近1,300臺SharePoint伺服器尚未修補已遭利用的欺騙漏洞,暴露於敏感資料外洩風險下,用戶需儘速更新
微軟上週發布的4月例行更新(Patch Tuesday)所修補160多個漏洞中,最關鍵的是兩個已被實際利用的零時差漏洞,其中之一是SharePoint伺服器的欺騙弱點CVE-2026-32201,在微軟揭露此漏洞的同一天,美國網路安全與基礎設施安全局(CISA)也以少見的急迫速度,將其納入已知遭利用漏洞清單(KEV),要求各機構需在4月28日以前完成修補。
微軟原廠與CISA的通報都指出,CVE-2026-32201這個漏洞已被實際用於攻擊,修補工作十分緊迫,但更重要的是,SharePoint用戶是否已採取修補行動?依據資安監測組織Shadowserver基金會的掃描顯示,截至4月20日為止,仍有將近1,300臺未修補前述漏洞的SharePoint伺服器,暴露於網際網路上,其中以美國數量最多,占555臺,次之是德國107臺與加拿大60臺,臺灣也有1臺。
未修補漏洞的Apache ActiveMQ主機仍有6,400臺,暴露於遠端執行程式碼攻擊風險下,用戶需儘速更新
資安公司Horizon3.ai研究人員透過AI工具Claude輔助,發現潛藏13年的Apache ActiveMQ重大漏洞CVE-2026-34197,從而引發AI工具在發現資安漏洞方面的新聞熱潮後,這個漏洞也很快就被攻擊者利用,美國網路安全與基礎設施安全局(CISA)隨後將此漏洞納入已知遭利用漏洞清單(KEV),要求各機構在4月30日前完成修補。
不過在新聞熱潮下,更重要的是ActiveMQ用戶是否已採取修補行動。依據資安監測組織Shadowserver基金會的掃描顯示,截至4月20日為止,仍有多達6,476臺未修補前述漏洞的Apache ActiveMQ主機,暴露於網際網路上,其中以中國數量最多,占1,400臺,次之是美國的1,100臺,然後是巴西的356臺,臺灣也有20臺。
CISA警告思科SD-WAN資安漏洞遭到積極利用,限期聯邦機構4天完成修補
美國網路安全與基礎設施安全局(CISA)近日警告,2月底揭露的3個漏洞CVE-2026-20122、CVE-2026-20128與CVE-2026-20133已遭實際利用,未修補這些弱點的思科廣域網路存取平臺Catalyst SD-WAN風險大增,CISA將這些漏洞納入已知遭利用漏洞清單(KEV)。由於SD-WAN是用戶存取廣域網路環境的中樞平臺,其漏洞會影響到用戶整個網路環境的安全,風險特別高,因此CISA要求聯邦機構須在4天內完成修補,相較多數KEV漏洞常見約2週的修補期限,顯得更為急迫。
這次列入KEV清單的3個漏洞中,風險較高的是CVE-2026-20128與CVE-2026-20133,CVSS嚴重性評分均為7.5分。
中國駭客Mustang Panda針對印度金融機構、韓國外交政策圈,散布後門程式LotusLite
資安公司Acronis發現後門程式LotusLite的攻擊行動,此惡意程式具備微軟合法簽章,並透過HTTPS與動態DNS對C2進行通訊,其主要功能包括遠端Shell存取、檔案操作,以及連線階段(Session)的內容管理,因此該公司推測,駭客的攻擊目標主要是從事網路間諜活動,與經濟利益無關,攻擊者的身分是中國APT駭客組織Mustang Panda(別名Earth Preta、RedDelta、TA416)。
這些駭客使用LotusLite已有前例,3月初資安公司Zscaler揭露鎖定中東衝突的攻擊行動,當時Mustang Panda以伊朗衝突為誘餌,試圖散布這支惡意程式。Acronis指出,這次駭客傳遞的方法出現許多轉變,經由CHM檔接觸受害電腦,搭配JavaScript打造的惡意程式載入工具,最終透過DLL側載手法執行惡意軟體。而在攻擊目標的部分,也從以美國政府機關為主,轉向印度金融機構。
後門程式BPFDoor出現變種,駭客透過C2路由與ICMP中繼手法逃過偵測
在3月底,資安公司Rapid7揭露中國駭客Red Menshen(Earth Bluecrow)的攻擊行動,駭客鎖定電信網路部署後門程式BPFDoor,長時間潛伏在4G與5G核心網路環境,近期該公司再度公布最新調查結果,指出駭客已發展出多個新的變種,其中導入了C2路由與網際網路控制訊息協定中繼(ICMP Relay)手法,使得該後門程式的活動更加難以追蹤。
Rapid7總共發現7個BPFDoor的變種,其中最重要的兩個是httpShell和icmpShell。該公司指出,駭客使用BPFDoor的時間長達數年,這幾年隨著資安工具的偵測機制出現變化,而調整手法,其中一種就是早期版本的無檔案執行策略,駭客在成功啟動BPFDoor後,就將檔案刪除,目的是讓資安人員難以採集證據;後來EDR具備對應的偵測機制,httpShell的開發團隊就調整手法,不再刪除惡意程式檔案,而是將其混入一般的系統處理程序裡。
