臺灣資訊服務業互動資通(Teamplus)遭網路攻擊而疑似發生簡訊平臺癱瘓,有資料外洩的風險,由於事件影響層面甚廣,其嚴重性格外受到關注,金融資安資訊分享與分析中心(F-ISAC)已對此資安事件發布黃燈警訊,要求會員機構採取「先盤點暴露面,再應變處置」的緊急措施。
此外,馬偕醫院再度傳出資料外洩消息,院方雖表示疑似與2025年舊案有關,但考量去年CrazyHunter勒索軟體曾鎖定國內多家醫院與上市櫃企業發動攻擊,後續是否仍有更多機敏資料外流,也成為需要緊密監控的焦點。
另一方面,資安署查出高德地圖App會主動擷取剪貼簿內容,此狀況不僅引發臺灣用戶憂慮,也受到全球關注,再次突顯相關隱私風險的潛在代價,恐遠超一般民眾認知。
政策法規
企業簡訊平臺EVERY8D服務中斷數日,在社群平臺持續引發用戶抱怨,後續傳出營運該平臺的臺灣資訊服務業互動資通遭駭消息,由於該平臺每月簡訊發送量逾億封,涵蓋銀行身分驗證、電商交易、政府通知及金流OTP等多項關鍵服務,嚴重威脅臺灣商業與民生系統,演變成國家級供應鏈資安風暴。
行政院將設國家AI戰略特別委員會,國科會研擬國家AI發展綱領,數發部近期將公布風險分類框架
為因應人工智慧發展,行政院針對《人工智慧基本法》的後續推動與部會分工已有明確布局。政府將設立「國家人工智慧戰略特別委員會」,由行政院長親自擔任召集人,全面協調與督導全國AI事務,並由國科會負責統籌國家AI發展綱領與治理事務,作為後續AI治理與政策推動依據。在具體執行層面,有兩大焦點,首先是各級政府機關必須在今年7月前完成公務使用AI的風險評估,並在1年內建立AI內部控制與管理規範,其次是由數發部研擬的AI風險分類框架及驗證工具,未來會由各目的事業主管機關,針對所轄產業的AI應用風險,訂定管理規範與產業指引,同時完成相關法規調適與修正。
市占第一OTP簡訊平臺EVERY8D遭駭,F-ISAC發布黃燈級資安事件警訊
臺灣資服務業互動資通,旗下全臺市占第一的企業簡訊龍頭EVERY8D,日前疑遭勒索軟體入侵,包括網路拓樸與簡訊平臺相關內容等機敏資料遭外洩,並於駭客論壇公開兜售。而在此之前,社群媒體上已有許多民眾抱怨EVERY8D企業簡訊服務癱瘓已逾一週,以及許多電商、金流業者的認證簡訊無法發送災情。金融資安資訊分享與分析中心(F-ISAC)於5月26日對此資安事件示警,發布黃燈等級的資安事件警訊,要求所有會員機構必須採取「先釐清暴露面,再進行應變處置」的緊急手段,同時發布五點防禦指引作為會員機構的防禦參考。這起事件更是潛藏令人不安的國安威脅,因為駭客所釋出的資料庫外洩樣本中,也有大量涉及臺灣五院、總統府、各部會,以及軍隊相關的真實簡訊日誌紀錄。
國家級緊急預警系統是政府傳遞警報的工具,若遭不肖分子駭入並用於散布社會恐慌,將帶來動盪,近日秘魯的「緊急早期預警訊息系統」(SISMATE)就發生這樣的事故,有攻擊者在5月20日傍晚入侵系統並向全國民眾發送8.7級強震與海嘯的虛假警報,秘魯交通與通訊部(MTC)指出,這次事件是有攻擊者透過供應商Consorcio Everbridge的帳號非法存取SISMATE系統導致。該國MTC表示,已要求持續監控、圍堵與調查,並釐清法律責任;同時呼籲民眾保持冷靜,所有緊急資訊應向政府官方管道查證。
數發部資安署實測四款中國App,同樣是導航地圖,高德比Google Maps更危險
數位發展部資通安全署於5月27日召開記者會,公布對高德地圖、嗶哩嗶哩(Bilibili)、愛奇藝(iQIYI)及BIMOBIMO等四款中國App的資安檢測結果,指出在十五項檢測指標中,高德地圖在Android平臺驗出高達十一項高風險行為,iOS平臺也有八項,是本次檢測中風險最高的應用程式,而同樣是地圖導航類App,Google Maps在相同的測試框架下,卻未發現高德地圖最具爭議的行為,尤其在使用者未主動操作的情況下,高德地圖會「主動擷取剪貼簿」內容。這項差異清楚揭示使用中國製導航App後,其潛在代價已遠遠超過一般人的認知。
海纜安全議題是國人關注一大焦點,近日數發部宣布,中華電信已於25日通報完成臺馬二號海纜修復作業。至於臺馬三號海纜,現在仍處於待修狀態,預估7月底才會修復。數發部進一步表示,未來將持續落實「備援再備援」策略,包括在關鍵節點布建非同步衛星站點、補助電信業者擴充微波容量,以及持續推動海纜建設與更新工程,透過海纜、微波與衛星等多元異質網路架構,降低單一通訊路徑故障所帶來的衝擊。這些舉措反映了數發部在建構數位韌性時,已將多元異質網路視為提升基礎設施抗災能力的重中之重。
NIST發布SP 800-172第三版修訂,強化對抗APT韌性
企業在重視SP 800-171的合規基礎之餘,作為SP 800-172的最新進展亦值得關注。美國NIST於5月13日發布SP 800-172r3,第三版同樣是針對「高價值與敏感資訊」所設計的增強型安全規範,新版不僅強化了各項防護要求與評估程序,同時也確保與SP 800-53(Release 5.2.0)維持高度同步。若是企業有支援CMMC合規、強化供應鏈韌性,或是對接RMF風險管理框架的需求,皆可將SP 800-172r3及其配套評估指南作為重要的參考依據。
NIST公布PQC數位簽章標準化新進展,9款候選演算法挺進第三輪
自2024年8月發布首批PQC標準以來,美國NIST持續擴展後量子密碼體系的陣容,近日該單位宣布,額外數位簽章方案(Additional Digital Signature Schemes)的PQC競賽,已進入第三輪階段的評選,共有9款提交的演算法繼續競爭,包括FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign與UOV。NIST預計展開為期兩年的評估,以選出更多PQC標準。另也提醒首批PQC標準已經發布,應盡速進行遷移。
為了讓研究人員、供應商,以及產業合作夥伴能更容易通報遭到利用的漏洞,美國網路安全暨基礎設施安全局(CISA)推出已遭利用漏洞列表(KEV)的漏洞提報表單系統,期望透過此新機制,增加CISA快速識別、驗證、共享KEV相關的重要威脅情資。CISA表示,這麼做是為了鼓勵研究人員進行誠信的資安研究,並促進透明、協調的網路風險修復。研究人員想要透過該系統通報漏洞,必須提供漏洞的CVE編號、遭到利用的證據,以及緩解弱點的明確指引。
AI資安
Security for AI的戰線極長,有專家提出AI防禦矩陣(AI Defense Matrix),嘗試將複雜的AI風險結構化,不僅協助企業梳理AI系統的攻擊面,也幫助資安供應商規畫對應的防禦方案。Project Glasswing新進展亦備受關注,Anthropic掃描逾千個開源專案共找出23,019個漏洞,近50家夥伴也發現逾萬個漏洞,並已預告將擴大計畫合作對象。
