【資安週報】0615~0618,發現中國駭客入侵關鍵基礎設施,潛伏隔離網路環境近十年
此外,關鍵基礎設施與供應鏈安全亦面臨挑戰,包括德國多家醫院因委外服務商遭駭導致大規模資料外洩,越南股市投資軟體更新伺服器遭入侵,澳洲製糖廠遭襲導致營運停擺,還有丹麥製藥巨擘、巴西最大外送平臺等資安事故,以及中國駭客組織Velvet Ant滲透關鍵CI,潛伏隔離網路環境近十年的揭露,這些事件均為相關產業帶來警惕。
在資安防禦新進展上,Anthropic發布原始碼漏洞掃描參考實作,AWS推出PQC就緒度掃描工具以檢視TLS端點抗量子準備狀態,反映業界正積極透過自動化與新技術協助強化防線的態勢。
AI資安
強化AI開發流程安全持續成焦點,近期再有兩項重要消息,包括Anthropic發布程式原始碼安全實務指南,OpenAI擴展AI代理管理的態勢,還有多項新聞涉及濫用偵測、資料隱私、版權歸因與治理架構議題,突顯AI資安的多層面進展。
Anthropic發布原始碼漏洞掃描參考實作,示範以Claude驗證與修補漏洞
AI模型業者Anthropic發布程式原始碼安全實務指南,說明企業與開放原始碼的軟體專案如何運用Claude建立威脅模型、找出漏洞,並進一步驗證、分級處理與修補,同時提供開放原始碼參考實作defending-code-reference-harness,以降低AI代理程式執行未受信任程式碼時的風險。
Anthropic調整Mythos級模型資料留存政策,提示詞與輸出將保留30天
為了強化偵測越獄、間諜活動與資料勒索等濫用行為,Anthropic自2026年6月9日起調整Claude Mythos 5與Claude Fable 5資料留存政策,保留使用者提交給這類模型的提示詞與模型輸出30天,此舉將影響原本採零資料留存的企業與雲端客戶。Anthropic指出,這次資料留存政策的改變,原因是部分濫用行為無法只從單次請求判斷,必須跨多次提示詞與輸出觀察模式。
提供AI代理的管理與沙箱隔離執行環境,成為AI廠商擴展市場的新賣點,OpenAI宣布收購AI資安業者Ona,準備將其技術整合進Codex。OpenAI指出,Ona提供由客戶控制的AI代理人雲端執行環境,讓企業可在自有或受其控管的雲端基礎設施中建立工作區,供AI代理人執行開發、測試與自動化任務,而且企業也可自行管理代理人的執行位置、存取權限、憑證範圍、活動紀錄及審查流程,以符合安全與治理需求。
LiteLLM高風險已知漏洞可與另一個漏洞串連,形成CVSS風險10分的漏洞利用鏈【CVE-2026-42271】
Python開發套件LiteLLM,其高風險漏洞CVE-2026-42271被美國CISA列入KEV清單,威脅情報公司Horizon3.ai指出,發現在依賴自架Gitea的開發環境裡,若搭配存在Python框架Starlette的中風險漏洞CVE-2026-48710,可能形成重大弱點,導致遠端程式碼執行,讓攻擊者以LiteLLM代理程式執行指令。
AI開發平臺Langflow路徑遍歷漏洞已被用於實際攻擊【CVE-2026-5027】
在3月底,大型語言模型開發工具Langflow被揭露8.8分重大漏洞CVE-2026-5027,幾天後,Langflow開發團隊發布0.8.3版langflow-base元件處理該問題,後續開發團隊已在Langflow 1.9.0完成修正。然而,資安公司VulnCheck警告於6月8日發現有人嘗試利用CVE-2026-5027的跡象。
音樂領域的DRM版權防護技術,隨AI時代迎來新動向,華納音樂買下專注於內容歸因與版權追蹤技術的新創業者Sureel,期望強化AI時代的音樂版權管理。華納音樂執行長Robert Kyncl表示,AI歸因目前仍是業界高度爭議的技術領域。支持者認為,若能準確追蹤AI模型使用哪些作品進行訓練或生成內容,未來有機會建立依使用量分配收益的授權機制,但也有研究人員質疑,在數千萬部作品共同訓練下,是否真能精確判定單一作品的實際貢獻。
90天完成AI治理起手式,Check Point資安長教你用5個步驟搞定
企業積極推動AI應用勢不可擋,該如何持續確保AI的有效管理、安全性與資安防護?企業需要建立AI治理的制度與組織,統籌考量這些議題,然而該從何處開始著手?Check Point亞太及日本區資安長Jayant Dave最近來臺參加活動,向大家介紹一套以5個步驟構成、90天內可執行的方案,教你踏出推動AI治理的第一步。
當Physical AI走進現實,一張傳單就可讓機器人出拳攻擊
【臺灣資安大會直擊】當AI開始掌控有手有腳的機器,資安就不再只是IT部門的事。VicOne執行長鄭奕立指出,一張印有指令的傳單就能讓友善的機器狗瞬間出拳攻擊。AI機器人的攻擊面橫跨感測器欺騙、AI模型劫持、無線通訊滲透及軟體供應鏈等五大層次,其後果已超越資料外洩,將直接造成實體的人身傷害。因此,臺灣機器人服務要落地,必須同步先做好資安,同時闡釋與兩家臺灣機器人業者合作的最新發展現況。
Google Vertex AI SDK模型上傳流程漏洞,恐遭攻擊者跨租戶執行任意程式碼
Google前兩個月修補Vertex AI SDK for Python的漏洞,通報的Palo Alto Networks旗下Unit 42團隊如今公開相關細節,指出問題出在模型註冊前的暫存流程,由於舊版SDK未檢查預設儲存桶的所有權,加上Google Cloud儲存桶名稱不可重複的限制,導致攻擊者只要得知受害者的專案編號,就能預先建立同名儲存桶。當受害者依預設流程上傳時,模型構件便會流向攻擊者控制的儲存空間,甚至進而在模型部署後執行任意程式碼的風險。
惡意瀏覽器擴充套件竊取AI對話內容再現新案例,近9萬名用戶受影響
