網路資安警訊:殭屍專案死灰復燃 舊系統與廢棄程式碼成駭客溫床
回到上一頁

網路資安警訊:殭屍專案死灰復燃 舊系統與廢棄程式碼成駭客溫床

2025-11-03
在企業加速數位轉型的過程中,許多原被視為已「死亡」或遭「遺棄」的老舊基礎設施、失敗專案,以及廢棄程式碼,正以意想不到的姿態「復活」,成為企業資安團隊最難纏的對手,被稱為**「殭屍資產」(Zombie Assets)。這些被遺忘的數位幽靈,不僅擴大了企業的網路攻擊面,更成為駭客輕易入侵的隱蔽破口,嚴重危及組織的資訊安全防線。
 
根據資深科技記者羅伯特·雷莫斯(Robert Lemos)於2025年10月31日的專業報導,這些「殭屍專案」的範圍極廣,涵蓋了舊版程式碼、閒置的基礎設施、未受監控的API,甚至是被遺留在雲端的服務等。文章列舉了多個令人警惕的案例,包括甲骨文(Oracle)的「過時」伺服器、攻擊者利用被遺棄的亞馬遜S3儲存桶來散播惡意軟體,以及澳洲電信商Optus客戶身份資料庫曾連接到網際網路的未受控API,這些都是困擾企業的**「數位不死族」。
 
 

企業防線兩大弱點:被駭難察覺、漏洞累積

 
網路安全公司Palo Alto Networks產品總監安德魯·史考特(Andrew Scott)指出,對這些被遺忘的服務缺乏關注,會導致資安問題從兩方面惡化:
  1. 難以偵測入侵: 「如果你有一個被遺忘的設備,你很可能沒有在監控它,因此一旦它被入侵,你可能很難及時知曉。」
  2. 漏洞風險累積: 「這些東西在外面存在越久,越是缺乏管理或沒有得到定期的修補與維護,隨著時間推移,它們就越容易累積風險。」
 
相關數據佐證了此一威脅的嚴重性。微軟《2025年數位防禦報告》顯示,有三分之一的攻擊者會積極尋找暴露在外的資產,包括面向網路的服務(18%)和外部遠端服務(12%)。而根據《2024年攻擊面威脅情報報告》,高達84%的組織在過去一年中,其外部攻擊面有所增長,且其中90%**的組織表示,伴隨而來的是影響事件的增加。
 
 

舊程式碼與硬體:積欠龐大的資安技術債

 
「殭屍資產」也被視為企業積欠的「資安技術債」。Invanti的報告指出,超過一半(58%)的組織對已知的、但未修補或更新的技術漏洞感到嚴重或中度擔憂。即使面臨風險,仍有超過一半(51%)的組織持續運行已經「終止服務」(End-of-Life)的軟體。
 
在程式碼層面,應用程式安全公司Black Duck掃描的程式碼庫中,有九成含有落後現行版本十個以上版本的開源元件,更有91%的程式碼包在過去兩年內沒有任何開發活動。Black Duck資深安全解決方案經理麥克·麥奎爾(Mike McGuire)警告,由於這些「殭屍程式碼」中,高達81%包含至少一個關鍵(critical)漏洞,構成極高的風險負債。他指出:「更多的元件意味著更大的攻擊面,以及更多讓殭屍程式碼隱藏的空間。」
 
此外,未受管理的硬體構成另一個主要風險。Palo Alto Networks的研究顯示,一家企業平均每月有超過300個新的服務對外公開,其中佔了三分之一的高風險和關鍵暴露。這些設備難以追蹤,且通常缺乏維護。
 
 
 

雲端與API漏洞:隱藏在自動化背後的威脅

 
雲端基礎設施的普及讓攻擊面管理更趨複雜。文章引述免費數位憑證服務Let's Encrypt的經驗,說明即使是無效的憑證更新請求,由於來自大量舊服務或閒置網域的持續請求,也會佔用服務大量的系統資源,凸顯了自動化機制可能帶來的「殭屍問題」。
 
應用程式介面(APIs)是另一類重要的「殭屍基礎設施」。雲安全公司Radware的報告顯示,2024年對API的攻擊增加了41%。其中,針對「幽靈」(Shadow)和「殭屍」(Zombie)API的攻擊,讓駭客能夠在不被察覺的情況下,針對業務邏輯缺陷和敏感數據發動攻擊。
 
Radware的威脅情報副總裁帕斯卡爾·吉南斯(Pascal Geenens)解釋,企業常在部署新版API時,為確保向後兼容而保留舊版,但隨後卻忘記將其淘汰。這些多年前編寫的舊版API往往「沒有相同標準的安全控制和安全程式碼」,成為嚴重的弱點。
 
 
 

AI專案引發的新型資安債務

 
人工智慧(AI)專案的快速發展,也為企業帶來了新型態的「殭屍服務」。暴露管理公司Tenable的副總裁托默·阿夫尼(Tomer Avni)提到一個案例:有客戶在從微軟Copilot過渡後,掃描網路時發現仍有「數十個終端」可以從網際網路存取,而且「基本上任何人都可以在網路上與這些代理程式通信,並查詢敏感數據。」
 
Tenable的報告顯示,大多數組織正在運行(55%)或試點(34%)AI工作負載,但已有三分之一的組織經歷過AI相關的洩密事件。
 
 
 

應對之道:強化自動化掃描與打破部門藩籬

 
面對不斷增長的殭屍資產威脅,專家們強調,自動化是解決問題的關鍵。
 
Black Duck的麥奎爾建議,企業應專注於那些「既過時又包含高或關鍵風險漏洞」的元件,並為開源元件建立嚴格且定期的更新週期。他特別提醒,僅掃描元件清單(manifests)不足以涵蓋所有風險,因為有將近三分之二的漏洞是「傳遞性」(transitive)的。
 
對於AI資安問題,Tenable的阿夫尼強調,安全團隊必須在整個公司範圍內,利用感測器等工具,主動追蹤「幽靈AI」和「殭屍終端」。他總結道,解決這個複雜的資安挑戰,需要「所有相關人員坐下來一起處理」,打破既有的部門壁壘(例如終端安全團隊與雲端安全團隊之間的隔閡),共同應對。
 
 
出處: 羅伯特·雷莫斯(Robert Lemos),Contributing Writer,《Zombie Projects Rise Again to Undermine Security》(2025年10月31日)報導內容編譯整理。