資安週報-第26期 PDF
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息
本週總計接獲19件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,其中仍有多個機關下載偽冒軟體遭植入惡意程式連線中繼站,詳⾒圖2。此外,有機關於短時間內通報兩起網站帳號異常登入事件,經調查發現兩個網站皆由同一維護廠商負責,且遭利用之帳號疑似使用相同或相似的帳號密碼,不排除駭客可能係推敲該廠商常用之帳號密碼組合進行嘗試登入,進而造成多個網站接續遭入侵的情形。
針對同一維護廠商所維運之多個網站接續發生帳號異常登入情形,建議機關加強委外帳號的管理與控管,避免基於維運便利而共用或重複使用帳號密碼,並要求各系統維護帳號具備唯一性與適當的權限區隔;此外可透過強制多因素驗證、限制登入來源及異常登入關聯偵測,降低帳密遭嘗試利用的風險。另於資安事件發生時,應同步通盤清查該廠商所維護的其他系統是否存在相同帳密或異常登入情形,將帳號與供應鏈風險一併納入事件處理範圍,以避免單一帳密外洩造成多系統連動受害。
除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:
針對潛在風險執行相應改善,如:
本週2家民間企業發布重大訊息,產業類別分屬於電子零組件業與造紙工業。
事件說明:飛宏科技發現對外官方網站代管廠商遭受DDoS攻擊,立即通知委外代管廠商啟動相關防護及應變機制,並恢復及確保網站服務正常運作。經評估後,對公司營運無影響,後續將持續密集監控,以確保資訊安全。
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
本週資安聯防監控顯示,整體攻擊態勢呈現多元化發展,詳見圖3,其中「防禦迴避」階段持續維持最高佔比達14.98%,攻擊者主要透過關閉或清除指令紀錄、利用合法工具執行惡意命令等手法,企圖規避資安防護機制的偵測。
其次為「偵測刺探」階段,本週佔比提升至13.75%,較上週增加1.78個百分點,顯示攻擊者正積極進行目標環境的資訊蒐集與弱點探測。第三高為「惡意執行」階段,佔比11.17%,反映攻擊者在取得初步立足點後,開始部署惡意程式或執行有害指令。
值得關注的是「衝擊影響」階段佔比由3.05%上升至4.40%,增幅達1.35個百分點,顯示部分攻擊已進入破壞性階段,可能對組織造成實質損害。此外「資訊蒐整」與「資料滲出」階段亦呈現上升趨勢,分別達3.71%與3.67%,顯示攻擊者正積極竊取敏感資料。聯防監控提醒各單位應密切留意攻擊趨勢是否由初期的偵測刺探進入到更具破壞性的階段,及時採取對應防護措施。
建議機關採取下列防護措施:
強化防禦迴避偵測能力
提升早期預警能力
加強資料保護措施
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比77.96%、「遠端控制」服務攻擊占比18.63%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達68.52%。「遠端控制」服務亦有28.62% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。
本週Web系統比例下降原因為JetBrains TeamCity繞過身分驗證並導致遠端程式碼執行的漏洞的CVE-2023-42793,遭攻擊次數下降導致。而網通設備管理介面比例下降主因為Cisco IOS XE網通設備作業系統特權提升漏洞的CVE-2023-20198,遭攻擊次數下降導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、程式碼注入、特權提升、身分驗證繞過漏洞及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、 GeoServer開放源碼伺服器、Cisco IOS XE網通設備作業系統、JetBrains TeamCity 持續整合/交付平台及PHP ,顯示此類系統已成為高風險熱點。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