惡意瀏覽器擴充套件竊取AI對話資料案例再現!MalExt Sentry揭露PromptSnatcher活動,發現偽裝成廣告攔截工具的Chrome擴充套件,會攔截ChatGPT、Gemini、Claude等多個生成式AI平台的提示詞與回應內容,並傳送至遠端伺服器,相關擴充套件累積安裝量約9萬次,提醒使用者注意瀏覽器擴充套件可能帶來的AI資料外洩風險。
資料安全
本週資料安全焦點在於藥廠、醫院及外送平臺的個資外洩,其中德國大規模病患資料外洩事故反映委外供應鏈危機,導致多家醫院同時受害。此外,ShinyHunters威脅不斷,本週再傳鎖定國際組織與教育機構,受害範圍持續擴大。
丹麥製藥業巨擘諾和諾德(Novo Nordisk)公告內部IT系統遭未授權存取,導致參加臨床試驗的病患資料外洩,但該公司強調,這些資訊並未直接連結這些病患的姓名或其他可辨識身分的屬性,這是因為可辨識身分的資訊需要其他存取管道,所以他們認為這次事件不會造成受測者身分曝光。
德國多家醫院病患資料外洩,起因於醫療帳務委外服務商Unimed遭駭
醫院資料外洩議題、第三方供應鏈攻擊風險再受矚目。近期德國發生大規模病患資料外洩事件,多家醫院發布資安事故公告,包括弗萊堡大學附設醫院、海德堡大學附設醫院、科隆大學附設醫院、烏姆大學附設醫院等,指出事故起因於醫療帳務委外服務商Unimed遭駭,後續該業者亦發布資安事故公告,說明是在4月中旬遭受網路攻擊,此事件亦突顯第三方供應鏈資安風險對醫療產業構成的嚴峻挑戰。
外送服務普及已成常態,由於平臺掌握龐大民眾個資,一旦遭駭往往引發嚴重社會影響。近期巴西發生這類涉及民生服務的資安事件,當地龍頭業者iFood在6月4日傳出遭駭消息,該公司後續在6月10日發布資料外洩公告公開說明此事,指出其資料庫曾於2025年12月遭非法存取,導致約120萬名用戶個資外洩。不過,資安媒體Hackread指出駭客在BreachForums論壇上發文聲稱竊取其4,380萬筆客戶記錄,目前iFood否認此數量。
代號SHADOWBYT3$的駭客6月13日在地下論壇張貼勒索訊息,他宣稱從任天堂的員工關係管理平臺TINYpulse竊得近859MB的資料,喊價200萬美元作為贖金。這名駭客宣稱從TINYpulse取得員工姓名、電子郵件、分析報告、銀行對帳單PDF檔、以及職場問卷,涵括從2016年到2026年的資料。不過,任天堂尚未證實此消息。
耗材與影像輸出解決方案業者上福全球科技(6128)於6月16日,於股市公開觀測站代重要子公司Katun Corporation發布重大訊息,指出該公司發生網路資安事件,目前已啟動相關應變與調查程序,並評估事件對營運的影響。針對這起事故造成的影響,上福根據初步調查結果指出,尚未對公司整體營運、財務狀況或客戶服務造成重大影響。
ServiceNow公布安全事件初步調查,稱資料查詢活動可能來自研究人員
企業雲端工作流程平臺業者ServiceNow於6月上旬傳出安全事件,ServiceNow於6月10日發布安全公告說明,多名客戶於6月3日至4日轉交漏洞獎勵計畫通報,內容涉及一項可能讓未經身分驗證使用者存取ServiceNow執行個體資訊的安全問題,且與4月22日提交至ServiceNow漏洞獎勵計畫的保密通報相似。該公司調查後發現,部分客戶執行個體自6月2日起出現不明的活動,且曾遭成功查詢;ServiceNow已通知觀察到相關活動的客戶,並部署安全更新協助保護客戶環境。
駭客宣稱竊走Dynatrace數百GitHub儲存庫,外洩原始程式碼、公司資料
代號xpI0itrs駭客在駭客論壇兜售基礎架構效能監控及安全供應商Dynatrace的GitHub資料,宣稱利用廠商個人存取令牌(PAT)外洩的內容,包含內部基礎架構、CI/CD管線、敏感基礎架構細節、組織架構特定專案的員工資訊,共246個儲存庫,總量8.46GB,並喊價1.2萬美元,Dynatrace目前尚未公開證實此事故是否發生。
英國諾丁漢大學6月11日證實發生網路攻擊事件,造成大量學生資訊外流。諾丁漢大學為知名學府,根據全球學校評等網站,該校排名為英國前20大,全球前一百大。根據報導,勒索軟體駭客組織ShinyHunters點名竊取了諾丁漢大學40GB資料,包含學生、校友及職員個資及財務資料,並已公開部分學生資訊,該校後續已證實此事故的發生。
歐洲理事會傳資料外洩,駭客組織ShinyHunters聲稱竊得43萬份資料
歐洲理事會是具有國際法地位的國際組織,其宗旨為維護歐洲的人權、民主和法治,目前有46國參與,本週ShinyHunters在其資料公開網站貼文宣稱成功竊得歐洲理事會的訊息,涉及多個歐洲理事會分部的人事及薪資檔案,包括上萬名員工2011到2026年間的薪資條約40.9萬份、內部人事檔案3,700多份、1.4萬份履歷表等檔案。
駭客組織ShinyHunters鎖定教育科技公司Infinite Campus,竊取13.7萬名師生個資
為美國逾3,200個學區提供學生資訊系統的教育科技公司Infinite Campus,3月傳出遭勒索軟體駭客ShinyHunters入侵,駭客聲稱從該公司的Salesforce平臺竊得1.2 GB的檔案。後續密碼外洩查詢網站Have I Been Pwned(HIBP)將這起事故納入資料庫,並指出約有137,100個帳號的資料外洩。
端點安全
近一個多月來,有研究人員持續揭露微軟Windows的零時差漏洞,最新是可被用於繞過BitLocker磁碟加密機制、名為GreatXML的漏洞。還有微軟Secure Boot舊版憑證即將到期的消息,紅帽提醒用戶應儘速更新韌體信任資料庫,以確保開機安全與系統元件的後續更新。