開源AI代理框架PraisonAI公布高風險漏洞數小時後,即遭遇駭客鎖定掃描
AI代理平臺也開始面臨漏洞公開即遭掃描的風險。開源AI代理框架PraisonAI近日修補身分驗證繞過漏洞CVE-2026-44338,但漏洞公開不到4小時,資安業者便觀察到攻擊者開始掃描暴露系統,凸顯AI代理平臺快速普及後,企業修補漏洞的時間窗口正持續縮短。
2026年的資安面臨多項重大挑戰,絕大多數都與AI有關,在此同時,量子安全議題也快速升溫,這些均迫使政府與企業必須採取積極應對的態度。出席2026臺灣資安大會的Palo Alto Networks日本暨亞太地區政策與政府事務副總裁Nicole Quinn認為,攻擊是可以預防的,資安問題是能夠解決的,關鍵在於能否充分運用AI進行防禦,我們必須掌握三大策略:提升事件偵測與遏制的速度、降低基於身分與AI代理而導致的風險暴露,以及建立涵蓋整個網路環境的運作狀態觀測分析視野,改善雲端服務、端點與第三方系統整合的能見度。如此一來,企業將更能掌握AI的運作位置,確認其是否按預期執行任務,並在必要時予以停止。
CDM發明人推AI Defense Matrix,建構AI安全配套框架
AI Defense Matrix於2026年5月發表.jpg)
因應AI安全,Cyber Defense Matrix(CDM)發明人Sounil Yu與資安專家Lenny Zeltser合作,在5月發表全新的AI防禦矩陣(AI Defense Matrix),並定位其為CDM在Security for AI領域的配套框架。對於如何運用AI Defense Matrix,兩人指出:對企業資安主管而言,該框架能協助識別防禦缺口、確立權責歸屬,並針對AI系統採取精準的控管措施;對資安供應商而言,則有助於釐清產品價值定位,並擬定更具策略性的發展藍圖。
Anthropic公布Project Glasswing實施一個月成果,Claude Mythos已找出超過三萬個資安漏洞
Project Glasswing計畫執行一個月後,Anthropic於5月22日公布成效,指出近50家合作夥伴利用Mythos預覽版找出逾1萬個漏洞,Anthropic亦運用Mythos掃描逾千個開源專案,共找出23,019個漏洞。另一關注焦點在於漏洞挖掘的品質,經6家資安公司與Anthropic審核其中1,752個高風險項目,確認有1,587個(90.6%)為有效弱點,並有1,094個(62.4%)被認定為高風險或重大漏洞。
Anthropic預計擴大Project Glasswing合作對象,目標是將Claude Mythos推向一般企業
Anthropic上個月公布Claude Mythos預覽版時,考量該模型尋找程式碼漏洞的威力極大,透過Project Glasswing,限定僅有部分合作夥伴能使用Claude Mythos,迄今已有將近50家合作夥伴用Claude Mythos來搜尋自家環境或產品軟體的漏洞。接下來,Project Glasswing將擴大到更多關鍵合作夥伴,包括美國及盟國政府。至於何時向一般企業開放,Anthropic表示時機未到,因為目前業界尚無足以防範模型被惡意濫用的強大安全機制。
SAS CIO揭內部GenAI實戰經驗,企業IT轉向平臺治理、資安規範與AI標準管理
數據分析大廠SAS揭露AI轉型最新進展,該公司資訊長Jay Upchurch表示,SAS不僅由各部門設置AI推動者,用以分享使用經驗、推廣成功案例並交流新想法,如今內部更已建立超過4,200支AI代理,且每支代理皆由建立者自行管理生命週期。這意味著企業IT的角色正大幅轉變,從過去的系統建置與工具供應,轉向專注於平臺治理、資安規範與AI標準管理。針對AI對資安帶來的衝擊,Jay Upchurch直言「漏洞管理再也不一樣了」,SAS已開始全面導入AI進行漏洞掃描、安全檢測與弱點管理,以確保能跟上AI時代下漏洞產生的速度。
面對開發速度暴衝引發的新挑戰,中華電信建構ChainStrike AI驗證閘門,加速資安檢測
當AI將軟體開發效率大幅推升,傳統人力資安檢測方式勢必難以負荷,中華電信揭露應對新作法,不僅以AI加速資安團隊既有日常工作流程,在提升資安品質與效率方面,更是打造出ChainStrike AI資安驗證閘門的架構,積極實驗AI白箱檢測與AI滲透測試的可行性,透過AI自動化驗證,確保資安檢測能跟上開發節奏。這項趨勢也呼應了當前全球資安領域的發展方向,因為在GitHub平臺已湧現數十個AI滲透測試專案,顯示相關需求正促使這方面的發展。
AI普及讓詐騙門檻降低!Visa揭示支付威脅新趨勢:犯罪集團轉向攻擊「人」而非破解技術
支付安全新挑戰浮現,Visa最新報告指出,隨著支付安全防禦機制的精進,裝置Token竊取詐欺(Device-token fraud)的相關案件已年減9.6%,而針對卡號資訊進行暴力猜測的列舉攻擊(enumeration),其造成的損失亦下降16%,但是,罪犯已將矛頭轉向利用AI與社交工程,誘騙使用者自行授權付款,去年下半年偵測到的企圖詐騙金額已逼近10億美元,顯現詐騙已成為成長最快的受害類型。
Health-ISAC警告Claude Mythos加快漏洞研究,醫療健康產業修補壓力升高
醫療健康產業資安情資分享組織Health-ISAC發布報告,警告AI模型開發商Anthropic的Claude Mythos Preview已展現高度漏洞研究能力,這類模型若維持嚴格控管,可協助防禦方更快找出並修補弱點;但一旦外流,也可能像Cobalt Strike與Brute Ratel等合法資安工具一樣,遭威脅行為者濫用。
AI推論框架SGLang遭揭3重大漏洞,未驗證攻擊者恐遠端執行程式碼
AI推論框架SGLang存在3項重大風險漏洞,包括CVE-2026-7301、CVE-2026-7302與CVE-2026-7304,CVSS風險評分在9.1分與9.9分,值得關注的是,資安業者Antiproof在3月已經通報,CERT/CC亦發布了漏洞報告VU#777338,但目前還沒有修補釋出,CERT/CC建議先限制服務介面存取。
向量資料庫ChromaDB存在嚴重漏洞,未驗證請求可藉惡意模型觸發RCE
開源向量資料庫ChromaDB Python FastAPI伺服器存在重大漏洞CVE-2026-45829,在GitHub相關回報中有人特別提到,這項漏洞主要影響Python實作部署方式的後端,建議ChromaDB用戶改為不受影響的Rust實作版本。資安業者HiddenLayer更是指出,該漏洞從ChromaDB 1.0.0就存在,至1.5.8仍未修補,最新1.5.9也沒有明確說明是否修補。
Gemini 3.5刪除近3萬行程式碼,修改設定,導致用戶系統斷線半小時
