HTTP/2 Bomb攻擊手法影響主流網頁伺服器,恐遭用於DoS攻擊
研究人員於6月3日揭露名為HTTP/2 Bomb的遠端阻斷服務(DoS)攻擊手法,影響多款主流網頁伺服器與代理伺服器,包括Nginx、Apache httpd、Microsoft IIS、Envoy與Cloudflare Pingora。資安研究發布平臺Calif指出,這項攻擊手法的成形,源於研究人員使用OpenAI程式開發代理Codex,嘗試將兩種已知手法進行串連而得到,這些被發現至今長達10年的手法,分別是:HTTP/2標頭壓縮機制HPACK的壓縮炸彈,以及類似Slowloris的連線占用手法。
Minecraft玩家遭惡意軟體WeedHack鎖定,逾11萬臺設備被感染
近年來遊戲玩家不斷成為駭客鎖定的目標,如今出現攻擊特定遊戲族群的惡意軟體租用服務(Malware-as-a-Service),提供買家對特定遊戲的玩家發動攻擊。資安公司McAfee揭露惡意軟體租用服務WeedHack,該平臺從今年1月開始出現,專門針對Minecraft玩家,迄今已確認有116,464臺電腦受害,而且遭感染的電腦數量每天會增加2千至3千臺。一旦遭到感染,攻擊者可竊取帳密資料並挾持Discord與Minecraft帳號,洗劫加密貨幣資產,甚至即時存取受害者的視訊鏡頭、螢幕畫面,以及電腦檔案。
惡意軟體租用服務WeedHack提供免費試用,已成為青少年竊取Minecraft玩家財務、霸凌同儕的工具
資安公司McAfee揭露針對Minecraft玩家的惡意軟體WeedHack,網路罪犯採用租用模式(Malware-as-a-Service)經營,不過有別於其他提供惡意軟體租用的服務,每個月費用需要數百美元,McAfee指出,任何人只要有Discord帳號與網路連線,就能免費使用WeedHack,竊取玩家的帳密資料及挾持帳號,若是一個月支付5美元的買家,還能進一步即時存取受害者的電腦螢幕畫面、視訊鏡頭,以及檔案。McAfee發現,買家不僅利用WeedHack獲得經濟利益,還進一步騷擾和霸凌同儕。
WordPress惡意軟體感染近2,000個網站,駭客濫用Steam平臺建立C2通訊管道
為了隱匿攻擊活動,駭客濫用合法雲端服務建立C2通訊的情況極為氾濫,然而最近有一起相當不尋常的活動引起資安研究人員的注意,因為遊戲平臺提供的功能也遭到利用。網站代管平臺GoDaddy資安團隊上週公布鎖定WordPress網站的惡意軟體活動,駭客利用Steam社群的個人資料(profile)留言區嵌入C2資料,將惡意基礎設施隱藏在Valve合法的平臺之中。該公司最早於2025年7月偵測到相關活動,迄今約有1,980個WordPress網站被植入惡意軟體。
新興勒索軟體The Gentlemen濫用Windows排程工作提升權限,具備自我擴散能力加速大規模感染
微軟資安威脅情報團隊近日揭露新興勒索軟體The Gentlemen,指出相較於傳統勒索軟體,The Gentlemen有兩項特點。首先,具備濫用Windows排程工作(Scheduled Task)功能,建立SYSTEM權限的排程工作,藉此再次以SYSTEM的權限層級執行惡意軟體本身,還會透過排程工作與修改登錄檔,建立持久運作機制,在系統重啟後仍能運作;其次,擁有強大的自我散播能力,會嘗試使用WMI、PsExec與PowerShell多種遠端執行方式,在網路中橫向移動。
駭客Storm-2949接管雲端帳號,濫用Azure權限滲透正式環境竊取資料
微軟揭露濫用雲端身分入侵事件,駭客組織Storm-2949先透過社交工程接管Microsoft Entra ID帳號,再濫用受害者原本就具有的Azure角色型存取控制(Azure RBAC)權限,存取Microsoft 365應用程式、雲端檔案服務,以及Azure託管正式環境中的資料與雲端資源。該攻擊疑似與自助密碼重設流程遭濫用有關,攻擊者可能假冒內部IT支援人員,鎖定IT人員與高階主管,要求目標使用者核准看似正常的多因素驗證(MFA)提示而得逞。
