團冒用開立數存帳戶 7銀行暫停自然人憑證驗證 : 騙取民眾自然人憑證開設帳戶，目前包含兆豐銀、第一銀、華南銀等7家銀行全面暫停自然人憑證驗證。內政部表示，若發現憑證遺失或遭他人盜用，可線上或臨櫃申請停用
   自然人憑證驗證取消後，網銀線上申辦的便利優勢也會跟著流失，銀行可以採取回歸雙證件驗證甚至看齊部分銀行增加視訊驗證
3. 微軟逐步終止Authenticator儲存密碼功能，將集中以Edge為主 : 微軟宣布將從7月起，逐步取消Authenticator管理和autofill密碼或通行密鑰（passkey）的功能，最終把這些管理功能轉到Edge瀏覽器。不過用戶還是可以選擇Google Password Manager或iCloud Keychain
4. CISA傳出將停止使用Censys及VirusTotal，恐波及美國政府資安防護能力 :
5. 1. 將於4月20日停止使用知名的惡意軟體分析平臺VirusTotal，CISA正在尋求其他替代方案
5. 歐盟漏洞資料庫（EU Vulnerability Databased，EUVD）
6. 1. 單一漏洞資料庫 ->「單一失敗點（single point of failure）」風險
   2. 目前 Beta 版
   3. EUVD 使用另一套編號系統，也提供漏洞簡介、文件及修補程式等連結。這使得每項漏洞會有EUVD、CVE及GSD三種編號。GSD是由雲端安全聯盟（Cloud Security Alliance）維運的GSD資料庫
6. Next steps for Privacy Sandbox and tracking protections in Chrome:
7. 1. google 正式終止原定的 cookie 淘汰計畫
   2. 與出版商、開發者、監管機構和廣告產業等生態系成員持續交流，很明顯各界對於改變第三方 Cookie 可用性的意見分歧
   3. 決定維持目前 Chrome 提供用戶選擇第三方 Cookie 的方式，不會推出新的獨立第三方 Cookie 

工具

1. 不存在的套件，真實的威脅：LLM 誤導開發者走入 Slopsquatting 陷阱 :
2. 1. 多款主流AI模型進行實驗，收集576,000筆Python與JavaScript程式碼範例。研究結果顯示，將近20%函式庫並不存在，且這些幻想的函示庫名稱被AI模型反覆生成
   2. 建議開發人員使用AI模型生成程式碼時，務必自行檢查AI所提供的程式碼及其函式庫，避免誤用攻擊者精心設計的惡意程式庫
2. Microsoft sbom-tool Release v4.0.1
3. google osv-scanner Release v2.0.2
4. Redis is open source again - antirez：上次提到的 Arch Linux 改用 Valkey 換掉 Redis (Valkey 的出現確實對 Redis 帶來衝擊，AWS、Google、Oracle，甚至 Microsoft 都轉向使用 Valkey)，不曉得是不是Redis官方怕持續發酵，所以突然又對 redis 增加 AGPLv3回歸開源?，換來換去的(何時又移除 ?)
5. OpenAI is acquiring Windsurf for $3 Billion : 25/05/07 OpenAI 正式進軍 Vibe Coding

