在2025年第二星期的资安新闻，适逢多家IT大厂每月例行安全更新发布，其中微软与Fortinet的修补是重要焦点。微软本月修补159个漏洞中，包含了8个零时差漏洞，其中5个已经公开揭露，另外3个更为严重，因为已出现实际利用状况；资安业者Arctic Wolf在1月10日揭露一起Console Chaos攻击行动，指出有攻击者从去年11月针对Fortinet FortiGate防火墙设备发动零时差漏洞利用攻击，4天后Fortinet发布相关修补资安公告。

●微软修补8个零时差漏洞，其中3个已遭利用，分别是：CVE-2025-21333、CVE-2025-21334、CVE-2025-21335，皆涉及Hyper-NT内核集成VSP的漏洞。
●Fortinet修补FortiOS零时差漏洞CVE-2024-55591，并表示该漏洞已遭广泛利用。虽然Fortinet未提及漏洞是由Arctic Wolf通报，但Fortinet资安公告列出的IoC指针与Arctic Wolf的报告吻合。
●交互式BI系统Qlik Sense在2023年修补的漏洞CVE-2023-48365，最近美CISA将其列入限期修补的已知被利用漏洞清单。

另还传出有黑客公布1.5万台Fortinet防火墙的详细组态配置数据、VPN帐密，研究人员推测可能是黑客通过2年前的零时差漏洞取得，虽然许多防火墙可能早已修补，但因这批数据报含防火墙规则的完整数据，因此研究人员提醒不要忽略这些能够防范的风险。

在威胁态势上，使用PlugX恶意程序的中国黑客威胁，是资安界与国家网络安全机构关注的重点，不仅有资安业者揭露攻击态势，后续我们还发现，有国家执法单位正设法积极移除这类威胁的消息。

首先，资安业者Recorded Future揭露中国黑客RedDelta（也叫做Earth Preta、Mustang Panda、TA416）自2023年中旬将网络攻击目标转向蒙古、台湾与东南亚，主要是配合中国外交政策，而且近半年更是扩大攻击范围，锁定马来西亚、日本、美国、埃塞俄比亚、巴西、澳洲、印度。

其次，美国FBI在1月14日宣布，在与法国执法单位及资安公司Sekoia合作下，经美国法院授权，远程删除美国境内4,200电脑上被感染的中国黑客散布的PlugX恶意软件，并通知受影响用户。

在其他重要威胁态势与事件上，有两起是锁定开发人员与资安研究人员的揭露，包括攻击者假借提供漏洞侦测工具，或是漏洞验证工具，但实则暗藏恶意程序；有两起是勒索软件威胁的最新动向，其中专门针对AWS S3存储桶的勒索软件攻击值得留意，因为攻击者滥用了AWS本身提供的数据保护措施。
●有攻击者提供伪装成以太坊智能合约漏洞侦测工具的NPM套件，宣称能找出潜在漏洞，实际上该套件暗藏远程存取木马Quasar RAT。
●有黑客假借提供去年12月LDAPNightmare漏洞的概念验证代码，意图对资安研究人员散布窃资软件。资安专家提醒，若要研究PoC应从原始揭露来源取得。
●新兴勒索软件FunkSec出现值得留意，资安业者Check Point指出这是去年12月，不仅会发动双重勒索，并研判该组织运用了AI辅助开发相关工具。
●新发现有勒索软件黑客的攻击手法，是利用外流或是不慎曝光的AWS密钥，接着滥用了AWS提供的数据保护措施SSE-C将客户数据加密，再向用户勒索。

此外，还有两起关于台湾上市柜公司的资安事件，专注于石英频率控件的泰艺电子在1月12日发布重讯，说明有部分信息系统遭到网络攻击；国内老牌纺织纤维业者远东新世纪〈原远东纺织〉在1月16日发布重讯，说明他们接获重要资通信合作厂商通报，与自家公司合作的相关系统有数据外泄疑虑。

【1月13日】研究人员揭露中国黑客RedDelta最新一波攻击行动，主要目标是台湾和蒙古

中国黑客组织RedDelta（也被称为Earth Preta、Mustang Panda、TA416）的攻击行动最近几年不断传出，这些黑客往往跟随中国政府的外交策略发动攻击，1月刚出炉最新的资安厂商调查结果，再度印证这样的活动方针。

值得留意的是，这些黑客两年前因中国政府声援俄罗斯攻击欧洲各国，但自2023年下半，他们将目标转向台湾、蒙古，以及其他东南亚国家。

【1月14日】Ivanti旗下VPN系统再传零时差漏洞，台湾曝险服务器数量全球第三

资安业者Ivanti公布SSL VPN系统Connect Secure重大层级的漏洞CVE-2025-0282，并透露已出现攻击行动的情况，协助调查的资安业者Mandiant表示攻击者利用该漏洞长达半个月，但究竟有多少黑客加入利用漏洞的行列？有待进一步的调查。

值得留意的是，企业组织应尽速套用修补程序，截至12日，台湾尚有近80台服务器尚未修补，数量仅次于美国和西班牙。

【1月15日】多组人马利用零时差漏洞绕过身分验证，攻击Fortinet防火墙设备

新的一年零时差漏洞攻击事故接连传出，先是Ivanti上周公布VPN系统Connect Secure的重大漏洞CVE-2025-0282出现攻击行动，协助调查此事的资安业者Mandiant透露攻击行动的相关细节；接着在1月10日，资安业者Arctic Wolf揭露Fortinet防火墙大规模攻击事故，本周也引起高度关注，今天Fortinet终于证实攻击者使用的零时差漏洞确实存在，并登记为CVE-2024-55591。

【1月16日】勒索软件黑客将AWS S3存储桶加密，并向受害者索讨赎金

勒索软件通常针对工作站电脑及服务器主机而来，黑客将其数据加密，要胁受害者必须付钱换取解密密钥，或是避免数据外流，但如今，有人针对云存储服务发动相关攻击，引起资安业者的注意。

例如，资安业者Halcyon公布针对AWS S3存储桶攻击的事故，就是这样的例子。特别的是，攻击者并非打造专属的文件加密工具，而是通过AWS提供的数据防护机制犯案。

【1月17日】黑客公布1.5万台Fortinet防火墙的详细组态配置数据、VPN帐密

这两个礼拜，针对Ivanti Connect Secure、Fortinet防火墙的零时差漏洞攻击事故相当受到各界关注，其中又以Fortinet防火墙的事故较引起注意，如今有人公布一批数据防火墙组态的数据，使得该厂牌用户恐面临更严峻的资安威胁。

值得留意的是，虽然这批数据黑客疑似2年多前搜括而得，但由于内含详细的防火墙政策、组态数据，甚至是VPN帐密数据，很有可能被人用于从事攻击。