6月2日美國網路安全與基礎設施安全局(CISA)警告,幾年前揭露的Linux核心權限提升漏洞CVE-2022-0492已遭到積極利用,他們將其納入已遭利用漏洞名單(KEV),要求聯邦機構於6月5日前完成修補。巧合的是,在CISA將此漏洞納入KEV之前,在卡巴斯基本週揭露的容器用於供應鏈攻擊初期管道研究,CVE-2022-0492剛好是其中一個被提到遭利用的漏洞,攻擊者將其用於容器逃逸。
美國政府證實Magento快取外掛Mirasvit Cache Warmer重大漏洞已遭利用
上週資安公司Sansec提出警告,Magento網頁快取外掛程式Mirasvit Cache Warmer存在重大漏洞CVE-2026-45247,攻擊者在未經身分驗證的情況下,可在PHP物件進行注入,CVSS風險評為9.8分,用戶應儘速更新因應。本週美國網路安全與基礎設施安全局(CISA)指出,他們已掌握漏洞遭積極利用的證據。6月3日CISA將上述漏洞加入已遭利用的漏洞名單(KEV),要求聯邦機構必須在6月6日前完成修補。
Google發布6月Android例行更新(Android Security Bulletin),修補的對象包含存在於Android框架的權限提升漏洞CVE-2025-48595,公告指出該漏洞已被鎖定目標的局部活動所利用,隨後美國網路安全與基礎設施安全局(CISA)也證實CVE-2025-48595被用於實際攻擊的情況。6月2日CISA發布公告,他們掌握兩個漏洞遭到積極利用的證據,將它們加入已遭利用漏洞列表(KEV),其中一個就是CVE-2025-48595,聯邦機構必須在6月5日前完成修補。
老舊系統威脅持續惡化,歐洲逾半數工業組織的資安事件涉及舊版Windows系統
工業環境中的老舊系統(Legacy Systems)風險持續成焦點,TXOne Networks近期針對歐洲揭露其2026年度OT資安報告研究細節,解析當地工業領域面臨的挑戰。報告指出,過去一年有超過半數(51%)的歐洲工業組織,曾經歷涉及老舊Windows系統的資安事件,這項數據相較於2025年的43%有明顯增長。值得注意的是,約25%受訪者表示相關資安事故在一年內發生不只一次,反映出舊系統漏洞已成為駭客眼中持續且活躍的攻擊面。
歐盟網路安全局(ENISA)發布NIS360報告,針對歐盟NIS2指令所涵蓋的高關鍵性部門,建立年度評估架構。報告指出,隨著組織積極應對演進中的政策要求與網路威脅,歐盟關鍵領域部門的資安成熟度正穩步提升;然而,受地緣政治與數位化影響,太空與鐵路部門的關鍵性(Criticality)顯著攀升,被列入資安防禦的重點關注區域。鐵路、飲用水及廢水處理這三個部門,先前僅處於風險區邊緣,今年則正式進入風險區內,顯示其防護成熟度需要積極提升。
資安教育與研究機構SANS Institute於5月發布調查報告指出,企業已普遍將網路威脅情資(Cyber Threat Intelligence,CTI)納入資安計畫,但許多組織仍未把情資分析結果,轉化為預算分配、風險排序與高層決策依據。91%的資安長認為CTI具備價值,但僅26%表示CTI會明顯影響高層決策。SANS認為,這反映CTI目前面臨的主要挑戰,不是情資可信度不足,而是對於分析結果的認知尚未反映至對於決策制定的影響。
Veeam 13.0.2解決備份伺服器高可用性與跨平臺支援問題
備份與資料保護廠商Veeam近日推出Veeam Backup & Replication 13.0.2版,這次更新聚焦於備份基礎設施高可用性、跨平臺支援,以及復原能力的修正。在跨平臺支援方面,13.0.2版也修正搭配不同平臺時的作業問題,例如Hyper-V環境的複本VM無法啟動,以及Linux平臺的代理程式,無法安裝在RHEL 9.8、RHEL 10.2與Ubuntu 26.04 LTS等Linux發行版。上述狀況改善後,能使這些系統的資料受到保護。
WordPress熱門外掛Kirki爆權限提升漏洞,未登入攻擊者可劫持管理員帳號
資安業者Wordfence揭露,WordPress外掛Kirki含有未經身分驗證即可利用的權限提升漏洞CVE-2026-8206,CVSS分數為9.8,影響6.0.0至6.0.6版,開發團隊已在Kirki 6.0.7修補。攻擊者不必登入網站,就可透過外掛的密碼重設功能,讓任意已註冊使用者帳號的密碼重設連結,寄到攻擊者控制的電子郵件信箱,進而接管管理員帳號。由於該漏洞是在Kirki 6.0主要版本引入,Wordfence在6月1日估計約15萬個網站使用受影響版本。