|
排名 |
漏洞編號 |
受影響產品 |
CVSS 3.x Base Score |
|---|---|---|---|
|
1 - |
Citrix NetScaler ADC |
7.5 |
|
|
2 ↑2 |
GeoServer開放源碼伺服器 |
9.8 |
|
|
3 ↓1 |
Cisco IOS XE網通設備作業系統 |
10 |
|
|
4 ↓1 |
JetBrains TeamCity 持續整合/交付平台 |
9.8 |
|
|
5 - |
PHP |
9.8 |
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:
PostgreSQL圖形化介面工具pgAdmin存在高風險安全漏洞(CVE-2025-13780),類型為程式碼注入(Code Injection),當系統處於伺服器模式(Server Mode)下,取得一般權限之遠端攻擊者可上傳特製惡意備份檔,後續當觸發PLAIN格式備份檔還原功能時,系統會解析特製備份檔,進而於pgAdmin主機上執行任意程式碼。
MongoDB存在高風險安全漏洞(CVE-2025-14847),類型為不當處理長度不一致參數(Improper Handling of Length Parameter Inconsistency),未經身分鑑別之遠端攻擊者可透過傳送特製之zlib壓縮通訊封包,觸發系統於處理解壓縮資料時,未適當驗證參數長度之問題,進而於解析文件流程讀取未初始化之記憶體內容,造成敏感資訊洩漏。
Digiever DS-2105 Pro存在高風險安全漏洞(CVE-2023-52163),類型為作業系統指令注入(OS Command Injection),取得一般權限之遠端攻擊者可將惡意指令注入其time_tzsetup.cgi程式中,進而執行遠端程式碼。
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險
本期針對46個關鍵基礎設施(CI)單位執行EASM資安曝險檢測,共計發現1,205項重大與高風險弱點,其中包含115項重大風險與1,090項高風險弱點。此數據顯示整體外部曝險情勢依然嚴峻,且風險總數較上期(1,216項)微幅增加。從風險分布觀察,本期仍以「元件高風險漏洞(358項)」、「過時或弱加密協定(291項)」、「TLS憑證不受信任(288項)」及「CSP設定不當(152項)」為主要類別,四項合計占比約90%,這突顯出多數單位在憑證管理、漏洞修補與網站安全設定上仍存在普遍性的安全缺口,是當前資安防護最主要的挑戰,詳見圖5。
進一步比較兩期差異,「元件高風險漏洞」則由341項增加至358項,持續上升,仍為本期風險排行榜首,反映部分單位使用的系統元件存在已知漏洞且未及時修補;「過時或弱加密協定」由292項降至291項;「TLS憑證不受信任」由299項降至288項,「未部署WAF」由70項降至60項,均呈現小幅改善。
防護建議:
建議機關或關鍵基礎設施採取下列防護措施:
建議機關或關鍵基礎設施採取下列管理措施:
追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標
跨年檔期過後總量回落 但高風險詐騙仍在「中高水位」震盪
整體觀察「全部高風險」總量趨勢,本期數據呈現「高位回落」:前一週明顯走高後,最新一週轉為走低,顯示跨年檔期帶動的偵測高峰開始降溫。不過,總量雖回落,仍明顯高於先前低點,代表詐騙活躍度並未真正退場,顯示在歲末年初交易與金流頻繁的背景下,高風險偵測量可能仍將維持一段時間的高位震盪。
從詐騙類型來看,「產品服務」依舊是高風險主力來源,但本期出現較明顯回落。這類詐騙常搭上跨年促銷、福袋、限量商品、二手交易與票券轉售等熱點,以假賣家、偽造付款或物流通知、催促付款或引導點擊不明連結的方式快速擴散。即使整體降溫,因其占比高、觸及面廣,仍是最需要持續注意的風險來源,詳見圖6。
