【資安日報】5月15日,思科SD-WAN裝置重大漏洞被用於攻擊行動
5月14日思科發布資安公告,Catalyst SD-WAN Controller與Catalyst SD-WAN Manager(原名SD-WAN vSmart、SD-WAN vManage)的對等身分驗證流程存在漏洞,未經身分驗證的攻擊者可遠端繞過驗證流程,並得到系統管理權限,此漏洞登記為CVE-2026-20182,CVSS風險評為10分(滿分10分),屬重大風險等級,相當危險,而且,無論本地建置的SD-WAN環境,或是由思科代管的雲端版本都會受到影響。值得留意的是,已發現遭到利用的跡象,該公司已發布更新版完成修補,並強調沒有其他解決方法,呼籲用戶儘速更新。
CISA下令聯邦機構3天內修補思科Catalyst SD-WAN控制器重大漏洞
思科揭露CVE-2026-20182,此漏洞存在於Catalyst SD-WAN Controller與Catalyst SD-WAN Manager(原名SD-WAN vSmart、SD-WAN vManage),為風險值達到滿分10分的重大漏洞,當天美國網路安全暨基礎設施安全局(CISA)也發布警訊,將此漏洞列入已遭利用漏洞名冊(KEV),要求聯邦機構必須在5月17日之前完成修補。與其他列入KEV的漏洞有所不同的是,這次CISA也要求所有聯邦機構根據今年2月發布的緊急指令ED 26-03,盤點思科SD-WAN系統。
駭客組織UAT-8616積極利用思科Catalyst SD-WAN系統滿分零時差漏洞
思科公布重大漏洞CVE-2026-20182,並表示產品安全事件回應團隊(PSIRT)在本月發現有限度的攻擊行動,該公司威脅情報團隊Talos也公布調查結果,指出利用該漏洞的駭客組織,就是他們在2月揭露、曾經利用另一個漏洞CVE-2026-20127發動攻擊的駭客組織UAT-8616。UAT-8616在成功利用CVE-2026-20182之後,就會試圖新增SSH金鑰、竄改NETCONF組態設定,並提升至root權限。Talos提到,這些駭客發動攻擊的基礎設施,與他們密切監控的操作中繼盒(Operational Relay Box,ORB)網路環境有所交集。
今年2月修補的思科SD-WAN系統高風險漏洞,已有多組人馬用於實際攻擊
本週思科警告Catalyst SD-WAN Controller與Catalyst SD-WAN Manager最新資安漏洞CVE-2026-20182遭到利用,威脅情報團隊Talos透露攻擊者的身分是UAT-8616。不過,在公開上述漏洞如何遭到利用的同時,Talos也透露有人試圖利用其他已知漏洞攻擊思科SD-WAN設備的情況。Talos從今年3月至4月,掌握一系列有別於UAT-8616的駭客團體,利用今年2月下旬修補的任意檔案覆寫漏洞CVE-2026-20122、權限提升漏洞CVE-2026-20126,以及資訊洩露漏洞CVE-2026-20133(CVSS風險值為7.1、7.8、7.5),攻擊尚未修補的思科SD-WAN系統。
5月13日F5發布資安公告,指出採用非同步事件驅動框架的網頁伺服器Nginx存在資安漏洞CVE-2026-42945,問題發生在ngx_http_rewrite_module元件。目前CVE-2026-42945的CVSS v4.0風險評為9.2分,影響Nginx Plus R32至R36、Nginx Open Source、Nginx Instance Manager、Nginx Ingress Controller等平臺,F5發布更新軟體修補。通報此事的AI資安公司Depthfirst透露,該漏洞是從18年前的0.6.27版引入,影響1.30.0版以前的Nginx,起因於指令碼引擎的執行採用兩個步驟,一旦指令裡的替代字串出現問號,就有可能觸發這個問題,該公司也公布概念驗證程式碼(PoC)。
繼Copy Fail、Dirty Frag這兩個涵蓋多個Linux發行版的本機提權漏洞(LPE)揭露,5月13日又有資安研究人員揭露新的這類型漏洞,稱為Fragnesia,透過V12團隊的GitHub頁面公布利用該漏洞的概念驗證程式(PoC)、緩解與修補方式,並表示所有受Dirty Frag影響的Linux發行版都無法倖免。Fragnesia漏洞的編號被定為CVE-2026-46300,CVSS嚴重度評分為7.8,存在Linux核心的XFRM ESP-in-TCP子系統,攻擊者可濫用邏輯漏洞,在本機系統中,將任意位元組的資料寫入唯讀檔案的核心頁面快取(Kernel Page Cache),且不需任何競態條件。
美政府外包商前員工被控刪除近100個政府資料庫,詢問AI如何刪除系統記錄
