台灣資安新聞彙整 2025.09.03-09.09

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

9/3

美國 CISA 強化軟體採購安全：發布新工具與更新 SBOM 指引

美國網路安全暨基礎設施安全局（CISA）近期推出兩項重要措施強化軟體供應鏈安全：一是發布創新的軟體採購指引互動工具，二是更新軟體材料清單（SBOM）規範。這些舉措針對日益嚴重的軟體供應鏈威脅，為政府機構和企業提供更實用的網路安全解決方案。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12193&mod=1

9/4

駭客利用「聯絡我們」表單與偽造保密協議 鎖定製造業發動網路釣魚攻擊

Check Point 研究團隊發出警告，近期發現一起手法精密的網路釣魚攻擊，專門針對製造業及其他供應鏈核心廠商。此攻擊手法能夠規避安全防護機制，且不易被目標企業察覺。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12197&mod=1

9/5

報告：國家級駭客成漏洞主要攻擊者，ClickFix 手法升溫

根據美國資安研究機構 Recorded Future 的 Insikt Group 最新報告指出，2025年上半年已知的漏洞攻擊中，超過半數（53%）來自國家級駭客組織，這些攻擊主要為達成戰略性與地緣政治目的。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12203&mod=1

9/8

SAP S/4HANA 重大漏洞 CVE-2025-42957 已遭攻擊！用戶應立即更新

影響SAP S/4HANA系統的重大安全漏洞CVE-2025-42957已出現實際攻擊案例，該漏洞可能導致企業核心業務系統完全失控。資安專家呼籲所有使用相關SAP產品的企業應立即採取修補措施。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12205&mod=1

TP-Link 路由器爆新零日漏洞，美國 CISA 警告其他漏洞已遭攻擊利用

TP-Link證實旗下多款路由器存在一個尚未修補的零時差漏洞，與此同時，美國網路安全暨基礎設施安全局(CISA)警告，該廠商的其他路由器漏洞已遭到攻擊者在實際攻擊中利用。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12206&mod=1

美國 CISA 下令緊急修補 Sitecore 重大漏洞 ! 已遭利用進行攻擊

Sitecore系統遭發現編號為CVE-2025-53690的漏洞，獲得CVSS 9.0分的重大風險評級，影響Sitecore Experience Manager (XM)、Experience Platform (XP)、Experience Commerce (XC)和Managed Cloud等產品。CISA指出，該漏洞為不受信任資料的反序列化問題，特別是使用預設機器金鑰的情況。

https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12207&mod=1

9/9

假 PDF 編輯器藏惡意軟體 TamperedChef，靠 Google 廣告擴散竊憑證

攻擊者以Google廣告推假PDF編輯器，延遲啟用TamperedChef竊資程式竊取瀏覽器憑證與Cookie，歐洲多家組織已受害。

https://www.ithome.com.tw/news/171056

上櫃公司奈米醫材子公司遭遇商業郵件詐騙，預估損失高達 140 萬美元

本週上櫃公司奈米醫材發布資安重訊指出，他們旗下的海外投資公司AST VisionCare Inc.（ASTVC-US）遭到歹徒冒名，要求Millennium Biomedical, Inc.（MBI）將現金股利匯款到歹徒的帳號，恐損失142.5萬美元。

https://www.ithome.com.tw/news/171075