研究人員揭露BitLocker零時差漏洞GreatXML【GreatXML】
與微軟僵持不下的Chaotic Eclipse(Nightmare-Eclipse),本週公開另一個零時差漏洞GreatXML,並指出該弱點可被用於繞過BitLocker磁碟加密機制。根據他的研究,電腦在防毒軟體Microsoft Defender執行離線掃描期間,攻擊者無須登入Windows作業系統就有機會利用GreatXML。
微軟Secure Boot舊版憑證2026年陸續到期,紅帽提醒RHEL用戶更新韌體信任資料庫
紅帽6月10日提醒,微軟安全開機(Secure Boot)機制使用的多張2011年版簽章憑證,將於2026年陸續到期,企業應確認UEFI韌體中的Secure Boot資料庫是否已納入2023年版憑證,以確保後續可取得開機安全相關更新。若系統韌體的Secure Boot 資料庫(db)沒有包含2023年版憑證,未來可能無法啟動新的開機元件。
Google發布ChromeOS長期支援版更新,修補17項記憶體相關重大漏洞
Google發布ChromeOS LTS-144更新版144.0.7559.255,修補40項安全漏洞,其中17項屬重大等級。此次修補以記憶體安全問題為主,包含29項記憶體已釋放卻仍被使用(UAF)漏洞及5項記憶體溢位漏洞,占全部漏洞達85%。值得注意的是,這次修補的漏洞中,有5項重大漏洞都涉及ChromeOS圖形架構核心元件Ozone,其他漏洞則涵蓋GPU、Chromoting、Printing與FileSystem等元件。
Android 17正式登上Pixel裝置,安全能力亦再提升
Google推出Android 17,內建安全能力強化亦是重點之一,新版本不僅升級即時威脅偵測與進階保護模式,也導入更多隱私微調,例如延長 PIN 碼連續輸入錯誤的等待時間以防範暴力破解。此外,用戶現在能更細緻地管理個資權限,像是僅暫時允許 App 取得精確位置,或只分享部分聯絡人。同時,系統也增強「標記為遺失」功能,讓使用者能用生物辨識鎖定遺失的手機,在這樣的保護機制下,竊賊即使知道PIN碼,也無法存取資訊或關閉追蹤功能。
網路安全
近期攻擊者積極鎖定邊緣裝置已知漏洞,針對修補動作慢的企業發動攻擊,包括Ivanti Sentry與Fortinet沙箱平臺近期修補的弱點均成為攻擊新目標。此外,AWS推出PQC就緒度掃描工具,以及德國核發首張5G核心網路組件安全證書,亦顯現PQC遷移與通訊供應鏈安全正加速進入實質落實階段。
Ivanti甫修補的滿分重大漏洞已出現實際攻擊【CVE-2026-10520】
6月上旬Ivanti修補Sentry安全閘道兩項重大漏洞,後續已有攻擊者鎖定其中一項已知漏洞CVE-2026-10520發動大規模利用嘗試行為!Shadowserver基金會11日提出警告,他們總共找到19臺存在弱點的Ivanti Sentry實體(instance),這些系統疑似都遭到入侵,其中有兩臺已被植入後門。另一方面,美國網路安全與基礎設施安全局(CISA)也將此漏洞納入KEV清單,Ivanti則另說明是在蜜罐環境偵測到攻擊嘗試。
Fortinet沙箱平臺3個已知漏洞傳出遭到嘗試利用【CVE-2026-39813、CVE-2026-39808】
威脅情報公司Defused Cyber在社群網站X發文警告,有人試圖利用6月初修補的CVE-2026-25089、4月中修補的CVE-2026-39813、CVE-2026-39808等已知漏洞攻擊FortiSandbox。根據駭客利用CVE-2026-25089的手法,該公司研判是借助AI的力量來達到目的,不過駭客似乎並未成功利用CVE-2026-25089。另也強調CVE-2026-39813是首次發現有攻擊者成功利用。
思科修補SD-WAN系統已遭利用的漏洞【CVE-2026-20245】
思科在6月4日揭露Catalyst SD-WAN Manager的漏洞CVE-2026-20245成為零時差漏洞攻擊目標,先行提醒用戶注意,後續該公司於6月15日釋出補修程式,呼籲用戶儘速套用新版軟體修補。同日美國CISA也將之納入KEV清單。
AWS推出PQC就緒度掃描工具,檢視TLS端點抗量子準備狀態
公有雲業者AWS宣布推出後量子密碼學就緒度掃描工具PQC Readiness Scanner,這是以AWS Config合規套件建置的解決方案,可協助企業盤點由AWS服務終止TLS連線的應用程式負載平衡器(ALB)、網路負載平衡器(NLB),以及API Gateway端點,持續檢查其TLS組態是否符合PQC就緒要求,並依三級架構排定遷移優先順序。
德國BSI核發首張5G核心網路組件NESAS安全證書,Mavenir率先通過驗證
推動5G供應鏈安全,近年德國針對5G關鍵組件祭出強制性安全認證要求,德國聯邦資訊安全局(BSI)在6月15公布首款通過BSI NESAS驗證的產品,此舉突顯德國在強化行動通訊供應鏈安全已有全新進展。首家獲證廠商為美國雲端原生網路軟體商 Mavenir,獲證產品為其5G匯流封包核心網路的核心組件——網路儲存功能(NRF,版本為CC 24.4.2 p4 SW)。
都柏林大學將主導歐盟6G安全專案,開發6G原生網路威脅情資平臺
愛爾蘭都柏林大學在6月11日宣布,將主導歐盟Horizon Europe架構下、智慧網路與服務聯合事業(SSNS JU)支持的SHIELD-6G專案,總經費達800萬歐元。這項專案將集結19個國際合作夥伴,目標是開發面向6G網路的AI驅動威脅情資平臺,為6G網路建立安全、可靠性與韌性的基礎指引。
Palo Alto Networks警告VPN高風險漏洞遭積極利用
