今天我们报导两起资安事故，其共通点就是针对SSL?VPN系统而来，其中，尤以针对Fortinet防火墙设备而来的攻击行动特别值得留意，因为这起事故虽然针对已知漏洞而来，但该公司还是发布新版防火墙作业系统FortiOS因应。

这起事故攻击者不仅运用了已知漏洞，并透过符号连结（Symbolic Link）手法来回避侦测，但究竟骇客如何取得相关权限而得逞？Fortinet并未说明。

?

【攻击与威胁】

启用SSL VPN的Fortinet防火墙用户注意！已知漏洞出现攻击行动

今年1月资安业者Arctic Wolf揭露攻击行动Console Chaos，骇客锁定Fortinet防火墙的零时差漏洞CVE-2024-55591而来，隔月Fortinet透露这起攻击行动攻击者搭配另一项身分验证绕过漏洞CVE-2025-24472，然而近期出现攻击者利用已知漏洞的情况。

4月10日，资安业者Fortinet发布警告，揭露他们近期发现锁定该厂牌防火墙FortiGate已知漏洞而来的攻击行动，攻击者针对已启用SSL VPN功能的防火墙设备而来，以便在唯读存取FortiGate的状态下，持续读取受害FortiGate设备的文件系统，而得以撷取系统组态资讯，这些遭到利用的漏洞，包含：CVE-2022-42475、CVE-2023-27997、CVE-2024-21762，CVSS风险介于9.2至9.5分。

Fortinet在察觉此事后启动PSIRT事件回应工作，开发缓解措施，并与受到影响的客户合作来因应。该公司呼吁用户，应更新防火墙作业系统FortiOS至7.6.2、7.4.7、7.2.11、7.0.17、6.4.16版因应这波攻击。

中国骇客锁定Ivanti Connect Secure已知漏洞，对台湾在内的12个国家发动大规模攻击

今年1月、2月，资安业者Ivanti修补旗下SSL VPN系统Connect Secure（ICS）重大层级漏洞CVE-2025-0282、CVE-2025-22457（CVSS风险评为9.0、9.8分），相关漏洞攻击引起政府单位及资安业者的高度关注，并揭露骇客使用的恶意程序，如今有新的调查结果指出，漏洞攻击仍在持续进行，且範围包含台湾在内的12个国家。

台湾资安业者杜浦数位安全（TeamT5）指出，他们在3月底侦测到中国APT骇客利用上述两项漏洞攻击ICS系统的情况，这波攻击行动已在台湾、日本、南韩、荷兰、新加坡、英国、美国、奥地利、澳洲、法国、西班牙、阿拉伯联合大公国出现灾情，而对于骇客攻击的产业类别也相当广泛，涵盖近20个不同的产业，值得留意的是，研究人员在着手分析调查的过程里，这些骇客很有可能仍持续控制受害组织的网路环境。

TeamT5也提及锁定ICS的攻击行动升温的情况，他们自4月以来，发现有大规模尝试利用ICS漏洞的现象，仅管这些攻击大部分并未得逞，却显着影响这些SSL VPN系统运作，造成不稳定甚至是瘫痪的现象。

其他攻击与威胁

◆针对中国骇客Volt Typhoon的攻击事故，中国坦承动机是美国支援台湾

◆新攻击手法RemoteMonologue能绕过LSASS防护机制

◆网钓工具包滥用SVG图档发动攻击

◆文件共享平台CentreStack零时差漏洞出现攻击行动

?

【漏洞与修补】

Dell修补PowerScale系列NAS系统，包括接管高权限帐号的重大漏洞

作为一线企业级储存厂商的Dell，4月7日揭露旗下PowerScale NAS的6项漏洞，并释出修补。这些漏洞存在于9.4.0.0到9.10.1.0版的OneFS储存作业系统，会影响到基于OneFS的PowerScale与Isilon系列NAS产品。

这些漏洞中，最危险的是CVE-2025-27690，严重性被评为9.8分（满分10分），为使用预设密码造成，未经身分验证的攻击者可藉由远端存取，接管高权限的用户帐号。

另外5项漏洞CVE-2025-26330、CVE-2025-22471、CVE-2025-26480、CVE-2025-23378、CVE-2025-26479，严重性分别为7.0分、6.5分、5.3分，以及两个3.1分，会导致用户存取丛集权限停止、拒绝服务、资料外洩与资料完整性等问题。

其他漏洞与修补

◆Jenkins的Docker映像档存在主机金钥重覆使用的弱点

?

【资安产业动态】

台湾资安大会将于4月15至17日举行

资安年度盛事「Cybersec 2025台湾资安大会」即将于4月15日至17日于南港展览馆二馆举行，今年迈入第11週年，以「Team?Cybersecurity」为主题，集结全球顶尖资安专家带来逾300场专业演说，汇集全球400多家资安品牌，预计吸引超过2万名国内外资安专业人士与会。赖清德总统将会在会议第一天开场致词，而这是总统连续4年出席这项国际级资安会议。

针对今年的大会主题，代表的是当今资安威胁态势，已是需要全员参与的战役，每个参与者都是不可或缺，藉由分享洞见、制订战略、推动技术创新，所有人必须共同努力，打造未来的资安环境。

HTTPS凭证产业于3月新增两项安全要求，7月禁止基于WHOIS的弱验证

凭证颁发机构浏览器论坛Certification Authority Browser Forum（CA/Browser Forum）近日通过了HTTPS凭证两项新的安全要求，包括多方发行验证（Multi-Perspective Issuance Corroboration，MPIC），以及凭证检查（Linting），并已于今年3月15日正式实施，而这两项要求都是由Google内部的浏览器凭证管理专案Chrome Root Program所提出。

此外，Google提议淘汰基于WHOIS的电子邮件、电话，以及传真与实体邮件等验证方法，以推动更安全的网域控制验证机制，该禁令预计于今年的7月15日生效。

?

近期资安日报

【4月11日】国家资通安全战略2025本週正式公布

【4月10日】中华资安投资奥义智慧，携手拓展市场、提升国际能见度

【4月9日】微软修补CLFS零时差漏洞，若不处理，恐面临勒索软件攻击