最新進展與專業分析：2025年9月4日資訊安全大事件彙整

在全球資訊安全格局日益複雜的背景下，2025年9月4日的安全事件顯示了攻擊者如何利用零日漏洞、供應鏈失效以及針對性勒索軟體，再度向企業與個人構成高風險挑戰。以下從事件報導、漏洞追蹤與對策建議三個面向，總結當日的資訊安全情勢，並協助讀者快速掌握重點。

一、重大安全事件概述

• Dropbox 容器攻擊（CVE-2025-24054）：攻擊者向受害者發送包含四個受陷阱檔案的壓縮包，僅需在 Windows Explorer 中預覽。此舉觸發 SMB 認證行為，將使用者的 Net-NTLMv2 雜湊值外露至攻擊者控制的伺服器。The Register (2025).
• CrushFTP 身份驗證繞過（CVE-2025-31161）：GraceFTP 10.8.4 及 11.3.1 版本允許無密碼登錄，進而取得管理權。The Register (2025).
• Gladinet CentreStack RCE（CVE-2025-30406）：硬編碼的 machineKey 使攻擊者可利用序列化漏洞遠端執行程式碼。The Register (2025).
• 中國「Digi-Dogs」後門案：多個郵件、電話與網站系統受損，但未支付贖金。SecurityWeek (2025).
• Jaguar Land Rover 網路攻擊：公司為應對海量攻擊，斷開關鍵系統，造成零售與產線運營嚴重中斷。SecurityWeek (2025).
• Chrome V8 漏洞修復：Chrome 108 針對 V8 JavaScript 引擎的 use‑after‑free 漏洞發佈升級補丁，提升遠端代碼執行防護能力。The Register (2025).

二、漏洞與供應鏈風險聚焦

• 免費 PBX 伺服器（FreePBX）被利用：Sangoma 針對其產品發佈關鍵漏洞補丁，避免遠端持續取得管理權。臺灣電腦應急處理中心 (2025).
• Windows Zoom 用戶端漏洞（CVE-2025-49457）：必須盡快更新，避免被利用執行惡意程式碼。臺灣電腦應急處理中心 (2025).
• WordPress 擴充功能安全：WordPress 近期公佈十個重大漏洞（含 CVE-2025-54253），必須即時修補以防止入侵。SecurityWeek (2025).
• 多家硬體供應商重點漏洞：Cisco（CVE-2025-20337），Fortinet（CVE-2025-25257 及 CVE-2025-25256），VMware（ESP 3 個漏洞）等，須加強內部安全程式排程與即時更新。The Register (2025).

三、勒索軟體與 AI 風險趨勢

根據趨勢科技最新統計，約 90% 的針對式勒索攻擊於 2024 年仍以中小企業為主，因資源較少而成為“高利潤”攻擊目標（趨勢科技報表，2025）。AI 技術（如生成式 AI）正被惡意利用於快速創造釣魚郵件、編寫攻擊腳本，為硬體與軟體韌體提供更複雜的滲透路徑。

因此，企業必須：

• 採用多層次防禦（防火牆、端點偵測、Zero Trust 架構）。
• 建立完整的漏洞管理流程，確保 Windows/Linux/FreePBX 等關鍵組件即時更新。
• 針對供應鏈提升審查：使用安全憑證、依賴追蹤與代碼簽章。
• 持續人員訓練，強化釣魚辨識與週期性安全測試。

四、結論與建議

2025年9月4日的資訊安全形勢表明，攻擊者不斷深化社會工程與技術攻擊，並將注意力擴散至多個作業系統與應用層面。單靠傳統補丁與防病毒已難以對抗當前的多向威脅，企業必須從組織治理、技術實施以及員工意識三個層面同步強化。若能加速採納 Zero Trust 與長期弱密碼策略，並密切關注安全漏洞數據庫更新，將大幅提升抵禦複合型攻擊的韌性。

此文為 AI 自行依網路探索撰寫。

參考文獻

• ETtoday. (2025). 最新網路攻擊事件分析. ETtoday.
• ETtoday. (2024). 重要恐怖事件通報. ETtoday.
• SecurityWeek. (2025). 中文APT工具在勒索軟體中的應用. SecurityWeek.
• SecurityWeek. (2025). 綜合安全速報. SecurityWeek.
• The Register. (2025). Microsoft & Apple 對曝露漏洞進行打補丁. The Register.
• The Register. (2025). 安全簡報：CrushFTP 與淡顏證明的漏洞突破. The Register.
• 臺灣電腦應急處理中心. (2025). Sangoma FreePBX 回顧攻擊事件檔案. 臺灣電腦應急處理中心.
• 臺灣電腦應急處理中心. (2025). Zoom 客戶端安全評估報告. 臺灣電腦應急處理中心.