5月中Palo Alto Networks公告PAN-OS軟體存在驗證繞過漏洞CVE-2026-0257,6月1日該公司與其他資安業者均警告有攻擊者試圖利用的跡象,指出其風險在於可能讓未經授權的攻擊者繞過安全控制而啟動VPN連線。6月9日該公司再度示警,指出該公司威脅情報團隊Unit 42觀測到一個身分未明的攻擊組織加入濫用該漏洞的行列,並存取其VPN系統GlobalProtect。
資安維運
面對AI引發的漏洞激增現況,FIRST國際資安應變組織指出今年CVE預估量雖上修至6.6萬個,但真正被利用或具備高度威脅的漏洞增長相對平緩,建議企業應依循四項策略精準應對。此外,供應鏈韌性、AI治理與數位信任治理議題亦成專家不斷提醒的焦點,呼籲企業應在這些領域積極採取行動。
2026年CVE數量恐破6.6萬個,FIRST國際資安應變組織提四項應對建議
每年CVE數量持續創新高,但增幅更是各界觀察的重點。FIRST國際資安應變組織於6月15日舉行第38屆年會,同時發布「2026年年中漏洞預測報告」,指出2026年1至4月的實際披露量已較原先預估比例高出46.3%,這使得全年總量從2月份預估的59,427個,現在上修至約66,000個。FIRST解析推動數量增長三大原因,並針對企業組織提出因應行動上的四項建議。
CVE漏洞數量大增,FIRST進一步說明致災風險並未隨總量而增加的理由
面對今年這股由AI引發的大規模漏洞挑戰,FIRST國際資安應變組織提出一項重要觀察,並以「降雨與洪水」為喻指出:雖然漏洞總量(降雨)持續攀升,但真正被積極利用或具備高度威脅的漏洞(洪水),其增長速度並未同步上升。具體而言,儘管今年1至4月的CVE漏洞呈激增態勢,但被列入CISA KEV或EPSS分數超過10%的高風險漏洞,其增長曲線相當平緩。
資安不再是IT部門的事,供應鏈韌性與AI治理成企業存續的核心命題
在多重危機交錯的今天,資誠智能風險管理諮詢公司董事長張晉瑞指出,網路安全早已不再隸屬資訊部門的防護範疇,而是直接決定企業能否維持供應鏈韌性、落實AI治理的核心樞紐。他表示,在這個供應鏈韌性正被重新定義的時代,有許多議題需要重視,例如他提出一個許多臺灣企業尚未普遍運用的財務工具:總中斷成本(TCOD),另也提及歐盟CRA、影子AI風險,以及半導體資安等重要議題,他強調企業董事會必須正視「數位信任」的戰略缺口,否則將在跨國採購談判中失去准入資格。
當數位信任躍升企業戰略核心,國際電腦稽核協會推動以DTEF框架落實韌性與企業治理
【臺灣資安大會直擊】數位信任議題對於很多企業來說還是很抽象,國際電腦稽核協會(ISACA)臺灣分會副會長陳政龍點出為何數位信任企業治理熱門焦點,並針對管理階層如何促進數位信任進行深度剖析,並介紹ISACA近年推動的DTEF數位信任生態系框架。他並強調,韌性是DTEF框架中的核心原則之一,在遭遇資安攻擊、資料外洩、系統故障等重大干擾時,組織必須具備快速恢復與持續運作的能力,甚至在危機中強化自身競爭力。
MITRE ATT&CK第19版刪除防禦規避戰略,拆分為隱匿與防禦削弱
MITRE ATT&CK框架月前更新至第19版,此次調整有一項重大變化在於,將防禦規避(原TA0005)戰術拆分為隱匿(TA0005)與防禦削弱(TA0112),協助防禦者透過區分攻擊意圖擬定不同應對策略。MITRE表示,隱匿與破壞其實是完全不同的行為,對於防禦者而言,隱匿與防禦削弱拆分後的最大價值,在於協助釐清核心問題:攻擊者究竟是在躲藏還是在破壞防禦能力?這是兩種完全不同的威脅模型,需要不同的應對策略。
越南駭客OceanLotus發動供應鏈攻擊,鎖定投資人散布SpectralViper後門
越南金融科技公司FireAnt所推出的股市投資軟體FireAnt Metakit更新伺服器遭入侵,資安業者ESET指出,攻擊者是越南駭客組織OceanLotus(APT32),藉由入侵更新伺服器向股票投資人散布SpectralViper後門程式,受駭時間點為2025年10月至2026年3月。ESET表示,FireAnt Metakit雖為熱門投資工具,但僅極少數用戶最終被植入後門,因此判斷並非無差別攻擊,而是利用供應鏈入侵後,再精準篩選目標。
中國駭客組織UNC6508鎖定美國醫療與國防研究機構竊取機密
新興中國駭客組織UNC6508發起大規模網路間諜行動,鎖定北美學術、醫療與軍事研究社群的機構,早在2023年9月,他們利用可透過網際網路存取的Research Electronic Data Capture(REDCap)伺服器,入侵與美軍有關的醫學大學,後續部署惡意程式Infinitered,企圖竊取REDCap登入憑證,相關活動持續到2025年11月。
中國駭客Earth Lusca打造惡意軟體SprySOCKS變種,於政府機關從事攻擊活動
資安公司ESET揭露中國駭客組織Earth Lusca將原本針對Linux的後門程式SprySOCKS,開發成Windows版本,他們起初在VirusTotal發現惡意檔案,比對遙測資料後,發現駭客在2023至2024年將此程式用於攻擊。ESET看到兩種Windows版變種,均支援UDP、WebSocket協定,攻擊者可下達超過30種命令,涵蓋系統資訊收集。
開源資安平臺Wazuh修補重大漏洞,攻擊者可竄改警示並刪除日誌
開源XDR與SIEM平臺Wazuh修補Wazuh Manager一項重大(Critical)風險漏洞,攻擊者可利用此漏洞在特定組態下註冊惡意代理程式,進而竄改警示、刪除鑑識日誌,甚至影響弱點與資產清查資料,影響wazuh-manager 5.0.0-beta1與後續推出的5.x版本,CVSS分數達滿分10.0分;Wazuh 4.x分支則不受影響。