主打開發代理人的最新版AI模型系列Gemini 3.5,甫於上週登場,但有聲稱是開發人員的用戶在網路論壇表示,慘遭Gemini 3.5刪除將近3萬行程式碼、新增錯誤配置及擅自修改設定,導致營運系統斷線超過半小時,而且Gemini還虛構復原網站的記錄。不過這名用戶後來發現,Gemini出錯不能全怪Google。他分析自己的專案安裝一個名稱刻意模仿Google Antigravity IDE的第三方npm套件,而導致Gemini遭誤導。這第三方規則套件(rule pack)中的規則語氣與優先級設計,對Gemini的強制力壓過了Gemini對警告的遵從。
Anthropic揭露Claude代理安全設計,以環境邊界限制損害範圍
AI代理安全議題備受關注,近日Anthropic公開自家Claude代理安全的設計方式,不僅揭露Claude Code曾經出現信任邊界問題,亦公開自身在此方面的設計開發經驗,並強調當AI代理取得檔案、命令列、網路與外部工具存取能力後,不能只依賴模型判斷或人工批准,而要透過執行環境隔離、檔案系統邊界與網路出口管制,限制代理遭誤用、遭攻擊或執行非預期動作時的損害範圍。
Anthropic公布自管代理人沙箱、Claude安全指引外掛、治理工具
Claude Managed Agents新的安全功能浮上檯面,Anthropic將推出可讓代理人執行在企業自選雲端平臺的自管沙箱(self-hosted)及MCP通道(MCP tunnel),可允許Claude託管代理人運行在由企業控制的沙箱,並以MCP通道(MCP tunnel)連結到私有MCP(Model Context Protocol)伺服器。代理人執行工具的沙箱及代理人連結的服務,都是跑在企業建立的邊界內,受企業安全及Runtime控制。Anthropic同時宣布安全指引外掛(plugin),可作為Code Review的執行階段助理。
CIS專家看Mythos AI風險:漏洞發掘加速考驗企業資安基本功
關於Claude Mythos、GPT-5.5-Cyber等先進AI模型投入資安研究場景後的變化,美國非營利資安組織網際網路安全中心(CIS)資深副總裁Tony Sager指出,零時差漏洞並不是新問題。Mythos這類AI工具真正改變的,是漏洞被發現與揭露的速度,以及漏洞研究可能涵蓋的技術領域;這將使企業資安團隊面臨更多漏洞通報與更緊迫的應變壓力,但並不代表既有防禦策略已經失效。他並針對企業領導者給出建議,應從資安治理的五項基本問題出發。
Anthropic悄悄修補已存在近半年的Claude Code沙箱漏洞,未公開揭露引發研究人員批評
資安研究人員Aonan Guan揭露Anthropic旗下Claude Code存在網路沙箱(Network Sandbox)漏洞,攻擊者可利用空字節注入繞過外連線限制,搭配提示注入能進一步竊取GitHub Token、API金鑰與原始碼。此漏洞已存在5個半月,影響大約130個Claude Code版本,Anthropic雖已於2.1.90版修補,但自始至終都未發布安全公告、或揭露相關訊息,引發研究人員批評。
外界擔憂Mythos恐助長大規模網路攻擊,部分資安專家認為風險被高估
先進AI模型漏洞挖掘與利用的能力已引發全球矚目,但有部分資安專家認為,AI輔助漏洞研究並非新現象,外界擔心Mythos將大幅推升駭客攻擊能力的看法,可能被高估。但許多專家同樣也提醒,提升攻擊方能力是一回事,企業應對是另一回事,企業真正面臨的挑戰,仍是如何驗證、排序並修補大量新發現的弱點。
駭客濫用Google廣告與Claude.ai對話分享頁面,對macOS用戶散布惡意程式
資安人員揭露,駭客濫用Claude.ai公開對話分享頁面,結合Google搜尋廣告,偽裝為Claude Code的安裝教學,誘導macOS用戶執行惡意終端機指令。由於攻擊使用真正的claude.ai網域,較難以假網域名稱識別。惡意程式會下載MacSync等資訊竊取工具。
AI是否加速Linux漏洞發現受關注,OpenSSF專家稱約三成漏洞通報為重複案例
近期Linux核心漏洞接連曝光,引發外界關注AI工具是否正在改變漏洞發現與通報速度。Linux創始人Linus Torvalds在北美開源高峰會上指出,透過AI工具發現的漏洞,基本上已難以再視為秘密;若仍以私密郵件清單處理,不僅浪費各方時間,也可能使重複通報問題更加嚴重。開源軟體安全基金會(OpenSSF)首席安全架構師Christopher Robinson則從維護者負擔角度提出警訊。表示隨著更多人使用AI工具進行漏洞研究,回報的Linux資安漏洞約有30%是重複案例。
1Password整合OpenAI Codex,讓AI代理使用憑證但又不取得秘密值
為了降低AI代理在開發與部署時的憑證外洩風險,1Password宣布與OpenAI展開深度整合。這項整合的最大亮點在於,Codex雖能建立環境、整理變數名稱並準備應用程式所需的設定,但真實的秘密值既不會透過MCP通道被讀取或回傳,也不會寫入磁碟。此外,每當Codex嘗試透過1Password存取相關環境或憑證時,皆需要使用者明確核准。
Google Cloud正式推出GKE Agent Sandbox,發表Agent Substrate開源專案
Google Cloud正式開放可部署於GKE的雲端原生沙箱環境GKE Agent Sandbox,定位為AI代理的基礎執行層,主打安全隔離、快速啟動與降低閒置成本,並同步提出開源基礎架構專案Agent Substrate,以因應超大規模AI代理在執行與排程上的需求。
微軟開源兩項工具,一是可測試AI代理安全性的工具RAMPART,主要是建立在微軟既有的生成式AI紅隊自動化框架PyRIT之上,讓工程師在系統還在開發時,就能把安全情境寫成測試,另一是Clarity專案,則處理更早期的設計問題,可用於偏向開發前的問題釐清與決策紀錄。
資料安全
本週國內資安焦點首推馬偕醫院再傳資料外洩危機,雖然馬偕醫院表示此為2025年舊案,但這也讓人聯想到去年「CrazyHunter」勒索軟體針對臺灣多家醫院與上市櫃公司的一連串攻擊事件。此類舊案外洩資料重提的現象,未來是否會有更多受害者資料被公開,將成為目前各界嚴密監控的焦點。
馬偕紀念醫院再傳資安危機,5月26日國內多家媒體報導指出,有一個稱為The BlackH4t MD-Ghost的駭客組織聲稱取得馬偕全臺5家醫院1.2TB醫療資料,隨即馬偕醫院對此發布聲明稿表示,經了解後疑似為2025年舊案,同時指出目前並未發現網路流量異常現象。對於可能是舊資料遭網路犯罪者兜售的情形,該院亦表示已向臺北市調查處報案。
數字科技發布資安重訊,揭露開發測試流程疏失導致原始碼與個資外流