「身分冒充」本期小幅回落,但整體仍偏活躍,顯示「假冒親友」、「假冒公部門」、「假冒企業客服或金流客服」仍在運作。常見話術會結合「退款、取消交易」、「帳戶異常」、「需立即驗證」等情境,利用跨年期間客服與物流繁忙、民眾急於處理交易的心理,製造緊迫感並誘導配合操作。
「金融投資」在上期明顯升溫後,本期回落幅度相對更大,顯示短期熱度降溫;但此類詐騙往往呈現「一波一波」的擴散節奏,仍不可掉以輕心。常見手法仍以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺」包裝,搭配獲利截圖、名人背書、社群群組與私訊邀請,趁年初市場話題、資金調度與投資情緒延續時再度升溫。
綜整而言,本期高風險偵測量由高點回落,但整體仍處在偏高區間:「產品服務」仍是最大宗風險來源;「身分冒充」維持活躍,需防範假客服與假公部門話術;「金融投資」雖降溫但仍具高損失特性,後續需持續警戒。
提升多平台風險警覺
強化身分驗證與求證習慣
善用官方資訊與檢舉機制
本週代表性詐騙關鍵字 Top 10以「優惠」、「免費」、「市場」、「點擊」為主軸,顯示詐騙話術仍以「低門檻誘因」搭配「引導行動」作為核心吸引力,詳見圖7。其中「免費/優惠/領取」等誘因型字眼仍頻繁出現,作法多為先用「限時優惠」、「免費領取」降低戒心,再進一步要求民眾「點擊」連結或「加入」指定帳號、群組,藉此把受害者導入封閉社群或外部網站(私訊、群組、網站)進行後續操作,例如蒐集個資、誘導下單、要求匯款或綁定付款方式。
值得注意的是,本週同時出現「點擊」、「加入」與「領取」等行動指令,顯示詐騙流程更強調「先把人帶離公開場域、再推進下一步」:先用看似正常的活動頁面、商品推薦或服務資訊,引導民眾點擊連結與加入群組;一旦進入封閉社群,就容易受到大量訊息、話術節奏與人員分工影響,降低冷靜查證的機會。遇到任何「必須點擊連結才能領取」或「加入群組才給名額、優惠」的情境,都應直接視為高風險訊號。
此外,「市場」與「機會」的組合,常與固定時間推送、限時名額等手法一同包裝成「機會難得、錯過可惜」的敘事,營造看似合理的投資資訊或合作情境。這類話術往往在初期提供看似完整的流程與教學,接著以「入會/升級」、「帳戶驗證」、「手續費」等理由要求先付款,或引導至不明平台進行代收代付、認證操作,最終造成金錢損失,甚至帳戶被利用為人頭帳戶的風險。
同時,「推薦」與「設計」等字眼也反映出另一類常見包裝:以「專業推薦」、「量身規劃」、「客製設計」之名建立信任,讓受眾誤以為是正常的促銷、教學或顧問服務而放鬆警覺,進而更願意點擊連結、加入私訊或填寫資料。再加上「台灣」等在地化措辭,容易營造「看似本地品牌/本地服務」的可信氛圍,但實際仍可能導向臨時架設的購物頁面、陌生收款或不明客服管道。
整體來看,本週常見手法是先用「免費/優惠/領取」降低戒心,接著以「點擊連結、加入群組」把民眾帶離公開平台,轉入私訊、社群或外部網站後,再以付款、匯款或帳戶操作等要求加速施壓;同時搭配「市場機會、專業推薦、客製規劃、在地商品/服務」等包裝增加可信度。提醒民眾,只要對方要求先點不明連結、先加入封閉群組,或以課程、工作、認證等名義要求先付費或提供帳戶/身分資料,務必先停下來查證,改以官方網站與公開客服管道確認,避免落入「先付費才給資格」的陷阱。
資通系統漏洞趨勢與系統開發防護建議
機關安全系統開發輔導與技術檢測之常見問題
資安院執行政府機關安全系統開發輔導與機關技術檢測,透過控制項檢視,並結合檢視原碼掃描、弱點掃描、滲透測試及系統架構審視等方式,協助機關檢視資通系統是否符合資通安全管理法及相關防護基準要求。執行結果顯示,政府機關資通系統常見資安漏洞主要集中於「權限控管不足」與「第三方元件未及時更新」兩大類型。
在「權限控管不足」方面,常見問題包括未確實於資通系統後端落實存取權限驗證,僅依賴前端機制進行功能限制,以及權限判斷邏輯分散於各程式模組中,缺乏集中一致且可維護之管理機制,致使權限設計難以全面掌握與有效控管,進而提高未授權存取、權限提升及橫向移動等風險。
在「第三方元件未及時更新」方面,則存在第三方套件版本老舊、已知弱點未即時修補,或未建立完整之元件盤點、風險評估及更新管理流程等情形,導致組織難以及時掌握相依元件之安全狀態,使系統暴露於可被既有攻擊手法利用之風險中,並進一步放大供應鏈相關資安事件之影響範圍。