資安業者Palo Alto Networks發布六月份安全更新,修補11項漏洞,其中包含兩項高風險安全更新,廠商呼籲管理員儘速更新到最新版本。其中的CVE-2026-0274,影響SOAR平臺Cortex XSOAR,CVSS風險值8.1,影響Cortex XSIAM/XSOAR Commvault Security IQ Marketplace。
Splunk 6月安全更新修補一項讓攻擊者清空檔案的重大漏洞
6月10日思科旗下Splunk發布安全更新公告,總共揭露與修補12項漏洞資訊,以主系統而言,重大漏洞有風險值達到9.8的CVE-2026-20253,未經驗證的攻擊者可藉此建立或清空檔案,高風險漏洞則有三項,分別是CVE-2026-20251、CVE-2026-20252及CVE-2026-20258。
義大利亞得里亞海港務局年初證實遭遇勒索軟體Anubis攻擊,資安公司Resecurity上週揭露調查結果指出,駭客向員工寄送帶有惡意附件的釣魚信,成功入侵後便進行權限提升,在內網橫向移動,然後利用港務局IT基礎設施未修補的漏洞,逐步取得重要系統控制權。值得注意的是,本次攻擊駭客並未直接針對OT環境的基礎設施,而是入侵M365與Azure等IT系統達到目的。
NightSpire勒索軟體濫用合法管理工具發動攻擊,已入侵包括臺灣在內33個國家
勒索軟體NightSpire自2025年初出現以來,已影響包括臺灣在內的33個國家、至少64個組織,資安業者Picus近日分析其攻擊手法指出,這款勒索軟體主要透過暴露的RDP服務取得初始存取權限,再結合濫用Chrome Remote Desktop、AnyDesk、Everything、7-Zip與MEGAsync等合法工具執行資料搜尋、外洩作業,並採用雙重勒索手法,威脅公開竊得的敏感資料以迫使受害者支付贖金。
政策法規
今年1月《人工智慧基本法》上路,我國各目的事業主管機關針對各產業的指引也相繼出爐,繼衛福部後NCC也發布相關指引;針對中小企業提供資安強化方面的協助也持續成為政策焦點。國際間,則有美國政府對Anthropic高階模型祭出出口限制的政策與爭議,反映AI模型在國家安全與地緣政治監管層面的挑戰。
NCC發布新聞AI應用指引,要求全程標示AI內容並建立人工查核機制
NCC針對媒體應用AI提出指引規範,呼籲業者應用AI技術製播新聞,應建立AI內容查證機制,落實人工審核,對於第三方素材或AI產生的素材,善盡事實查證責任,並要求業者保留AI使用與審核紀錄,供事後的追蹤及查驗。NCC強調,AI可輔助新聞產製,但最終責任仍在人,廣電媒體在導入AI技術前應建立內控機制,應成立專案小組進行風險評估與監督管理。
協助中小企業強化資安防護力,數位發展部資通安全署於6月11日正式啟動「資安專家會客室」,提供免費一對一客製化諮詢服務。過去一年來,數發部資安署、資安院、經濟部中企署已有針對中小企業資安防護的推動作為,包括資安健檢團與資安服務團,資安推廣工具資安星際指南,還有中小企業基本資安指引釋出。而在諮詢管道上,先前已設置「馬上辦服務中心」,如今再推出「資安專家會客室」,期望引導更多國內中小企業跨出資安防護的第一步。
【2026臺灣資安年鑑】美軍在對伊朗的軍事行動中,曾滲透伊朗境內的監視器網路,透過分析IP Camera的影像與流量數據,精準定位目標人物的日常行蹤、開會地點與行動路線。這不是電影情節,而是發生在現實世界的情報操作。數位發展部數位產業署署長林俊秀面對這一系列國際局勢時,有著深刻的體悟。他表示,這場戰爭徹底驗證了資安產業的戰略價值,因為資安防護失守的代價,已經從單純的「資料外洩」,升級為對「人的資產」的直接威脅。
【2026臺灣資安年鑑】在臺灣邁入全面數位化與AI時代的關鍵節點,資通安全早已不再只是工程師或資訊部門的專業領域,而是攸關國家安全、產業發展與社會信任的核心基礎。數位發展部資通安全署署長蔡福隆表示:「資安就是一個務實、落實的事情。你說的東西再好聽,沒有把它落實下去,都是假的。」若要說過去一年資安署最具里程碑意義的成果,修正《資通安全管理法》絕對名列前茅,蔡福隆坦言,這次修法不只是條文調整,而是涉及政策、產業與國際接軌的全面工程。
【2026臺灣資安年鑑】臺灣更需要一個能串聯營運與研發的核心節點,資通安全研究院長林盈達推動「資安院2.0」的轉型,他指出,透過將營運流程AI化,實踐「看得到才治得到」的治理核心;並透過資安治理平臺、CI場域抓鬼與「Team Taiwan」生態系評鑑,將維運轉為背景基礎,讓AI與可視化成為國防防禦的前景與動能。更重要是,資安院不僅要推動技術進步,也促進跨部會與產業間的協作。當不同體系能夠有效連動,整體防禦能力將不再是零散拼圖,而是一個有機整體。
美政府要求封鎖他國用戶存取Claude Fable與Mythos,Anthropic全面暫停提供
Anthropic推出威力最強大的模型Claude 5及Mythos 5後,12日宣布全面暫停提供全球用戶。該公司是在6月12日下午5點獲美國政府出口管制命令信件,要求中止任何外國人存取Fable 5及Mythos 5,不論他們位於美國境內或境外,包括Anthropic的外籍員工。這紙命令迫使該公司必須突然對所有客戶關閉Fable 5和Mythos 5。
美國政府要求Anthropic停止對外國用戶提供Claude Fable 5,原因是傳出有人能成功越獄
Anthropic發表Claude Fable 5與Mythos 5幾天後,突然因美國政府禁令被迫宣布停止提供外國用戶,原因應是有人發現「越獄」使用的方法。關於這項說法,有兩個傳聞,一是英國資安研究機構AI Security Institute(AISI),一是Amazon總裁Andy Jassy和美國官員的對話內容。