旗下擁有591房屋交易網、8591、518熊班與小雞上工等知名平臺的數字科技(5287),於5月26日晚間發布資安重訊,說明25日進行內部活動網頁開發與測試作業時,因程式碼管理設定不當,致使部分尚未去識別化的測試原始碼曾短暫被推送至外部平臺,而這些內容涉及特定專案的會員姓名、身分證字號及電子郵件等敏感資訊。該公司並揭露具體處置過程,當日發現後立即應變,並於當天下午2時完成全面下架、刪除及封鎖程序。隨後技術團隊同步執行歷史紀錄清除、外部存取痕跡確認、密鑰輪替以及全站程式碼安全掃描,確保該風險路徑已完全阻斷,另也公布6項未來改善措施。
駭客團體TeamPCP兜售GitHub近4千個儲存庫資料,GitHub證實為受到Nx Console的供應鏈攻擊波及
駭客團體TeamPCP近日聲稱竊得GitHub近4千個內部儲存庫的程式碼,GitHub調查此事後,指出有一員工安裝了包含惡意套件的Nx Console 18.95.0版,該公司是在2日前偵測到這名員工的裝置被入侵,當時他們就移除套件,將端點隔離,然後展開事件回應流程。由於Nx Console事故源於開發者受到TanStack攻擊活動波及,換言之,GitHub此次事故同樣可追溯至TanStack遭受攻擊。
7-Eleven近期傳出遭勒索軟體組織ShinyHunters攻擊而外洩大量資料,5月下旬被證實,本週密碼外洩查詢網站Have I Been Pwned(HIBP)將這起資安事故加入資料庫,並指出有18.53萬個帳號受到影響。根據HIBP掌握的駭客公開資料,他們認為,關於業者遭外洩資料的系統,符合7-Eleven後續以電子郵件通知受影響人員的說法(外洩資料來自該公司存放加盟商文件的系統)。
汽車大廠賓士(Mercedes-Benz)土耳其分公司疑似近日遭到勒索軟體攻擊,資安業者VECERT指出,有駭客組織將賓士土耳其分公司Mercedes-Benz Türk列入勒索外洩名單,研判外洩資訊可能來自賓士公司自行開發的Xentry車輛診斷系統的資料。此外,研究人員亦在4月間發現涉及德國賓士分公司的資料外洩事件。目前賓士集團尚未證實資料外洩或資安事件一事。
工業測試設備製造商Fluke資料外洩波及1.85萬人,駭客竊取身分與身障等敏感資訊
美國工業測試設備製造商Fluke,近日通報一起可追溯至2025年8月的資料外洩事件,約1.85萬人的個資遭駭客存取,該公司已知會受害者,並提供信用監控等緩解措施。勒索軟體組織Clop聲稱此資料外洩事件是他們所為,但Fluke未予以回應。
Discord全面啟用預設全程加密功能,語音與視訊通話都受專屬DAVE加密協定保護
Discord宣布全面為語音與視訊通話預設啟用全程加密(E2EE),涵蓋私訊(DM)、群組通話、語音頻道與Go Live功能,並採用自行開發且已開源的DAVE加密協定。Discord表示未來將逐步移除允許退回(fallback)至未加密通訊模式的用戶端程式碼,但文字訊息與Stage大型語音廣播頻道目前仍未納入E2EE保護。
Veeam Backup & Replication推出13.0.2版,修補可能導致權限提升與寫入任意檔案的重大漏洞
備份軟體廠商Veeam發布Veeam Backup & Replication 13.0.2版,修補2項重大漏洞,包括Windows代理程式的本機權限提升,以及Linux版備份伺服器的備份管理者寫入任意檔案問題,所有13.x版都受影響,用戶應儘速更新至最新版本。
NetApp擴展Red Hat OpenShift平臺的資料保護支援,強化容器與VM工作負載的備份與還原能力
NetApp宣布擴大對Red Hat OpenShift與OpenShift Virtualization的資料保護支援,可透過NetApp Backup and Recovery為容器與VM提供基於CBT的區塊級增量備份,而NetApp Disaster Recovery服務也新增OpenShift環境公開預覽支援,為容器與VM工作負載提供自動化復原能力。
蘋果OS基礎密碼學程式庫內建兩種量子安全演算法,並推出形式驗證工具
蘋果在5月底針對作業系統發布新的基礎密碼學程式庫corecrypto,當中實作兩種量子安全演算法:ML-KEM、ML-DSA,以及該公司建立的數學證明,以確保它們符合FIPS 203與FIPS 204這兩種美國聯邦資訊處理標準的要求,供專家獨立評估。在此同時,為了提升關鍵軟體安全保障,使其達到最先進的水準,蘋果也發布自行建立的形式驗證(formal verification)程式庫與工具,可針對任何廣泛部署的相關演算法實作,提供已知最強的正確性驗證結果。
端點安全
鎖定微軟與趨勢科技的零時差漏洞攻擊是本星期焦點,微軟緊急修補Microsoft Defender兩項已遭利用的漏洞,趨勢科技亦修補Apex One一項已遭利用的漏洞;此外,Linux系統再次發現LPE漏洞,過去通常每年只有一兩起揭露,近期出現三個類似漏洞,此態勢若持續,企業面臨更頻繁重新啟動伺服器的維運壓力。
微軟修補兩個已遭利用的Microsoft Defender零時差漏洞【CVE-2026-41091、CVE-2026-45498】
微軟修補Microsoft Defender兩個已遭利用的零時差漏洞。首先是權限提升漏洞CVE-2026-41091,影響4.18.26030.3011前版本,微軟已發布1.1.26040.8版修補,CVSS評分7.8,風險等級為重要(Important)。另一個為服務阻斷(DoS)漏洞CVE-2026-45498,影響1.1.26030.3008前版本,透過更新至4.18.26040.7版修補,CVSS評分4.0,屬低風險等級。後續美國CISA將此兩個Microsoft Defender漏洞列入KEV,同時還將另5個公布超過16年的已知漏洞也列入KEV。
值得留意的是,微軟最有價值專家(Microsoft MVP)Fabian Bader於社群平臺X指出,微軟修補的這兩個漏洞,就是之前被公布的RedSun、UnDefend,先前已經傳出零時差漏洞攻擊的消息。
趨勢科技修補端點防護系統Apex One已遭利用的路徑遍歷漏洞【CVE-2026-34926】
趨勢科技修補端點防護平臺Apex One當中的8項弱點,其中路徑遍歷漏洞CVE-2026-34926最要注意,因為已被用於實際攻擊,用戶應儘速採取行動因應。關於零時差漏洞攻擊的狀況,目前攻擊者身分未知,趨勢科技提醒,CVE-2026-34926漏洞存在於內部部署(on-premise)版本的Apex One,CVSS風險為6.7分,其風險在於,攻擊者若能夠存取Apex One主機,並且擁有管理員憑證,才能利用漏洞。
Linux作業系統存在權限提升漏洞PinTheft,攻擊者可在Arch Linux取得root權限