曾任職於美國政府外包商的員工Muneeb Akhter,被控在遭到公司解聘時,趁著尚有存取權限期間將96個美國政府資料庫刪除,並企圖刪除犯罪跡證。聯邦陪審團本週裁定Sohaib Akhter與Muneeb Akhter共謀電腦詐欺、輸送密碼及其他罪名成立。Muneeb與Sohaib兩人是雙胞胎兄弟,原先任職於美國政府外包IT業者Opexus,今年2月因竊取帳密資料遭到投訴及解職,兩人憤而報復,Muneeb濫用尚未撤銷的權限,在一小時內刪除了約96個由Opexus代管的美國政府資料庫,包含與資訊自由法相關資料及屬於聯邦機構的敏感調查檔案,其中一個資料庫隸屬美國國土安全部。
英國國民保健署因AI資安疑慮,將部分GitHub公開儲存庫改設私有
為因應先進AI模型可能帶來的資安風險,英國國民保健署(NHS)要求技術主管暫時限制部分開放原始碼專案的公開存取權限。根據The Register報導,NHS內部指引要求:在5月11日前,相關GitHub儲存庫必須由公開狀態改設為私有;除非有明確且特殊需求,否則不應維持公開,影響的GitHub儲存庫數量達數百個。NHS England發言人表示,這只是暫時性措施,目的是在評估AI模型快速發展影響的同時,進一步強化資安;若有明確需求,NHS仍會繼續發布原始碼。
日本啟動內閣層級資安戰略檢討,因應先進AI帶來的新型防禦挑戰
Anthropic於4月公布Claude Mythos Preview後,引發美國、英國與加拿大等國金融監理機關的關注。這類先進AI模型若被用於攻擊情境,可能加快漏洞的發現與利用,使政府系統與金融服務等關鍵基礎設施面臨更大的防禦壓力。根據The Register報導,日本首相高市早苗於5月12日內閣會議中,指示網路安全擔當大臣松本尚與相關內閣成員採取行動,檢查政府系統是否具備偵測與修補漏洞的能力,並研擬協助關鍵基礎設施營運者強化防禦的措施。
DNSSEC簽章錯誤導致德國.de網域大規模故障,數百萬網站斷線數小時
5月5日晚間,德國頂級網域(ccTLD)「.de」發生大規模DNS異常事件,大量德國網站的網域名稱當時無法解析。根據網路服務與資安業者Cloudflare的報告指出,事件起因是德國網域管理機構DENIC發布錯誤的DNSSEC數位簽章,導致DNS伺服器的DNSSEC驗證失敗,數百萬個採用.de網域的網站同時斷線,Cloudflare隨即啟用「負向信任錨」(Negative Trust Anchors,NTA)機制緩解問題。
微軟公開自家MDASH多模型代理式AI安全系統,發現16個Windows漏洞
在Anthropic Claude Mythos及OpenAI Daybreak之後,微軟也展現以AI找漏洞的研發成果。微軟本週公開多模型代理式AI安全系統MDASH,並指出此工具讓該公司成功找出Windows網路及驗證功能的16項新漏洞。微軟將MDASH用於自家產品的漏洞掃描測試,結果在StorageDrive驅動程式找出21項微軟刻意植入的漏洞,進一步驗證也顯示零誤判。之後,5月份例行更新(Patch Tuesday)修補的Windows網路堆疊及相鄰服務漏洞中,有16個是來自MDASH的發現。
微軟將透過Windows Update遠端復原問題驅動程式,減少手動排除故障負擔
為了降低驅動程式更新出問題後的處理負擔,微軟5月12日宣布在Windows Update導入Cloud-Initiated Driver Recovery機制。若驅動程式在硬體開發中心(Hardware Dev Center)的發布品質審查流程(Driver Shiproom)中被判定有品質問題,微軟即可遠端啟動復原作業,移除受影響裝置上有問題的版本,並回復到先前已知可正常運作的版本,或改用可透過Windows Update取得、經核准的替代版本。這項功能適用於透過Hardware Dev Center發布驅動程式的合作夥伴。
老牌Windows診斷工具Sysinternals推出新版本,3大工具同步升級
常用於系統監控與資安事件分析的Windows診斷工具集Sysinternals,近日發布新版本, 涵蓋系統啟動分析工具Autoruns、記憶體傾印分析工具ProcDump,以及螢幕放大與標註工具ZoomIt的更新 。其中Autoruns更新至14.2版,新增對Windows套件化封裝應用程式(Windows packaged apps)的支援,提升對當前Windows應用程式新型啟動機制的解析能力。ProcDump更新至12.0版,新增透過-pt參數,以整個程序階層結構(process tree)為單位擷取記憶體dump資料,讓記憶體dump分析可以涵蓋整個應用程式的主從程序結構,不像舊版ProcDump只能針對單一程序擷取記憶體資料。
