CISA於GitHub暴露AWS GovCloud金鑰、內部系統憑證
根據資安部落格Krebs On Security報導,資安公司GitGuardian發現美國網路安全暨基礎設施安全局(CISA)的公開GitHub儲存庫,存在多個高權限的AWS GovCloud政府雲端服務帳號,以及大量CISA內部系統憑證,由於儲存庫公開的資料透露CISA如何在內部建置、測試及部署軟體,而可能成為近年來美國政府最為嚴重的資料外洩事故,對此,CISA發言人表示,他們已知悉此事並著手調查。此儲存庫被命名為Private-CISA,內容為大量內部CISA與國土安全部(DHS)的憑證與檔案,包括雲端金鑰、權杖(token)、明文密碼、事件記錄,以及其他敏感的CISA資產,疑為承包商維護。
GitHub在社群平臺X證實,該公司正在調查內部儲存庫遭未授權存取事件。目前官方尚未公布事件時間、入侵途徑與受影響儲存庫數量,僅表示尚無證據顯示GitHub內部儲存庫以外的客戶資訊受到影響。該起事件與GitHub內部儲存庫的未授權存取有關,GitHub在這則說明中未提及事件發生時間、入侵途徑、受影響的內部儲存庫數量,也未說明是否涉及憑證、存取權限或內部系統設定等資訊,僅表示正密切監控基礎設施是否出現異常活動。
5月19日微軟宣布成功瓦解自2025年開始運作的惡意軟體簽章服務(Malware-Signing-as-a-Service,MSaaS)平臺,經營者是以經濟利益為動機的駭客團體Fox Tempest,他們濫用微軟的Artifact Signing系統為惡意程式簽章,使其能暫時躲過資安系統的偵測。值得留意的是,由於Rhysida、INC、Qilin、Akira等勒索軟體駭客組織都採用Fox Tempest的服務簽署惡意程式,進而成功入侵全球數以千計的電腦,這項瓦解網路犯罪服務的活動,將重創網路犯罪生態。
執法行動Operation Ramz查封53臺惡意軟體及網釣伺服器
5月18日國際刑警組織(Interpol)宣布,他們在中東及北非13國執法機關的合作之下,於2025年10月至2026年2月28日展開Operation Ramz行動,針對網路釣魚與惡意軟體活動進行調查,並瓦解惡意基礎設施,共逮捕201名嫌犯,另確認有382人涉及從事網路犯罪活動,查扣53臺伺服器,受害者達到3,867人,這也是國際刑警組織首度在中東及北非地區主導的大規模執法行動。
微軟近日宣布修改Microsoft Edge瀏覽器的密碼管理機制,未來瀏覽器啟動時,將不再將所有已儲存密碼以明文(cleartext)載入記憶體,而是改為僅在用戶需要時再進行處理,以降低由此產生的風險。這項變更源自資安研究人員Tom Jøran Sønstebyseter Rønning早先的揭露,指出Edge啟動時,會將所有儲存密碼以明文形式載入記憶體。相較之下,多數Chromium架構的瀏覽器,通常僅在使用者需要的時候,才會解密與載入特定密碼。
Mozilla發布Firefox 151更新,修補逾30項資安漏洞
5月19日Mozilla基金會發布Firefox版本更新,151版強化新分頁Firefox Home的內容呈現方式,並支援用戶在無須關閉視窗的狀態下,清除無痕瀏覽模式(Private Browsing Mode)的連線階段(session)資料,並強化Standard Enhanced Tracking Protection的反追蹤機制,限縮裝置與瀏覽器所能提供的資訊,同時也修補了31個資安漏洞。高風險漏洞有2個是有關記憶體安全的臭蟲,分別被登記為CVE-2026-8973與CVE-2026-8975,值得留意的是,美國網路安全暨基礎設施安全局授權資料發布單位(CISA-ADP)對這兩個漏洞的CVSS嚴重度評分,都達到9.8(滿分10分)。
5月14日博通(Broadcom)發布資安公告,執行在macOS電腦的個人端虛擬化軟體VMware Fusion存在權限提升漏洞CVE-2026-41702,此為SETUID二進位檔運作因檢查時間及使用時間不一致(TOCTOU)造成的弱點,攻擊者在取得非管理員使用者權限的情況下,可用來將權限升級為root,CVSS風險評為7.8分,為高風險等級,影響25H2版的VMware Fusion,博通已發布26H1版予以修補。