以揭露Fragnesia與DirtyDecrypt聞名的V12資安團隊,再度公布新的Linux核心本機提權(LPE)漏洞PinTheft。Linux核心開發團隊收到他們的通報後已完成修補,該漏洞目前尚未登記CVE編號。關於PinTheft的影響範圍,V12表示,目前只有Arch Linux這個發行版本預設部署相關的RDS核心模組而存在風險,用戶若未使用RDS,最好將其停用。
Linux核心開發團隊修補Qualys通報的本機權限提升漏洞CVE-2026-46333。該漏洞源於Linux核心ptrace路徑缺陷,可將權限提升至root或導致洩露憑證,其CVSS風險評為7.1分。儘管漏洞利用需具備本機存取權限,但攻擊者可藉此竊取/etc/shadow密碼檔、SSH私鑰,甚至劫持D-Bus執行root命令,影響極為嚴重。此外,由於已有研究人員公布PoC程式碼,用戶應儘速套用相關更新。
微軟雖已結束IE瀏覽器產品生命週期,但相關舊工具MSHTA仍存在於Windows,並持續遭駭客濫用。資安業者Bitdefender指出,今年以來,針對MSHTA的惡意攻擊活動顯著增加,駭客主要透過兩種方式將惡意HTA散布至受害者電腦。其一是假冒破解軟體,將改名的MSHTA執行檔藏在壓縮包內,第二種是用於ClickFix手法,誘騙受害者開啟Win+R並將預先植入剪貼簿、用以呼叫MSHTA的惡意指令貼上送出。
Microsoft Defender for Endpoint測試自動隔離被駭端點功能
企業級端點安全產品Microsoft Defender for Endpoint持續提升功能,微軟在本月軟體更新中,釋出自動隔離被駭端點(Automatic device isolation)的新功能預覽。當受管裝置遭受攻擊時,系統會立即將其與公司網路斷線,僅保留與Defender服務的連線以供監控,藉此阻斷惡意程式橫向移動,防範勒索軟體與資料外洩。但微軟也提醒,為防隔離造成營運中斷,若關鍵系統被自動隔離,企業想要解除隔離之前,必須確認快速驗證機制和利害關係人協調,確認惡意活動已經被排除和災害已復原。
網路安全
中國駭客組織Calypso鎖定亞太與中東電信業的揭露是主要焦點,發現該組織利用新型惡意程式Showboat與JFMBackdoor進行長期滲透。網路設備端同樣警訊頻傳,其中SonicWall不僅因MFA漏洞未補全遭攻擊,更出現異常大規模掃描,疑似為新漏洞前兆。
中國駭客利用新式惡意程式Showboat、JFMBackdoor攻擊電信業者
資安研究人員揭露,疑似與中國有關的駭客組織Calypso(也稱為Red Lamassu)持續鎖定亞太與中東電信業者,利用新型惡意程式Showboat與JFMBackdoor滲透Linux與Windows環境。研究指出,這些惡意工具具備長期潛伏、遠端控制與橫向移動能力,並可能在多個與中國有關的駭客組織間流通或共享。
舊款SonicWall SSL-VPN設備多因素驗證漏洞未補全,被駭客破解植入後門
資安業者ReliaQuest發現,部分SonicWall SSL-VPN設備雖已安裝CVE-2024-12802修補更新,但若企業未依安全公告完成額外LDAP設定,仍可能留下MFA繞過風險。ReliaQuest在今年2至3月間發現數起相關攻擊行動,攻擊者以暴力破解SonicWall Gen 6設備的SSL VPN帳號後,繞過MFA而得以VPN存取受害組織內部檔案伺服器,並且整個過程不到30分鐘,比多數SOC手動發送單一警告時間都短。
鎖定SonicWall防火牆的掃描活動激增,可能將出現新漏洞
資安業者GreyNoise示警,他們發現近二星期以來,在網路上鎖定防火牆業者SonicWall管理介面的掃描活動最高一天將近60萬次,可能是發現新漏洞或零時差漏洞的前兆。具體而言,GreyNoise是在今年5月9日到5月18日之間觀察到針對SonicWall SonicOS管理介面的掃描活動出現高峰。其中5月12日,達到597,000次,是平時次數的將近46倍。
網通設備商Ubiquiti修補旗下UniFi OS管理平臺的重大漏洞,這次修補包含3項CVSS嚴重性評分10.0滿分的漏洞,包括CVE-2026-34908、CVE-2026-34909、CVE-2026-34910,未修補可能導致攻擊者執行任意指令、存取系統底層敏感資訊等問題。
思科修補Secure Workload滿分API未授權存取漏洞
原名Tetration的思科雲端工作負載防護暨零信任微分段(microsegmentation)平臺Secure Workload,存在風險值10.0的重大漏洞CVE-2026-20223,思科已釋出最新版軟體解決漏洞。其風險在於,成功濫用此漏洞的攻擊者,可透過Site Admin的管理員權限,跨租戶讀取敏感資訊或變更配置。受影響的產品,包括Secure Workload 3.9及以前版本、3.10及4.0版,涵括SaaS及本地部署環境。不過思科強調,漏洞僅存在產品內部的REST API,不影響Web化管理介面。
知名開源網路流量分析工具Wireshark近日發布4.6.6版更新,修補ROHC與MACsec協定解析器漏洞,攻擊者可能利用特製封包造成程式當機與阻斷服務,主要問題影響4.6與4.4系列版本,新版本也同步修正Windows相容性與安裝問題,建議用戶儘速升級。
Fortinet擴增G系列次世代防火牆,同時連線數可達競品13.7倍
Fortinet在5月推出兩款G系列次世代防火牆,分別針對資料中心等級與中階機型的網路環境建置需求,Fortinet列出它們領先市場其他競爭產品的防護效能與能源使用效益,最顯著的規格項目是同時連線數的規格,這當中的FortiGate 400G系列甚至可達到市場其他競爭產品的13.7倍。
執法機關瓦解犯罪VPN服務First VPN,FBI稱至少25個勒索軟體組織曾用於偵察與入侵
多國執法機關宣布查緝並關閉First VPN,這項VPN服務長期活躍於俄語網路犯罪論壇。歐洲刑警組織(Europol)指出,近年該組織參與支援的重大網路犯罪調查中,幾乎都曾出現First VPN的蹤跡;犯罪分子藉此掩飾身分並隱匿攻擊基礎架構,從事勒索軟體攻擊、大規模詐欺、資料竊取與其他重大犯罪活動。FBI稱至少25個勒索軟體組織曾用於偵察與入侵。
應用程式安全
TanStack供應鏈攻擊事故影響持續擴大,不僅有Nx Console開發者因受此波攻擊導致GitHub憑證外流後,還有GitHub公司傳出資安事故,且調查指出其內部儲存庫遭駭的原因,是受到Nx Console供應鏈攻擊的波及。換言之,GitHub此次事故可追溯至TanStack受駭事件。