漏洞

1. GitLab Patch ：
   - CVE-2025-2242 (CVSS: 7.5, High) GitLab CE/EE中的不當訪問控制漏洞，影響所有版本
   - CVE-2025-1908 : Network Error Logging (NEL) Header Injection in Maven Dependency Proxy Allows Browser Activity Monitoring ： CVE-2025-1908，High CVSS 7.7，(GitLab EE/CE) that could allow an attacker to track users' browsing activities, potentially leading to full account take-over
2. Grafana security release: Medium and high severity fixes : patches for Grafana 11.6.0, 11.5.3, 11.4.3, 11.3.5, 11.2.8, and 10.4.17.
   CVE-2025-3260 (8.3) : Bypass Viewer and Editor permissions
   CVE-2025-2703 (6.8) : DOM XSS vulnerability，植入惡意JavaScript，並在儀表板渲染時觸發
   CVE-2025-3454 (5.0) : Authorization bypass in data source proxy API
3. Keycloak : CVE-2025-3501: (CVSS: 7.5, High)，主機名驗證漏洞，可能導致繞過信任存儲證書 未經授權的訪問(Keycloak hostname verification)
4. Docker Engine : CVE-2025-3910 (CVSS: 5.4, MEDIUM) A flaw was found in Keycloak. The org.keycloak.authorization package may be vulnerable to circumventing required actions, allowing users to circumvent requirements such as setting up two-factor authentication
5. Spring Boot EndpointRequest.to() creates wrong matcher if actuator endpoint is not exposed : CVE-2025-22235 (CVSS: 7.3, High)
6. Kibana arbitrary code execution via prototype pollution : CVE-2025-25014 CVSS: 9.1 (Critical) Affected Versions: 8.3.0 to 8.17.5, and 8.18.0, and 9.0.0 Kibana 8.17.6, 8.18.1, or 9.0.1 Security Update 
7. Moodle Moodle Security Advisory
8. 1. CVE-2025-3642 (CVSS: 8.8, High)
      描述：Moodle LMS中的認證遠程代碼執行風險 A remote code execution risk was identified in the Moodle LMS EQUELLA repository
   2. CVE-2025-32044 (CVSS: 7.5, High)
      描述：Moodle允許未經身份驗證的REST API用戶數據洩露
8. 開源 Moodle 和 VtigerCRM PHP程式庫 ADOdb : PHP程式庫 ADOdb SQL injection CVE-2025-46337: (CVSS: 10, Critical) , SQL injection in ADOdb PostgreSQL driver pg_insert_id() method
9. SonarQube
10. 1. CVE-2024-47910 (CVSS: 7.5, High) SonarQube用戶可以修改GitHub集成的現有配置，從而洩露預簽名的JWT。SonarQube before 9.9.5 LTA and 10.x before 10.5. NVD
10. 華碩主機板韌體修補: 確認影響華碩、永擎電子（ASRock Rack）、HPE部分型號的主機板，BMC 重大漏洞CVE-2024-54085(CVSS :10)有機會遠端控制伺服器，並遠端部署惡意軟體、勒索軟體、竄改韌體，並造成主機板BMC或UEFI元件損壞，甚至讓伺服器硬體受損，或是無限循環地重開機
    Pro WS W790E-SAGE SE、Pro WS W680M-ACE SE、Pro WS WRX90E-SAGE SE、Pro WS WRX80E-SAGE SE WIFI

AI動態

• 繁體中文推理集 : A curated collection of datasets designed to evaluate and train reasoning capabilities in Traditional Chinese across various domains
  ( MIT 或 Creative Commons Attribution 4.0 )
  數理推理 : twinkle-ai/tw-math-reasoning-2k
  日常推理 : twinkle-ai/tw-reasoning-instruct-50k
  Function Calling : twinkle-ai/tw-function-call-reasoning-10k
• 機器人現在可以協助手術 : Hugo 機器人進行了 137 次真實手術測試——修復前列腺、腎臟和膀胱——結果比醫生預期的要好。併發症發生率極低：攝護腺手術僅 3.7%，腎臟手術僅 1.9%，膀胱手術僅 17.9%，均超過了多年研究的安全目標。該機器人的成功率達到了 98.5%，遠高於 85% 的目標

• Cisco釋出首款開放權重資安大語言模型，助力AI資安維運與防護 :模型主要針對三大資安應用場景進行最佳化，包括
• • 資安營運中心（SOC）作業加速，可提供自動化資安事件分類、資安事件摘要生成、案件記錄撰寫及證據蒐集
  • 提升主動式威脅防禦，如模擬攻擊情境、漏洞優先排序、攻擊手法（TTPs）映射與模擬攻擊者行為
  • 提供資安建議、配置驗證、合規評估，協助提升整體資安態勢