資安專家聯署反對Anthropic Claude Fable/Mythos禁令
美國商務部對Anthropic發布出口管制命令,要求中止任何外國人存取Fable 5及Mythos 5,上百名資安專家連署發表公開信,說明AI對資安的重要性,要求政府官員解除禁令。連署人包括Facebook前資安長Alex Stamos、抓漏獎勵平臺Bugcrowd創辦人Casey Ellis、蘋果前安全架構師Jon Callas。
Coupang個資外洩案波及3,755萬人,遭韓國重罰逾6,246億韓元
針對電商平臺酷澎(Coupang)於2025年11月揭露的大規模個資外洩事故,韓國個資保護委員會(PIPC)於6月11日公告,對酷澎處以6,246億8,100萬韓元(約4.09億美元)罰鍰。PIPC調查認定,酷澎因身分驗證簽章金鑰管理、存取控制等基本安全管理措施不足,導致約3,755萬人個資外洩。PIPC進一步指出,酷澎在事件應變與後續處置過程中,也出現未履行外洩通知義務、未依規定銷毀資料、未充分確保個資保護長(CPO)職務獨立性,以及妨礙調查等多項問題,另對酷澎處以1,680萬韓元罰款。
應用程式安全
Oracle PeopleSoft零時差漏洞攻擊持續成為焦點,「剛修補即遭利用」的嚴峻態勢也值得重視。本週相關案例數量之多遠超以往,包括WordPress外掛UpdraftPlus、Jenkins及Joomla等軟體在發布更新後,隨即傳出大規模攻擊;顯見駭客鎖定漏洞的速度正大幅縮短,企業的更新修補的節奏與效率必須更加及時。
Oracle PeopleSoft零時差漏洞遭駭客組織ShinyHunters積極利用【CVE-2026-35273】
先前ShinyHunters宣稱駭入一百多家組織的Oracle PeopleSoft伺服器,引發各界高度重視,當時Oracle發布資安公告修補企業應用系統平臺PeopleSoft PeopleTools重大漏洞CVE-2026-35273,但未說明該漏洞是否已遭到利用,後續Mandiant與Google威脅情報團隊(GTIG)公布調查結果,他們於5月27日至6月9日,看到ShinyHunters(UNC6240)積極針對Oracle PeopleSoft應用系統基礎設施入侵及勒索的活動,過程中利用了CVE-2026-35273。這顯然是一起零時差漏洞攻擊事件。此外,美國CISA也已經將此漏洞列入已知遭利用漏洞(KEV)名單。
Awesome Motive旗下外掛遭供應鏈攻擊,120萬個WordPress網站受影響【CVE-2026-10795】
Awesome Motive旗下三款熱門WordPress外掛遭供應鏈攻擊,資安業者Sansec指出逾120萬個網站受影響,攻擊者主要利用日前UpdraftPlus才剛修補的已知重大漏洞(CVE-2026-10795)入侵其行銷伺服器,奪取CDN API金鑰後,隨即竄改提供給客戶網站載入的JavaScript檔案。這導致受害網站會在不知情下,直接從CDN自動下載並執行遭植入惡意程式的版本。由於UpdraftPlus已在6月5日釋出1.26.5版修補該漏洞,因此,尚未更新修補的開發人員必須留意攻擊者快速利用漏洞的態勢。後續Wordfence更警告單日攔截逾7萬次攻擊嘗試,尚未更新的網站持續成為攻擊者積極鎖定的目標。
美國警告Joomla外掛JCE的滿分重大漏洞已被用於實際攻擊活動【CVE-2026-48907】
由軟體廠商Widget Factory開發的Joomla外掛程式Joomla Content Editor(JCE),於6月初揭露並修補重大漏洞CVE-2026-48907,6月16日美國CISA表示已掌握積極利用該弱點的攻擊跡象,並將其列入KEV清單。
LiteSpeed修補cPanel外掛程式已遭利用的權限提升重大漏洞【CVE-2026-54420】
LiteSpeed在6月初揭露cPanel外掛程式重大權限提升漏洞CVE-2026-54420,並於2.4.8版外掛程式與WHM Plugin 5.3.2.1版完成修補,後續發現該已知漏洞遭攻擊者鎖定,美國CISA於6月15日將之列入KEV清單,指出該漏洞已遭實際利用。
Jenkins修補重大遠端執行程式碼漏洞,攻擊者已開始利用漏洞試圖入侵企業CI/CD環境【CVE-2026-53435】
資安業者Defused Cyber警告,Jenkins重大遠端程式碼執行漏洞CVE-2026-53435已遭攻擊者實際利用。漏洞源自config.xml檔案處理過程中的反序列化缺陷,可能導致攻擊者在Jenkins主機上執行任意程式碼,進而危及企業CI/CD環境安全。Defused Cyber已觀察到針對暴露於網際網路的Jenkins主機進行掃描與攻擊的行為,建議用戶儘速升級至已修補版本。
Arch Linux AUR爆供應鏈攻擊,孤兒套件遭接手散布惡意程式
Arch Linux社群套件庫AUR(Arch User Repository)傳出供應鏈攻擊事件。軟體供應鏈安全業者Sonatype於6月11日揭露,攻擊者鎖定存放在AUR的無人維護套件,在接手合法套件後修改PKGBUILD或安裝指令,使使用者在建置或安裝套件時,透過NPM下載惡意套件atomic-lockfile,進而執行Linux惡意酬載。
FIFA平臺後端漏洞能讓駭客免費播放世界盃賽事、置換影像、修改比分