微軟修補Android版Teams漏洞,未更新可能導致偽造攻擊
微軟近日揭露協作平臺Teams的漏洞CVE-2026-32185,可能被攻擊者用於假冒通訊內容,誘騙用戶並進一步發動社交工程攻擊,此漏洞會影響Android版Teams,微軟已在5月份例行更新(Patch Tuesday)中釋出修補,建議用戶儘速更新。這項漏洞源自Teams的檔案與目錄存取權限控制問題,可能被外部存取,進而導致攻擊者可藉此進行偽造攻擊(spoofing),誘使用戶信任假冒的惡意通訊內容。微軟將此漏洞列為重要(Important)等級,CVSS嚴重性評分為5.5分,雖然攻擊需在本機環境進行,且需與用戶互動,但不需額外權限即可利用。
Meta推出Incognito Chat,主打AI對話完全私密
Meta宣布將於WhatsApp及Meta AI App推出全新的Incognito Chat隱私聊天模式,主打使用者可在完全私密的環境下與AI互動;強調相關對話會在特殊的安全環境中處理,連Meta本身也無法查看內容,而且對話預設不會保存,訊息也會自動消失。Incognito Chat是建立在WhatsApp既有的Private Processing技術之上。當使用者啟動Incognito Chat後,便會建立僅自己可見的臨時AI聊天空間,訊息會在隔離的安全環境中完成處理。
Veeam推出DataAI Command Platform,整合AI代理治理與資料復原
看好生成式AI與AI代理應用快速擴張帶來的資安風險管理需求,資料保護軟體供應商Veeam去年底併購資料安全態勢管理(DSPM)服務廠商Securiti AI後,便結合雙方技術,在今年2月發表AI代理應用管理平臺Agent Commander,在近期舉行VeeamON 2026大會上,Veeam又發表新的DataAI Command Platform,除了Agent Commander的AI代理管理功能外,進一步將資料保護、AI治理、身分管理與資料安全等應用,整合至新推出的DataAI Command Platform,構成統一的AI信任層。
Red Hat擴展主權雲與私有雲能力,強化資料駐留、區域支援與AI模型生命週期控管
開源解決方案供應商Red Hat(紅帽)宣布擴展主權雲(sovereign cloud)與私有雲(private cloud)功能,更新項目涵蓋合規自動化、隔離式部署、區域內支援與AI服務部署,回應企業在資料駐留(data residency)、法規遵循與關鍵工作負載控管等議題的需求。在法規遵循方面,主權雲與私有雲不只要求資料留在特定區域,也要求企業能持續提供安全設定與技術控制的佐證資料。
迄今成立40年的臺灣軟體業者叡揚資訊,日前延攬前總統府第二局局長馬正維,擔任該公司數位韌性辦公室執行長。這項人事任命備受業界關注,不僅因為馬正維在公部門深耕逾37年,親身參與國家最高層級資安與機要管理工作,更因為他的加入,象徵臺灣民間資訊服務業在「數位韌性」議題上,正全面接軌國家戰略視野,向企業治理層次邁進。
【臺灣資安大會直擊】驅動供應鏈韌性,漢翔憑CMMC實戰經驗打造供應鏈資安評級系統
全球資安合規浪潮正席捲各產業,供應鏈安全亦成為最關鍵的議題,而當中最受關注的施行標準,莫過於美國國防部推動的網路安全成熟度模型認證(CMMC)2.0版。身為國防軍工指標大廠的漢翔航空工業,該公司自2016年承接F-16維修專案起,長期接受洛克希德馬丁稽核,歷經從NIST SP 800-171到現行CMMC 2.0日益嚴謹的挑戰,如今更將CMMC合規實戰經驗,建構出一套「供應鏈資訊安全評級系統」(AIxSISAS),將複雜的合規要求轉化,成為可執行、可追溯且可持續的管理機制。
【臺灣資安大會直擊】專家談跨國企業資安治理:真正難的不是技術,而是跨文化協作
保瑞藥業全球資安經理Jesse Ku在今年臺灣資安大會上分享他多年參與跨國企業資安治理與海外協作的經驗,他認為,企業資安最大的困難,很多時候不是技術,而是「人」。Jesse認為,資安裡面最弱的環節是人,但人同時也是做好資安最重要的因素。許多人以為跨國企業資安協作最大的問題是英文能力,實際上,語言只是第一層障礙。真正困難的,是不同文化背景下,對同一句話可能產生完全不同的解讀。這種語意解讀落差(interpretation gap),其實是跨國資安合作中非常常見,但也最容易被忽略的問題。
近期資安日報
CISA下令聯邦機構3天內修補思科Catalyst SD-WAN控制器重大漏洞
針對思科揭露的Catalyst SD-WAN控制器滿分漏洞CVE-2026-20182,美國網路安全暨基礎設施安全局(CISA)也將其列入已遭利用漏洞名冊(KEV),要求聯邦機構限期修補
www.ithome.com.tw
Comments (0)