全球網路巨頭Cisco本月連續中鏢：一波中國相關先進持續性威脅（APT）「UAT-9686」利用零日漏洞入侵電子郵件安全設備，另一波不明駭客發動大規模暴力登入攻擊SSL VPN與Palo Alto GlobalProtect。Cisco Talos於12月17日公告，零日CVE-2025-20393（CVSS 10分滿分）允許遠端程式碼執行（RCE），自11月底已被利用，尚未有修補。GreyNoise資安公司則觀測12月11至12日的暴力浪潮，逾萬IP發動170萬認證嘗試。對台灣而言，Cisco FortiGate與VPN市佔高達40%，涵蓋政府、金融與企業邊界，若未關閉暴露功能或強化MFA，恐致全網淪陷與資料外洩。資安專家呼籲立即停用Spam Quarantine與審核VPN帳密，防範供應鏈與邊界災難。

 

Cisco電子郵件安全設備運行AsyncOS作業系統，包含Secure Email Gateway（防垃圾與惡意郵件）與Secure Email and Web Manager（集中管理）。漏洞僅在啟用Spam Quarantine（垃圾郵件隔離）且暴露公網時觸發：駭客可破壞正常邏輯，獲root權限，執行任意命令，影響設備與連網系統。Cisco公告指，「這是極精密攻擊」，工具、基礎設施與戰術皆與中國知名APT41及UNC5174重疊。Talos命名其為UAT-9686，自11月底利用零日，部署開源隧道工具Chisel與自製Aqua家族惡意軟體：AquaShell（輕量Python後門，編碼隱藏於既有檔案）、AquaPurge（日誌清除）與AquaTunnel（Go版ReverseSSH後門，穿透防火牆維持C2）。

 

Cisco無修補，僅建議關閉Spam Quarantine：檢查是否暴露公網，暫時下線此功能。Cisco聲明，「正積極調查，開發永久修補。」資安公司GreyNoise頭腦諾亞·斯通（Noah Stone）分析，「這類精密攻擊瞄準邊界設備，獲權後可持久滲透。」台灣政府機關與金融業廣用Cisco郵件閘道，若中招，恐洩露公務郵件或客戶資料，違反個資法罰則動輒億元。

 

僅一日後，另一波粗暴攻擊轉向VPN：12月11日逾萬獨特IP狂轟Palo Alto GlobalProtect，16小時內170萬認證會話，主要集中美國、墨西哥與巴基斯坦；12月12日轉Cisco SSL VPN，GreyNoise觀測攻擊IP暴增六倍。攻擊簡單：自動化循標準登入流程，暴力破解弱密碼或已洩憑證。斯通解釋，「這類短促高量戰役，快速盤點暴露或弱保系統，避憑證輪換與存取變更。」攻擊突止，疑為偵察後續精準打擊。

 

台灣邊界設備雙重危機。根據資策會2025年網路報告，Cisco防火牆與VPN佔台灣市場45%，政府如數位發展部、警政署、金融如兆豐銀行、企業如中華電信，皆用其守網路門戶。零日攻擊若擴散，郵件閘道淪陷將斷絕通訊；暴力攻擊則易破弱VPN，橫移內網竊取機密。趨勢科技台灣分公司估計，2025年邊界漏洞事件漲35%，多因管理介面暴露與無MFA。國資中心資安處已發緊急通函，列為高優先防範。

 

專家一致呼籲速度修補與深度防禦。斯通建議，「審核邊界設備，強密碼與MFA—VPN業務關鍵，遺留配置與怕斷線常延遲變更。」台灣企業可：

 

Cisco這雙重打擊，凸顯邊界安全的系統風險：精密APT借零日持久潛伏，暴力浪潮則速戰速決。斯通感慨，「控制防火牆、VPN與路由的高價值目標，一破即全網危機。」在台灣數位基礎設施中，此事件是嚴峻考驗：從被動應對，到主動韌性。政府、企業與用戶聯手，方能讓Cisco從弱點，變成鐵衛，守護2026年邊界不墜。

 

 

出處：本新聞參考自Nate Nelson於2025年12月20日發表於Dark Reading的報導《Cisco VPNs, Email Services Hit in Separate Threat Campaigns》。