資安廠商Ivanti針對裝置管理平臺Ivanti Endpoint Manager(EPM)發布5月例行安全性更新,這次一共修補3項資安漏洞CVE-2026-8109、CVE-2026-8110、CVE-2026-8111,一旦成功被利用,可能導致洩漏資訊、提升權限,或是遠端執行任意程式碼(RCE),該公司發布2024 SU6版更新予以修補。從危險程度來看,這次修補的漏洞有兩個是高風險等級、一個中度風險等級,其中最危險的是CVE-2026-8111,此為SQL注入漏洞,攻擊者在通過身分驗證的情況下,即可遠端執行程式碼,CVSS風險為8.8分。
PostgreSQL資料庫發布更新,修補11項漏洞與60多項程式錯誤
PostgreSQL資料庫全球開發團隊近日發布更新,同步針對所有仍受支援的主要版本提供更新版進行修補,涵蓋14.x、15.x、16.x、17.x與18.x等5個版本,並修補11項漏洞與超過60項程式錯誤。這次PostgreSQL修補的11個漏洞中,最嚴重的是CVE-2026-6637、CVE-2026-6473、CVE-2026-6475與CVE-2026-6477等4個漏洞,CVSS嚴重性評分均為8.8分。
仍有將近3500臺Wazuh主機未修補執行任意程式碼漏洞,暴露於攻擊風險下,用戶需儘速更新
4月底揭露的開源資安監控平臺Wazuh重大漏洞CVE-2026-30893,可能導致攻擊者在受害者網路上橫向移動、覆寫系統檔案,以及執行任意程式碼,CVSS嚴重性評分達9.9分,Wazuh專案已釋出4.14.4版修補。但時隔超過兩週時間後,仍有大量Wazuh用戶尚未完成修補。依據資安監測組織Shadowserver基金會的掃描資料,截至5月17日為止,仍有多達3,416臺未修補前述漏洞的Wazuh主機,暴露於網際網路上,其中臺灣有19臺。
Pwn2Own Berlin 2026爆滿,傳出無法報名的研究員報復性揭露漏洞
根據資安新聞網站HackRead報導,在5月14日至16日於資安大型會議OffensiveCon舉辦的漏洞挖掘競賽Pwn2Own Berlin 2026,傳出因主辦單位Zero Day Initiative(ZDI)無法再處理更多參賽隊伍報名,提早於5月7日停止受理,這種現象在Pwn2Own舉行19年以來首度出現。由於許多研究人員未能參與,他們選擇報復性公開漏洞資訊(revenge disclosure),將手上的漏洞資訊直接提供給軟體開發者,並將細節在網路上公開。
Meta MBBRC首度登臺!祭30萬美元獎金鎖定AI代理等安全
Meta近日於臺北舉辦年度Bug Bounty研究者大會(Meta Bug Bounty Researcher Conference,MBBRC),該場活動首度移師臺灣,於5月6日到5月9日舉行。本屆大會匯集來自26國、80多位全球頂尖資安研究人員,其中包含10位臺灣研究人員,共同進行為期數日的技術研討與漏洞挖掘,參與者若發現漏洞,最遲須在5月29日前提交。Meta現場也祭出重金,針對活動期間發現的漏洞,提供最高30萬美元的獎金。
IBM宣布擴大企業資安工具與服務,以因應攻擊者利用先進AI加快偵察、漏洞發現與利用等攻擊流程的趨勢。這次公告涵蓋運用AI輔助漏洞管理的應用程式風險管理平臺IBM Concert、顧問服務IBM Consulting,以及採多代理架構的資安服務IBM Autonomous Security;IBM也參與AI業者Anthropic推動的Project Glasswing,識別與修補廣泛使用軟體的漏洞,並透過協調式揭露、向上游的開放原始碼專案提交修補程式,以及分享最佳實務等方式,將成果回饋給社群。
多家軟體供應商2026年以來CVE揭露量攀升,Chrome大增563.2%,AI輔助漏洞發掘影響浮現