國際足球協會(FIFA)後端平臺被一名研究人員發現API有漏洞,攻擊者可藉此劫持世界盃足球賽轉播攝影機及賽事影像,或是變更賽事比分等紀錄。FIFA在接獲通報後已修補漏洞。研究人員BobDaHacker表示,這個資安問題出在FIFA後臺的身分與授權機制設計錯誤,使未經授權的人員得以登入內部系統,存取賽事串流影像管理介面。
供應鏈安全框架SLSA解析Mini Shai-Hulud事件,驗證NPM套件安全不能只看簽章
軟體供應鏈安全框架SLSA專案於5月15日發布文章,針對Mini Shai-Hulud NPM供應鏈攻擊,說明SLSA能扮演的角色。開源軟體安全基金會OpenSSF也於6月10日轉載這篇文章,提醒開源社群,即使NPM套件附有可驗證的來源證明,也不能因此認定其建置與發布流程未曾遭到攻擊者介入或濫用。
微軟修補Edge三項漏洞,這3項漏洞皆由臺灣資安公司戴夫寇爾(DEVCORE)首席資安研究員Orange Tsai在5月中Pwn2Own Berlin漏洞挖掘競賽發現,透過TrendAI的Zero Day Initiative協助通報。其中CVE-2026-45495風險最高,CVSS分數達8.8,另外兩項漏洞涉及安全功能繞過與偽冒風險,可能影響Windows VBS防護或造成釣魚攻擊。
Google本週內第二次發布Chrome瀏覽器更新,共修補28個漏洞,其中5個為重大等級,用戶應儘速升級至149.0.7827.114或149.0.7827.115版。雖然Google不常在瀏覽器更新公告當下透露漏洞評分,但根據漏洞管理解決方案公司Tenable的資料庫,僅有CVE-2026-12007的評分為8.8,其餘4個都是9.6分的漏洞。
GitLab釋出社群版與企業版安全更新,共修補12個安全漏洞,有4個被列為高風險,皆影響GitLab企業版,其中CVE-2026-7250也波及GitLab社群版。在這次修補的12個漏洞中,最嚴重的有兩項漏洞CVSS風險評分達8.7分,可能導致帳號遭接管或在受害者瀏覽器中執行惡意程式碼。
phpBB修補重大身分驗證繞過漏洞,攻擊者可冒充任意論壇用戶
開源論壇軟體phpBB發布更新,修補重大身分驗證繞過漏洞,攻擊者僅需發送特製HTTP請求,即可登入任意論壇帳號,包括管理員帳號在內。由於phpBB預設會公開會員名單,攻擊者很容易取得目標帳號名稱,進而讀取私人訊息或濫用管理權限。phpBB已於3.3.17版完成修補,建議用戶儘速更新。
遠端管理工具SimpleHelp修補重大身分驗證繞過漏洞,未更新可能導致攻擊者取得管理權限
遠端管理工具平臺SimpleHelp修補重大身分驗證繞過漏洞CVE-2026-48558,CVSS嚴重性評分達滿分10分。漏洞源自OpenID Connect(OIDC)身分驗證流程未正確驗證權杖簽章,攻擊者可偽造身分資訊建立技術人員帳號,甚至繞過多因素驗證機制。受影響版本包括5.5.15與更早版本,以及6.0系列預覽版本,用戶應儘速更新至已修補的5.5.16與6.0 RC2版本。
300萬個WordPress網站暴露於UpdraftPlus外掛程式漏洞風險
資安業者Wordfence揭露WordPress備份外掛程式UpdraftPlus,存在身分驗證繞過漏洞CVE-2026-10795,CVSS評分8.1分,影響逾300萬個網站。攻擊者可在未經驗證情況下冒充管理員,進而接管網站並執行管理操作,影響與UpdraftCentral控制臺連接的UpdraftPlus,建議用戶儘速更新至已修補的1.26.5版,以降低風險。
Google發布Chrome 149穩定版更新,修補33項安全問題
Google發布Chrome 149穩定版更新,修補33項漏洞,其中7項被列為重大風險。這些重大漏洞涵蓋WebShare、WebView、Digital Credentials、File Input、Passwords及Web Authentication等元件,多數屬於記憶體已釋放後仍遭使用(UAF)問題。突顯記憶體安全問題仍是此次修補重點,占全部漏洞超過一半。
152個Chrome動態桌布擴充套件暗藏用戶行為追蹤功能,累計安裝量逾10萬次
資安業者Socket揭露152個Chrome動態桌布擴充套件暗藏追蹤功能,累計安裝量超過10萬次。研究人員發現,這些擴充套件雖在Chrome Web Store宣稱不會收集用戶資料,實際上卻會記錄瀏覽活動、點擊資訊等數據,並用於廣告追蹤與流量分析。此外,部分套件還涉及操縱搜尋流量。Socket建議用戶移除相關擴充套件,以降低隱私風險。
Apple以Swift改寫TrueType微調直譯器,降低記憶體安全風險
降低記憶體安全風險持續受關注。Apple公開以Swift改寫TrueType字型微調直譯器的實務案例,並釋出原始碼供社群借鏡。Apple指出,此舉目標是要降低字型解析的資安風險,而最大挑戰在於新版直譯器必須確保既有程式免修改無痛銜接,且字型顯示結果須與原C版本完全一致。
身分安全
行政體系與企業高層面臨的身分冒用風險受矚目,包括法國政府通訊平臺Tchap帳號遭冒用,以及波蘭官員遭冒名鎖定企業CEO進行社交工程攻擊,均顯現這類身分防禦的挑戰需要全社會重視與防範。此外,憑證管理由人員延伸至機器工作負載的發展趨勢,更反映身分治理範疇的擴張已成業界發展重點。
法國政府通訊平臺Tchap發生帳號冒用事件,逾7.3萬名公部門人員受影響
法國政府加密即時通訊平臺Tchap發生安全事件,6月7日有一個Tchap使用者帳號遭冒用,攻擊者藉此查看該帳號可存取的公開對話內容。DINUM表示,已與法國國家資訊系統安全局(ANSSI)協調分析此事,並封鎖涉案帳號,逾7.3萬名公部門人員可能受影響,私人加密對話歷史紀錄未遭存取,但公開聊天室內容可能被查看。