Nx Console的VS Code延伸套件傳出遭遇供應鏈攻擊,資安公司StepSecurity透露,若是開發者不小心安裝惡意套件,該套件就會在開發環境搜刮多種憑證與權杖資料。Nx開發團隊發布資安公告證實此事,並說明事故原因是團隊中一名開發者遭遇TanStack供應鏈攻擊,導致GitHub憑證外流,攻擊者得以冒充開發者的身分執行該團隊GitHub儲存庫的工作流程。該團隊將這起事故登記為CVE-2026-48027,並將危險程度評為重大等級。值得關注的是,GitHub已表示受此供應鏈攻擊影響。
cPanel外掛程式LiteSpeed存在滿分漏洞,已有駭客用於以root執行指令碼【CVE-2026-48172】
網頁伺服器系統開發商LiteSpeed在5月21日發布公告,表明他們提供網站主機管理平臺cPanel的外掛程式存在權限提升漏洞CVE-2026-48172,CVSS v4.0風險達到滿分10分,只要攻擊者取得任意的cPanel使用者帳號,就能藉此以root權限執行任意指令碼,這個外掛程式的2.3至2.4.4版均會受到影響。LiteSpeed已發布2.4.5版予以修補,同時強調漏洞已遭積極利用,呼籲用戶應依照指引下達特定指令,以確認伺服器是否遭到入侵,並儘速升級新版以因應風險。五天後美國CISA亦將此漏洞列入KEV清單。
CISA指出Drupal的SQL注入漏洞已被用於實際攻擊【CVE-2026-9082】
內容管理系統Drupal開發團隊修補SQL注入漏洞CVE-2026-9082,團隊將其評為最危險的超重大等級(Highly Critical),顯示其威脅程度極高,兩天後美國網路安全暨基礎設施安全局(CISA)掌握遭到利用的跡象,將其加入已遭利用漏洞清單(KEV)。該漏洞CVSS評分後續亦出爐,達到9.8分。
GitHub出現大規模自動化活動Megalodon,六小時推送近6千筆惡意提交、5,500個儲存庫受害
GitHub面臨大規模自動化攻擊Megalodon,攻擊者在5月18日,於5,561個儲存庫提交5,718次惡意內容。揭露此攻擊活動的資安公司OX Security與SafeDep指出,這次駭客透過已棄用的帳號與偽造的作者身分,將經Base64編碼處理的bash酬載注入GitHub Actions的工作流程,並將CI機密、雲端憑證、SSH金鑰、OIDC權杖(token),以及原始碼等敏感資料偷偷傳出,整個過程僅花了6小時。
CISA要求聯邦機構對近期發生的軟體供應鏈事故採取行動【CVE-2026-8398】 【CVE-2026-45321】 【CVE-2026-48027】
美國CISA將3起供應鏈事故列入已遭利用的漏洞名單(KEV),涵蓋:虛擬光碟機軟體Daemon Tools Lite(CVE-2026-8398)、網頁應用程式框架TanStack的NPM套件TanStack Router(CVE-2026-45321),以及Nx Console的VS Code延伸套件(CVE-2026-48027)的漏洞。CISA強調,這些漏洞存在一個共通點:它們並非一般的軟體弱點,而是因供應鏈攻擊導致軟體被植入惡意程式碼的情況。
OpenSSF發布Python安全程式開發指南,可用於開發者培訓、資安研究與AI工具評測
開源軟體安全基金會(OpenSSF)於5月12日發布《Python安全程式開發指南》(Secure Coding Guide for Python,pyscg)首版,以可執行程式碼範例,示範常見弱點與修正方式,協助開發者建立安全程式開發基本觀念,可用於開發者培訓、資安研究,以及大型語言模型與靜態分析工具評測。
PHP開發框架Laravel的語言套件遭挾持,駭客植入竊資軟體
PHP開發框架Laravel的第三方語言套件專案Laravel Lang,其GitHub儲存庫近期遭到入侵,攻擊者針對三個套件,分別是laravel-lang/lang、laravel-lang/attributes、laravel-lang/http-statuses,發布指向帶有惡意程式碼版本的標籤,並在這些程式碼注入可竊取憑證的程式碼,並藉由composer元件的自動載入功能執行。資安公司Aikido指出,由於惡意碼未提交至官方儲存庫,手法極為隱蔽。目前受影響的233個惡意版本已被Packagist全數移除,並暫時下架相關套件以防擴散。另也指出還有一個專案Laravel-Lang/actions也遭遇攻擊。
日本學習管理系統KnowledgeDeliver存在零時差漏洞,駭客用於部署Godzilla
日本學習管理系統KnowledgeDeliver存在重大漏洞CVE-2026-5426,CVSS風險評分高達9.1。Google旗下的Mandiant與威脅情報團體(GTIG)指出,該漏洞源於平臺採用統一的ASP.NET機器金鑰,攻擊者可繞過ViewState驗證,進行反序列化攻擊並執行RCE。由於金鑰通用,攻擊者只要從單一伺服器取得金鑰,即可入侵其他對外開放的主機。開發商Digital Knowledge已於2月24日釋出新版部署工具修補此漏洞,建議今年2月24日前部署的用戶儘速更新。
因應軟體供應鏈攻擊,Node.js套件管理平臺NPM導入套件暫存發布機制,在套件正式公開前加入人工審查關卡,降低自動化發布流程遭濫用的風險,避免攻擊者在入侵CI/CD環境或竊取權杖後,直接將惡意版本發布到NPM登錄庫。此外,套件暫存發布也可搭配NPM既有的可信任發布(trusted publishing)功能。
為了在程式語言層級確保記憶體安全,微軟.NET團隊有新的行動,聚焦於C#中「不安全(unsafe)程式碼」的處理機制調整。新機制要求所有不安全操作——例如呼叫不安全方法,或是讀寫指標指向的記憶體——都必須置於明確的unsafe區塊內。此舉讓可能影響記憶體安全的責任更明確地出現在程式碼中,並由編譯器協助檢查。目前這項變更暫定為C# 16的功能,計畫於.NET 11提供預覽,並隨.NET 12正式推出
內容管理系統Ghost的SQL注入漏洞,被用於大規模ClickFix網釣攻擊活動
內容管理平臺Ghost今年2月揭露與修補CVE-2026-26980漏洞,5月初中國資安公司奇安信揭露鎖定Ghost平臺的大規模攻擊活動,駭客先利用漏洞CVE-2026-26980取得網站的API金鑰,接著透過API大量竄改文章內容,於頁面植入惡意JavaScript載入工具,目的是建置假的Cloudflare人機驗證網頁(FakeCaptcha),進行ClickFix網釣攻擊,引誘瀏覽網頁的使用者在本機執行惡意命令。
TeamPCP滲透資料圖形化程式庫AntV,影響逾600個套件