OWASP Top 10之趨勢與變化
OWASP Top 10為全球應用程式安全領域廣泛採用之風險類別指引,提供組織辨識與管理資通系統主要資安風險之共同基準。目前最新版為2025年版(前一版為2021年版),反映近年資通系統型態與攻擊手法之顯著轉變,包括雲端原生架構普及、微服務、API大量使用及對第三方套件與供應鏈高度依賴,使資通系統安全議題已由單純程式碼層次,擴展至系統設計、設定管理及開發流程治理等層面。有關2021年版與2025年版之相關風險趨勢變化詳見圖8。
前三大風險類別說明如下:
1)無效的存取控管仍穩居第一:權限管理依舊為最大風險來源
在「A01無效的存取控管」方面,該風險持續位居首位,並整併伺服器端請求偽造(SSRF),突顯內部服務存取、網路區隔及權限設計不當所帶來之風險。組織於系統設計時,應採取預設拒絕(Deny by Default)原則,清楚界定服務對外與對內之存取邊界,並避免過度授權或長效權杖之濫用,例如採用JWT(JSON Web Token)機制之系統,應參考OAuth標準規劃權限撤銷與存取期限管理。
2)不安全的組態設定上升:系統設定比程式碼更容易遭到忽視
「A02不安全的組態設定」於2025年版中排名上升,反映現代系統大量仰賴雲端服務、容器平台、API Gateway及各式中介服務,其安全性高度依賴設定檔與部署參數。未關閉除錯模式、錯誤之跨來源資源共享(Cross-Origin Resource Sharing, CORS)設定、不當之HTTP Header或過度開放之管理介面,均可能成為攻擊入口。組織宜將安全設定納入正式變更管理流程,並透過自動化檢查或基準設定,確保各環境設定一致且符合資安要求。
3)軟體供應鏈失效成為新類別:相依套件與建置流程即為攻擊面
新增之「A03軟體供應鏈失效」風險,則將關注焦點由單一元件漏洞,擴大至整體供應鏈生態系,涵蓋第三方元件、建置工具、CI/CD Pipeline與發布機制。由於此類風險往往不易於功能測試或一般弱點掃描中及時發現,其影響範圍與破壞程度通常較高。組織於資通系統之開發與建構流程中,宜建立軟體物料清單(Software Bill of Materials, SBOM),並持續追蹤與修補第三方元件之已知弱點,以降低供應鏈風險。
實務檢測結果與OWASP Top 10之對照分析
安全系統開發輔導與機關技術檢測中,常見之資安漏洞「權限控管不足」,與OWASP Top 10中A01無效的存取控管長期位居首位之趨勢高度一致,顯示存取權限設計與控管機制,仍為現今資通系統最核心且最易被忽略之風險;而「第三方元件未及時更新」,亦與2025年版新增之A03軟體供應鏈失效所關注之風險方向相符,反映組織對相依套件與建構流程之安全管理,尚未完全納入整體資安治理體系。
相較OWASP Top 10所揭示之完整風險版圖,政府機關安全系統開發輔導與機關技術檢測中,部分風險類型(如不安全設計或資安紀錄及監控失效)出現比例相對較低,其可能原因包括現行輔導與檢測作業多著重於可透過工具或檢測規則直接驗證之技術缺失,對於系統設計決策、架構假設及治理流程成熟度之檢視仍有侷限,亦顯示部分高影響但不易量化之風險議題,尚未完全於檢測階段被揭露,而這也反映出安全不僅需「防禦」,亦須具備「可觀測性」,OWAS Top 10之「A09資安紀錄及監控失效」及「A10例外狀況處理不當」顯示,即使系統具備防護機制,若缺乏有效之日誌紀錄、告警與追蹤流程,資安事件仍可能無法即時被察覺,甚至於長時間後才被發現。系統日誌應完整記錄操作人員、操作行為、時間、來源位置及存取資源,並確保日誌之完整性與不可否認性,以支援事件分析與事後鑑識。
結論與重點提醒
綜合實務輔導檢測結果與2025年OWASP Top 10趨勢可知,資通系統之資安風險已由單純技術漏洞,轉變為制度與治理層面的問題,尤以權限控管與第三方元件管理為核心關鍵。透過「資安左移」,將資安措施整合至系統設計與開發階段,並納入流程、設定及持續監控機制,而非僅仰賴事後檢測與修補,唯有將資安落實於系統全生命週期管理,方能在威脅快速演變的環境中,維持資通系統之韌性與可信度。
關鍵字:安全系統開發、常見漏洞、OWASP TOP 10