自2025年底開始,資安公司Sophos發現兩群駭客濫用此虛擬化平臺的情況增加,其中,以經濟利益為動機的STAC4713特別值得留意,因為他們的活動與勒索軟體PayoutsKing及資料竊取有關,而其濫用QEMU是為了建立反向SSH後門,藉此傳遞攻擊工具,並挖掘受害組織的網域憑證。
STAC4713透過QEMU建置Alpine Linux虛擬機器,內含攻擊所需工具,通常會有Adaptix C2(tinker2)、自製的WireGuard流量混淆器wg-obfuscator、BusyBox、Chisel,以及Rclone。而在建置此虛擬機器前,駭客會建立工作排程TPMProfiler,藉由SYSTEM帳號啟動虛擬機器,開機後就會利用Adaptix C2或OpenSSH建立反向SSH隧道,使得駭客能繞過端點防護系統的偵測。
Python後門ViperTunnel被用於勒索軟體DragonForce活動
資安公司InfoGuard在最近一起DragonForce攻擊行動裡,發現不尋常的現象:其中一個工作排程任務竟在無命令列參數的條件下執行,由於在正常的Windows環境,未指定指令碼的路徑或參數的狀況相當少見,該公司起初推測攻擊者使用DLL側載手法,不過進一步調查後發現並非如此,攻擊者濫用Python的自動匯入功能,讓惡意程式碼在電腦啟動時自動執行。
駭客使用的惡意程式,是以Python為基礎打造的後門程式ViperTunnel,駭客將其偽裝成系統檔案b5yogiiy3c.dll,不過本質上是以系統程式庫形成建立的Python指令碼,為了避免他人識破,駭客採用3種演算法與壓縮機制進行處理,此後門程式採用SOCKS5隧道建立通訊。根據調查結果,攻擊者的身分是EvilCorp旗下的UNC2165。
法國負責發布身分證和護照的國家安全憑證機構(ANTS)本週公布安全事件,可能導致近2000萬筆個資及專業帳號資料外洩。
ANTS隸屬於法國內政部,負責發放身分證、護照、駕駛執照等證明文件。ANTS在4月15日偵測到異常活動,可能導致ants.gouv.fr入口網站上的個人和專業帳號被竊取。初步調查顯示,受影響的個人資料類別包括登入ID、姓名、出生日期、帳號識別碼。其他可能外洩的資料包含電子郵件信箱、出生地、電話號碼等。
4月20日美國司法部表示,曾任勒索軟體談判專員的佛羅里達州男子Angelo Martino已認罪,承認於2023年共謀協助勒索軟體集團BlackCat發動攻擊,並勒索美國企業,最高恐面臨20年徒刑。
41歲的Martino原任職於資安事件回應公司,負責代表受害企業與駭客談判。然而自2023年4月起,他濫用職務,在處理多起勒索事件期間,曾代表5家受害企業進行談判,未經授權向BlackCat攻擊者提供客戶的談判策略、內部立場與保險理賠上限等機密資訊,協助對方精準提高贖金金額,並從中收取報酬。此外,Martino亦與兩名美國同夥Ryan Goldberg及Kevin Martin共謀,在2023年4月至11月期間,針對全美多家企業部署BlackCat。
Juniper修補Junos OS網路作業系統多個漏洞,最嚴重漏洞可能導致遠端接管設備
網路設備供應商HPE Juniper Networking近日發布安全公告,修補旗下網路作業系統Junos OS與Junos OS Evolved中近30項漏洞,這些漏洞可能被利用於權限提升、阻斷服務(DoS)及遠端執行指令等攻擊。
這次Juniper Network修補的漏洞中,最嚴重的是編號CVE-2026-33784的重大漏洞,CVSS v3.1嚴重性評分達9.8分,CVSS v4.0也達9.3分,源於Support Insights的vLWC元件軟體映像,出廠時預先置入高權限帳號的密碼,且設定過程中也未強制要求變更,使攻擊者可利用預設帳號密碼從遠端登入,並完全控制受影響設備。
FIDO結合DBSC等技術來應對Session劫持,並聚焦SSF框架拓展不同身分安全協作
近期FIDO臺灣分會舉辦活動,多項FIDO最新技術動態亦成為會中焦點,包括FIDO2標準的最新進展,以及與其他協定合作的動向。對此,全景軟體副總經理陳俊良在會中分享了更多深度觀察。
陳俊良指出,回顧半年多來,FIDO2(CTAP2)標準有新的技術演進,新標準允許傳遞更多元參數,讓驗證器在進行身分鑑別的同時,能安全地傳遞可驗證數位憑證(Verifiable Digital Credentials,VDC)、檢查PIN碼複雜度、指定特定認證器,甚至具備儲存加解密金鑰的功能,大幅擴展了其應用場景。此外,支付應用今年也已獨立成立工作小組Payments Working Group(PWG)。
其他資安威脅
◆Linux惡意軟體GoGra濫用Microsoft Graph API通訊
◆資安公司Checkmarx遭供應鏈攻擊,掃描工具KICS的Docker映像檔、VS Code延伸套件被入侵
◆國因應WGear網銀程式RCE漏洞,KISA首度啟動「安全漏洞清理服務」協助用戶移除舊版軟體
近期資安日報