Google Workspace擴大網域外檔案警示,降低敏感資料外洩與釣魚攻擊風險
Google宣布強化Google Workspace安全功能,擴大既有的網域外檔案警示(Out-of-Domain file-level warnings)適用範圍,新增支援行動裝置App、檔案共享通知等情境。Google表示,這項預設啟動的功能,可協助用戶更清楚辨識所處理的檔案,並降低外洩敏感資料及遭遇網路釣魚攻擊的風險。現在擴大支援範圍,涵蓋Android版與iOS版的Google雲端硬碟、Google文件、Google試算表與Google簡報,也延伸至電子郵件的評論通知與檔案共享的郵件通知。
Anthropic提出AI代理人零信任框架,因應AI加速攻擊風險
Anthropic發布AI代理人零信任安全框架,主張企業部署具自主操作能力的AI代理人時,應從一開始就以「預想遭駭」為前提,規畫整體系統與安全架構。Anthropic提出的AI代理人零信任安全框架依組織成熟度與風險承受能力分為3層,分別是基礎、企業與進階。基礎層級涵蓋短效存取權杖、具備密碼學驗證機制的代理人身分識別、以身分為核心的工作負載隔離,以及可自動執行初步事件分流的安全機制。
思科打造AI代理時代IT營運平臺,內建身分、政策與零信任防護
思科(Cisco)推出統一營運平臺Cisco Cloud Control,將旗下網路、資安、AI基礎架構、可觀測性與協作等產品能力,整合到單一操作介面。這項平臺也透過Cloud Control Studio串接第三方工具與既有IT環境,讓企業可在同一套介面中管理跨產品組合的維運工作。該平臺提供標準化API與MCP介面,並整合身分識別、政策控管、遙測資料與執行期間控管點;同時促使每項AI代理的行為透明、可被稽核(auditable)、能受到限制(bounded)、可被追溯(reversible),並且必須經過人類批准,降低AI代理直接操作企業環境可能帶來的風險。
川普簽署AI資安行政命令,要求業者自願提供前沿模型供政府測試
美國總統川普於6月2日簽署AI資安行政命令,要求聯邦政府建立前沿AI模型自願測試機制,最終版本已較白宮原先考慮的方案大幅縮減。這項行政命令正式名稱為《促進先進人工智慧創新與安全》(Promoting Advanced Artificial Intelligence Innovation and Security),重點包括成立AI資安資訊交換中心(AI Cybersecurity Clearinghouse),要求美國網路安全與基礎設施安全局(CISA)擴大AI資安工具與服務,建立「列管前沿模型」(Covered Frontier Model)認定標準。
微軟9月強化Entra ID自助式密碼重設,僅允許已註冊驗證方法
微軟預告,身分識別與存取管理服務Microsoft Entra ID的自助式密碼重設(Self-Service Password Reset,SSPR)流程,將自2026年9月7日起調整。企業使用者透過SSPR重設密碼並驗證身分時,僅能使用事先完成註冊的驗證方法。若手機號碼、公司電話或備用電子郵件僅存在於目錄屬性中,未正式註冊為驗證方法,政策生效後將無法再用於密碼重設。2026年7月6日起,系統將提醒受影響使用者與系統管理員註冊驗證方法;9月7日起正式強制執行。
【2026臺灣資安年鑑|數位發展部部長林宜敬】從「資安蜜罐」到「民主供應鏈」,臺灣是自由民主世界資安前哨站
在2026年4月初,數位發展部部長林宜敬甫自美國舊金山RSA Conference(RSAC)資安會議返臺,帶回一股強烈的信念:臺灣資安產業的黃金時代,就在當下。「Taiwan is a honey pot of free world.(臺灣是自由世界的蜜罐)」。首創這句話的林宜敬表示,這是他對臺灣資安現況觀察的真實寫照。此次RSAC之旅臺灣的角色已悄然翻轉──在擁擠的展覽館裡,臺灣廠商告訴國際訪客「We are the expert of Chinese APT」,令現場人群立刻停下腳步關注。
近期資安日報
