台灣資安新聞彙整 2025.04.09-04.15

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

4/9

SAP 修補重大層級程式碼注入漏洞、身分驗證繞過漏洞

本週 SAP 針對 20 項資安漏洞發布公告，有 3 項重大層級漏洞相當值得留意，其中出現在 S/4HANA、Landscape Transformation 的程式碼注入漏洞 CVE-2025-27429、CVE-2025-31330最危險，攻擊者能用來注入任意 ABAP 程式碼。

https://www.ithome.com.tw/news/168325

微軟修補 CLFS 零時差漏洞，若不處理，恐面臨勒索軟體攻擊

本週微軟發布 4 月份例行更新（Patch Tuesday），其中最受到關注的部分，就是已經出現實際攻擊行動的零時差漏洞 CVE-2025-29824，並透露駭客組織 Storm-2460 將其用於勒索軟體攻擊。

https://www.ithome.com.tw/news/168331

憑證填充攻擊新工具！Atlantis AIO 迅速測試數百萬組被竊取的帳密組合

即使已啟用雙重驗證（2FA），仍無法確保完全安全，因為駭客可透過竊取的瀏覽器 session 憑證來繞過驗證機制。此威脅因一款名為 Atlantis AIO 的駭客工具而更加嚴重。資安公司 Abnormal Security 最新的威脅情資報告指出，這款自動化帳密填充工具正利用外洩的帳號密碼，入侵各種服務，包括電子郵件、VPN、串流媒體平台，甚至外送平台。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11796&mod=1

PyPI 平台發現惡意套件竊取敏感資訊並測試盜刷信用卡

資安研究人員近期在 Python 套件索引（PyPI）儲存庫中發現多個惡意程式庫，這些套件專門用於竊取敏感資訊及測試盜取的信用卡資料。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11800&mod=1

4/15

Oracle 雲端服務驚傳資料外洩，疑似使用舊漏洞 CVE-2021-35587

近期駭客論壇BreachForums出現名為rose87168的用戶，宣稱可存取Oracle 雲端伺服器並出售敏感資料，包含單一登入(Single Sign-on，SSO)憑證、輕型目錄存取協定(Lightweight Directory Access Protocol，LDAP)帳密、OAuth2金鑰和客戶資訊。由於這些敏感資料可能導致大規模供應鏈攻擊，引起各方關注。

https://www.twcert.org.tw/tw/cp-104-10066-0624d-1.html

駭客聲稱握有 Fortinet 防火牆零時差漏洞，能未經身分驗證執行任意程式碼

威脅情報業者 ThreatMon 發現，駭客在暗網論壇兜售 Fortinet 防火牆的零時差漏洞，由於時間點與 Fortinet 本週公布攻擊事故相當接近，不禁讓人懷疑兩者是否有所關連。

https://www.ithome.com.tw/news/168408