偽冒政府官員帳號鎖定企業高層攻擊再添一案,波蘭數位事務部於6月12日發布警訊,有駭客利用WhatsApp與Signal等通訊軟體冒充政府高層,該國境內已發現這類攻擊事件,攻擊者會向國營及私人企業的高階管理者發送訊息。一旦雙方建立聯繫,攻擊者便伺機竊取敏感資料、植入惡意軟體或詐取金錢。由於先前美國、義大利均有傳出這類攻擊活動,此社交工程陷阱已成為全球企業高層不容忽視的資安風險。
1Password推執行時憑證派發機制,減少工作負載長期持有權杖
面對非人類身分管理(NHI)趨勢,1Password發表1Password Credential Broker私有測試版,把憑證管理從人員使用情境延伸到機器工作負載。初期支援GitHub Actions,讓自動建置、測試與部署流程在執行時,依照身分與政策取得所需憑證,減少長期權杖留在環境變數、設定檔或自動化流程中的情況,年底還將延伸到AI代理憑證管理。
瘋世足除了防範假門票,也要防範假FIFA與贊助商徵才的網釣活動
網路攻擊者正趁著2026年世界盃足球賽熱潮發動大規模網釣,資安業者FortiGuard警告,駭客不僅註冊大量名稱相近的釣魚網站,利用假門票、假直播及博弈名義誘騙民眾,還會看準賽事的人力需求,假冒FIFA官方職缺與企業贊助商名義發布虛假招募資訊,向求職者發送惡意的行事曆邀請並導向偽造的Google登入頁面,騙取個人網路服務帳密。
網路釣魚即服務平臺SniperDz遭瓦解,主要開發者與管理員在阿爾及利亞落網
資安調查與威脅情報業者Group-IB於6月11日揭露,他們協助國際刑警組織(INTERPOL)與阿爾及利亞警方,瓦解運作近10年的網路釣魚即服務(PhaaS)平臺SniperDz。這起行動是國際刑警組織主導的Operation Ramz的一部分,該行動於2025年10月至2026年2月28日在中東與北非地區13國展開,總計逮捕201名嫌犯,而使用Guedz名號的SniperDz主要開發者與管理員也在阿爾及利亞落網。
IoT/OT安全
關鍵基礎設施面臨的OT安全威脅受矚目,歐盟ENISA今年舉辦的網路安全演習對象鎖定「鐵路」與「海運」兩大交通運輸領域,指出這類產業風險加劇、資安成熟度亟待提升。還有中國駭客Velvet Ant潛伏隔離網路十年的揭露,加上澳洲Mackay Sugar遭襲導致停擺的事件,更讓相關產業提高警覺。
中國駭客組織Velvet Ant滲透關鍵基礎設施,潛伏於隔離網路環境近十年
資安公司Sygnia在11日公布中國駭客組織Velvet Ant發動的Operation Highland攻擊行動,根據他們的調查,Velvet Ant至少從2016年開始,在完全與網際網路隔離的關鍵基礎設施網路潛伏將近十年而未被察覺。Sygnia認為,這是迄今Velvet Ant最為複雜精密的攻擊活動。
澳洲第二大製糖業者Mackay Sugar遭網路攻擊,兩糖廠營運停擺並迫使農戶暫停收割
澳洲第二大製糖公司Mackay Sugar近日遭遇嚴重資安事故,導致昆士蘭麥凱地區其中兩座糖廠營運中斷,製糖與甘蔗運輸作業全面停擺,甚至被迫向麥凱地區的種植者發出「停止收割」的通知。該公司已在官方網站發布資安事故公告,說明正在處理影響部分營運的網路安全事件,證實其農工業OT營運受阻的現況。
ENISA歐盟網路演習邁入第八屆,2026聚焦鐵路與海運領域
為了幫助歐盟提升關鍵基礎設施防護水準,歐盟ENISA舉辦第八屆Cyber Europe 2026網路安全演習,特別的是,這次演練對象是「鐵路」與「海運」兩大交通運輸領域,不同於前兩屆聚焦醫療與能源領域。ENISA報告指出,交通部門已連續兩年位居網路攻擊目標前五名,鐵路與海運子部門均屬於利害關係人眾多的複雜生態系,並面臨OT與現代數位系統整合的挑戰,加上涉及軍事物流功能,使其成為更具吸引力的攻擊目標,因此期盼透過這項演習計畫,提升其資安成熟度,強化該領域的應變能力、協作機制與復原韌性。
伊朗駭客Handala傳出入侵加州水務公司,洩露GPS基礎設施憑證、客戶個資
伊朗駭客組織Handala聲稱成功入侵加州水務公司,並公布5 GB資料供買家驗證。該公司是美國投資人持有的大型水利設施,服務約兩百萬名用戶,威脅情報公司Dataminr研究人員認為,入侵管道可能是透過RTKBase平臺,通常僅搭配樹莓派等級的硬體設備架設,該系統的網頁管理介面會直接在內部網路暴露,且缺乏經過強化的身分驗證機制,而被用於建立初期存取管道。
資安業者Doctor Web揭露一款名為「Android.MagicAd.1」的Android廣告木馬,近期曾潛藏於小米及三星的官方應用程式商店。該木馬的隱匿手法相當特殊,攻擊者將其偽裝成遊戲或工具程式上架後,會在數週內主動下架,隨即以全新的應用程式取而代之,其主要目的很可能是為了規避行動應用商店的審核機制,並降低被資安防護軟體偵測的機率。
施耐德電機修補多項高風險漏洞,影響EcoStruxure與PowerLogic等產品
工業自動化與能源管理業者施耐德電機(Schneider Electric)於6月9日發布3份安全公告,揭露資料中心監控軟體EcoStruxure IT Data Center Expert、遠端終端裝置與控制器EasyLogic T150/Saitel DP RTU,以及電力保護與控制平臺PowerLogic P7的多項漏洞,並針對受影響產品提供已修補的版本。
Anthropic發布原始碼漏洞掃描參考實作,示範以Claude驗證與修補漏洞
AI模型業者Anthropic發布程式原始碼安全實務指南,說明如何運用Claude建立威脅模型、找出漏洞,並進一步驗證、分級處理與修補,同時提供開放原始碼參考實作
www.ithome.com.tw
Comments (0)