漏洞情資業者VulnCheck於5月14日發布分析指出,2026年以來,多家軟體供應商的CVE揭露數量明顯增加,其中Google瀏覽器Chrome年增563.2%,VMware、Apache、Mozilla、HPE與F5也都出現顯著成長。該公司認為,這波變化與AI輔助漏洞發掘工具逐漸成熟的趨勢相符,但不能將所有成長直接歸因於AI。至於這波漏洞揭露高峰是否會持續下去,還是只是先進AI模型導入不同程式碼庫後形成的短期現象,仍有待觀察。
面對AI漏洞風暴!資安署籲企業重視基本功,並強調從「預防被打」轉向「迅速復原」
面對先進AI模型引發的資安威脅,已成為各國政府高度關切的重點。例如:美、英、加監理機關與銀行高層,陸續傳出對於相關風險的研討,英國國家網路安全中心(NCSC)亦特別提醒企業,必須先完善內部的漏洞管理機制再嘗試使用AI尋找漏洞。如今臺灣數位發展部資通安全署(資安署)亦發布應對作為,強調在AI用於漏洞挖掘與攻擊的能力快速增長態勢下,政府與企業應強化資安基本功,全面強化數位安全韌性。
因應AI時代資安風險,Dell整合資料保護平臺並擴展威脅偵測能力
隨著AI工具與AI代理應用快速普及,企業面臨AI驅動攻擊與誤操作風險也同步升高,也讓事故發生後的資料復原能力愈加重要,必須提升復原架構的效率,並確保乾淨可用的複本。針對這方面的需求,Dell在近日舉行的Dell Technologies World大會中,發表新的資料保護平臺PowerProtect One,並為PowerStore與PowerMax等兩大主力儲存產品線,新增Cyber Detect威脅偵測服務。
NVMe協定啟動後量子密碼學規格更新,因應量子運算時代加密威脅
負責NVMe儲存協定標準制定的NVM Express聯盟近日表示,正著手更新NVMe協定規格,導入後量子密碼學(PQC)支援,以因應未來量子運算對於現有加密技術的威脅。在日前發表的部落格文章中,NVMe管理介面工作組主席John Geldman說明NVMe協定支援PQC的具體方式與時程,包括採用NIST PQC演算法,還將支援長度更大的金鑰、寬度更大的欄位,以及修訂加密協定的定義,以符合NIST與CNSA 2.0等標準的要求。
微軟預覽伺服器Linux發行版Azure Linux 4.0,可藉此強化安全性
微軟本週在北美開源高峰會(Open Source Summit North America)2026上公布執行於Azure VM上的Azure Linux 4.0預覽版,成為該公司首個執行在雲端伺服器版Linux作業系統。微軟指出,藉由精簡套件、供應鏈透明化強化安全性,並使效能指標從主機到容器一致化。好處是可減少法規限制或敏感性工作負載面臨的攻擊面,且Linux發行版由營運Azure雲端服務的同一團隊維護,也有助於縮小兩個環境的安全空窗。微軟表示,在公開環境開發,並且以上游優先(upstream first)原則貢獻,強化Azure Linux安全性有助於生態體系的擴大。
Redis推出AI代理情境引擎Iris,提供專為資料安全設計的上下文檢索器
即時資料平臺公司Redis推出Redis Iris,整合5項情境與記憶工具,讓AI代理安全檢索企業資料並保存互動記憶,並透過資料同步、語意快取與搜尋取得更新任務情境。其中新推出、以預覽形式提供的Context Retriever,主要用來讓代理存取結構化企業資料,開發者可先定義資料中的實體、欄位、關係與存取規則,系統再自動產生代理可呼叫的MCP工具。代理執行時會以限定範圍的金鑰驗證身分,只能看到被授權的工具,並透過Redis與Redis Search執行索引查詢,伺服器端也會套用列層級過濾。
強化臺灣的通訊基礎韌性,遠傳與Amazon Leo合作引進低軌衛星網路服務
遠傳電信宣布與已和Amazon的旗下低軌衛星網路服務Amazon Leo簽署合作協議,成為其在臺灣的授權經銷商,將高速低軌衛星服務引進臺灣市場,未來將鎖定政府及企業客戶,提供高韌性通訊服務。遠傳總經理井琪表示,低地球軌道(LEO)衛星具備廣覆蓋、低延遲特性,能在山區、海域或極端天候等傳統網路不易涵蓋的環境中提供連線能力,也適合海事、農業與礦業等特殊場域需求。遠傳希望透過導入Amazon Leo,進一步強化臺灣的通訊基礎韌性。
近期資安日報
【5月19日】Linux核心再傳Copy Fail新變種漏洞