駭客團體於5月19日發動Mini Shai-Hulud供應鏈攻擊,鎖定阿里巴巴AntV生態套件。資安公司Socket指出,駭客滲透323個NPM套件並上架639個惡意版本,影響範圍甚廣,多數套件在發布12分鐘內即開始運作。Step Security分析,這些惡意套件含有混淆酬載,旨在竊取GitHub Actions環境內的CI/CD機密。攻擊者鎖定AWS、GCP、Azure等逾130種服務的憑證,並透過濫用GitHub API作為傳輸管道,或偽裝成OpenTelemetry端點回傳C2伺服器,藉此竊取敏感資料。
TrapDoor供應鏈攻擊透過NPM、PyPI、Crates散布竊資軟體
你是加密貨幣、去中心化金融(DeFi)、單體高速區塊鏈Solana,以及AI社群開發者嗎?請小心,因為你可能是這個網路攻擊的目標!近期揭露的攻擊行動TrapDoor中,駭客鎖定上述社群,於NPM、PyPI、Crates.io滲透34個套件,上傳至少384個惡意套件版本,目的是竊取開發者的機密資料,包括加密貨幣錢包、SSH金鑰、雲端憑證、瀏覽器資料,以及環境變數。
Packagist遭遇供應鏈攻擊,8個套件被感染,駭客意圖透過GitHub散布Linux惡意軟體
過往軟體供應鏈攻擊多半針對NPM或PyPI儲存庫而來,如今有人將目標轉移到Packagist。資安公司Socket揭露針對Packagist的供應鏈攻擊事故,有8個套件受到影響,這些套件上游的儲存庫遭到竄改,被植入相同的惡意指令碼,其功能是從特定的GitHub網址下載Linux二進位檔案,並於系統背景執行。進一步追查攻擊者GitHub帳號,在17小時內發現777個惡意檔案,此結果顯示整起攻擊活動的規模比預期的更大。
微軟修補SharePoint高風險漏洞,已通過身分驗證攻擊者可遠端執行程式碼
微軟修補企業協作與文件管理平臺SharePoint的CVE-2026-45659高風險漏洞,CVSS風險分數為8.8,已登入且具備網站成員權限的攻擊者,可能透過網路遠端執行程式碼。這項漏洞可透過網路觸發,攻擊門檻相對較低,不需要誘使使用者點擊連結或開啟檔案;不過,攻擊者仍必須先登入系統,並至少具備SharePoint網站成員(Site Member)權限。微軟也指出,這項漏洞在公告發布時,尚未遭公開揭露或遭利用。
7-Zip發布新版本,修補惡意NTFS映像檔可能導致執行任意程式碼的重大漏洞
開源壓縮工具7-Zip發布26.01版更新,修補重大漏洞CVE-2026-48095。攻擊者可利用特製NTFS映像檔觸發緩衝區溢位,造成程式當機,甚至執行任意程式碼,研究人員指出,惡意檔案可偽裝成一般格式,甚至沒有副檔名,建議用戶儘速更新。
ExifTool修補macOS指令注入漏洞,未更新可能導致惡意圖片metadata導致RCE
多媒體工作流程中廣泛使用的影像metadata處理工具ExifTool,於2月修補重大漏洞CVE-2026-3102,攻擊者可透過特製圖片檔中的中繼資料,在macOS環境下觸發作業系統指令注入(OS Command Injection),進而執行任意指令,macOS用戶需將ExifTool升級至已修補的13.50以上版本。
PuTTY發布0.84版,修補可能導致DoS攻擊的SSH金鑰交換與數位簽章驗證漏洞
PuTTY發布0.84版更新,修補多項SSH金鑰交換、ECDSA簽章驗證與Telnet處理漏洞。其中包括可遠端觸發的double-free漏洞,以及可能誤導使用者信任Telnet連線的信任標記(trust sigil)問題,建議用戶儘速升級,以降低程式當機與阻斷服務攻擊風險。
GitHub釋出Enterprise Server 3.20.3修補多項重大漏洞
GitHub發布Enterprise Server(GHES)3.20.3更新,修補2個SSRF漏洞,以及和上週資安事件與Linux Dirty Frag有關的問題。其中,CVE-2026-9312為重大SSRF漏洞,起因於上傳端點驗證不足,攻擊者可藉此存取內部服務並竊取敏感憑證。本次更新亦針對5月份員工裝置遭惡意VS Code擴充套件滲透、導致約3,800個內部儲存庫外洩的資安事件進行補強,同時修補了兩項與Linux核心Dirty Frag相關的高風險漏洞CVE-2026-43284與CVE-2026-43500。
Google發布Chrome 148更新,修補16個資安漏洞
Google發布Chrome 148更新,修補16項資安漏洞,其中包含WebRTC元件的記憶體釋放後再存取使用(Use After Free),以及介面欺騙(UI spoofing)問題。此外,GPU元件也存在高風險記憶體漏洞,建議用戶儘速更新至最新版Chrome,以降低遭攻擊風險。
身分安全
全球網路釣魚威脅因中國駭客犯罪租賃平臺興起而加劇。Google示警,這些以中文為主的網路釣魚即服務(PhaaS)平臺正迅速擴張,並已在平臺整合AI技術,專門偽冒非中國品牌,讓租用此攻擊平臺的中文用戶可對全球民眾發動網釣。目前,美洲、歐洲、澳洲及中東地區均已出現大量受害者。
Google示警中國PhaaS犯罪服務平臺升級,具AI生成偽冒網站能力
全球網釣威脅因中國網路犯罪租賃平臺興起而更趨嚴峻,Google示警,使用中文為主要語言的駭客族群,其主導的網路釣魚即服務(PhaaS)迅速擴張,已形成技術完整且成熟的網路犯罪供應鏈,GTIG更是發現,這些網釣攻擊租賃平臺已經將AI導入其中,內含AI網頁產生器搭配Puppeteer等工具,讓攻擊者僅需提供URL,平臺即能複製合法網站的HTML、CSS與JavaScript,讓租用此攻擊平臺的中文用戶更容易發動攻擊。
Google揭露中國網釣即服務平臺YY Lai Yu,日本成首要網釣目標
隨著網釣即服務平臺(PhaaS)的興起,使得網釣威脅更加氾濫,Google近日揭露中國PhaaS平臺「YY來魚」,指出該平臺宣稱支援全球119國的網釣活動,提供超過400種網釣模板,當中針對日本開發的網釣模板最多達57個,其偽冒的品牌不只是銀行業者,還包括偽冒PayPay、JR鐵路、任天堂,以及野村、樂天等證券公司與佐川急便等物流業者,並利用當地消費習慣與時事主題的名義來引誘日本民眾上當。
2026年世界盃足球賽(FIFA World Cup)將於不到一個月後開打,資安業者ESET示警,已有高度偽冒的釣魚網站鎖定尋找門票、住宿或官方商品的球迷,意圖騙取個資與信用卡資訊。ESET指出,這些偽冒網頁不僅完整復刻FIFA官網的視覺元素,且網址皆刻意包含「fifa」字樣以混淆視聽。在警示這些攻擊是有組織的運作之餘,ESET更提醒民眾須格外留意攻擊者運用的「網域名稱拼寫錯誤(Typosquatting)」手法。
FBI警告Kali365釣魚即服務竊取Microsoft 365權杖
美國聯邦調查局(FBI)5月21日警告,Kali365釣魚即服務(PhaaS)正鎖定Microsoft 365環境。FBI強調,這類攻擊活動主要濫用Microsoft身分驗證機制中的合法裝置代碼流程(Device Code Flow),進而冒充可信任的雲端生產力或文件共享服務,郵件內含裝置代碼,並引導使用者前往真正的Microsoft驗證頁面輸入代碼,受害者完成驗證後,實際上是授權攻擊者控制的裝置存取其帳號。
IoT/OT安全
為了強化製造業資安,提升ICS的復原能力與營運韌性成焦點,如今美國NIST正規畫SP 1800-41製造業資安實務指南,儘管目前僅為草案階段,其強調的日誌蒐集、行為分析與不可竄改備份等防禦策略,仍為國內OT環境業者提供了極具價值的實務借鏡。
NIST發布製造業資安實務指南草案,聚焦ICS網路攻擊事件應變與復原
美國國家標準暨技術研究院(NIST)發布《製造業資安實務指南》初版草案,聚焦工業控制系統(ICS)環境,說明製造業者如何依據NIST網路安全框架2.0版(NIST CSF 2.0)建立事件回應與復原流程,以降低停機與營運衝擊。這份指南也參考NIST另外兩份文件,分別是:《NISTIR 8428》以及《NIST SP 800-61r3》;前者提供OT環境的數位鑑識與事件回應流程,後者則協助製造業者依循NIST CSF 2.0,將資安事件的通報、分析、處置與復原整合至資安風險管理流程。
Universal Robots修補工控機器人重大漏洞,CISA已列入工業控制系統漏洞公告,提醒用戶儘速更新
全球主要協作機器人(cobot)廠商之一的Universal Robots,近日修補工控機器人作業系統PolyScope 5中的重大漏洞CVE-2026-8153,CVSS評分高達9.8分,漏洞存在於Dashboard Server介面,攻擊者可能透過命令注入遠端控制機器人與周邊設備。CISA也已對此漏洞發布ICS安全公告,呼籲企業儘速更新並強化網段隔離。
資安維運
許多組織準備的AI執行環境所採用的組態標準不一,甚至等系統部署後才回頭補強安全措施,不僅增加風險,也讓安全與營運團隊更難維持一致的防護狀態,如今CIS針對推出支援AI與HPC的強化映像檔,另也發布Benchmark安全設定基準更新,協助企業在各類資料庫、容器、雲端與作業系統環境降低設定錯誤的風險。
CIS推出支援AI與HPC的強化映像檔,協助企業在AWS部署安全雲端環境
企業導入AI工作負載時,對於所採用的雲端基礎架構,不僅須注意是否能充分支援GPU執行個體與分散式運算,也要關切是否能銜接模型訓練、推論與生產環境部署流程,同時維持一致的安全組態。為了降低採用組態標準不一的部署風險,資安組織網際網路安全中心(CIS)將既有CIS Hardened Images產品線,延伸到AI與高效能運算(HPC)場景,可在主要雲端平臺提供預設具備安全組態的作業系統環境。
CIS發布Benchmark安全設定基準更新,涵蓋PostgreSQL、Kubernetes與SQL Server
CIS發布CIS Benchmarks更新,新增多項針對雲端、容器與作業系統環境的安全設定基準,包括多款資料庫的新版本,如PostgreSQL 18、微軟SQL Server 2025、IBM Db2 12.1,容器平臺Kubernetes的1.34與1.35版,開源防火牆OPNsense、行動裝置作業系統Apple iOS與iPadOS 26。此外,還有符合安全技術實作指南(STIG)的Amazon Linux 2023、Mozilla Firefox與Office 365 ProPlus。另外CIS這次也同步發布多款既有Benchmark的重大更新,涵蓋微軟Azure Foundations、Amazon Linux 2,VMware ESXi 8.0、Oracle Database的19c與26ai版,Apple iOS與iPadOS 17與18,IBM AIX 7,以及Cisco IOS等應用平臺。
Splunk修補多項高風險漏洞,未更新可能導致資料外洩與拒絕服務攻擊
Splunk發布多項安全更新,修補Splunk Enterprise、Splunk Cloud Platform與Splunk AI Toolkit中的高風險漏洞,可能導致敏感資訊洩露、阻斷服務與低權限帳號存取資料等問題。此外,Splunk也同步更新其套件中使用的Log4j、OpenSSL、Node.js等第三方元件,建議企業用戶儘速升級。
資安業者Elastic揭露新型銀行木馬TCLBanker,研判這是既有Maverick/Sorvepotel惡意軟體家族的大幅升級版本。值得注意的是,該惡意程式會偽裝成Logitech軟體安裝程式,鎖定巴西59個銀行與加密貨幣網站,並能進行鍵盤側錄、螢幕截圖與遠端操控等遠端控制。目前該惡意軟體雖然專門針對巴西用戶,但仍存在跨區域散播的風險。
新版Gremlin竊資程式以XOR編碼隱藏惡意內容,提高靜態分析難度
竊資惡意程式Gremlin能力升級備受關注。Palo Alto Networks旗下的Unit 42指出,Gremlin主要竊取瀏覽器、系統剪貼簿與本機儲存資料,目標涵蓋信用卡資訊、Cookie、工作階段權杖、加密貨幣錢包,以及FTP與VPN帳密。新版本將酬載隱藏於.NET資源區段並以XOR遮蔽,顯著提升靜態分析難度,使分析人員難以僅憑檔案內容進行初步判讀。此外,該程式新增Discord權杖竊取、加密貨幣剪貼簿竄改及WebSocket工作階段劫持功能,威脅性進一步強化。
北韓駭客Lazarus鎖定金融與加密貨幣機構,散布惡意軟體RemotePE
北韓駭客組織Lazarus正轉型採用僅存於記憶體的惡意工具組,以規避傳統檔案偵測。資安廠商Fox IT指出,該組織放棄過往的ThemeForestRAT與PondRAT,改用由DPAPILoader、RemotePELoader及RemotePE組成的全新攻擊鏈。
在調查案例中並顯示,Lazarus發動此攻擊鏈,透過濫用Windows服務或側載啟動DPAPILoader,再利用Windows Data Protection API(DPAPI)解密載入RemotePELoader。隨後,RemotePELoader會從C2伺服器提取RemotePE模組並植入記憶體。
透過微軟Teams散布惡意程式的攻擊又一樁!駭客假冒IT支援發動ModeloRAT攻擊,誘騙企業員工執行遠端工具
資安業者Rapid7揭露攻擊者透過微軟Teams散布惡意程式的新案例,攻擊者假冒IT支援人員,誘騙企業員工執行PowerShell與遠端工具,進一步部署ModeloRAT惡意程式。攻擊活動結合Dropbox、Python、權限提升漏洞與偽造Windows鎖定畫面,可竊取網域帳號並在企業內部網路橫向移動。
