【資安日報】3月26日,Google宣布將在2029年完成PQC遷移
Google於3月25日(週三)宣布,計畫在2029年完成後量子密碼學(PQC)的遷移,並將於Android 17中整合美國國家標準暨技術研究院(NIST)所提出的PQC數位簽章標準ML-DSA。
Google表示,此次提出2029年遷移時程,是基於近年量子運算硬體發展、量子錯誤修正技術,以及量子分解資源估算等進展所做出的調整,反映出PQC轉型的迫切性。身為量子運算與後量子密碼學的先行者,有責任提供明確且具前瞻性的時程,以協助整體產業加速轉型。
資安公司Aqua Security打造的掃描工具Trivy於3月19日發生供應鏈攻擊,該公司透露駭客在2月底利用GitHub Actions錯誤配置竊得特殊權限的權杖(Token),但影響範圍究竟有多大?有資安公司透露初步調查的發現。
根據資安新聞網站CyberScoop的報導,Mandiant Consulting技術長Charles Carmakal於近期舉辦的RSAC資安大會指出,他們已掌握超過1,000個SaaS環境受到影響,相關的維運團隊正積極因應這起事故帶來的威脅。Carmakal指出,這些遭波及的下游系統,很有可能會再感染500個、1,000個,甚至10,000個系統。對此,Mandiant認為接下來幾個月,將會有駭客公開大量竊得的資料或是從事後續攻擊。
一週之前,資安公司Sansec警告,電商平臺Adobe Commerce與Magento Open Source(以下簡稱Magento)存在資安漏洞PolyShell,由於Adobe只有修補預覽版本2.4.9-alpha3,未對正式版本提供相關更新,且利用的方法已在流傳,網站管理者必須儘速採取行動因應,事隔數日,此漏洞已被廣泛用於攻擊行動。
本週Sansec更新部落格文章指出,他們在3月19日看到第一起實際利用的活動,並在23日出現大規模掃描的情況,約有23%的電商平臺遭到鎖定。事隔一天,出現大幅變化,因為已發生大規模感染,該公司指出,他們於24日偵測到,有56.7%電商網站被上傳惡意PHP程式碼。
Sansec揭露新型態的金融卡側錄惡意程式(skimmer)活動,與過往側錄活動最大的不同在於,攻擊者運用點對點通訊機制Web Real-Time Communication(WebRTC)來外洩資料,目的就是要繞過傳統以HTTP為基礎的資安防護機制。Sansec指出,這是他們首度看到有人濫用WebRTC的情況。
此側錄工具透過WebRTC DataChannel與C2伺服器建立連線,並利用DTLS加密的UDP通訊傳輸竊取資料,使流量難以被既有監控工具與內容安全政策(CSP)攔截。值得留意的是,研究人員在近兩個月內,於5家市值數十億美元的企業看到此種卡片側錄工具,其中一家是美國前3大銀行,最新的受害企業是市值超過1千億美元的汽車製造商,Sansec向該製造商進行通報,不過未收到回覆。
伊朗勒索軟體Pay2Key入侵美國醫療機構,3小時內加密所有檔案
資安公司Halcyon與Beazley Security聯手揭露,與伊朗有關的勒索軟體Pay2Key近期再度活躍,攻擊行動隨著地緣政治緊張局勢升溫而增加,顯示其運作與國家利益高度相關。
兩家資安公司看到這些駭客於2026年2月底,發起一起針對美國醫療機構的攻擊事件,駭客入侵並取得管理員帳號存取權,潛伏數日才部署勒索軟體,並在約3小時內完成整體系統加密,展現高度自動化與快速執行能力。值得留意的是,此次使用的Pay2Key變種相較2025年版本已有明顯升級,在規避偵測、執行效率與反鑑識能力上,均有所強化,使既有偵測機制難以有效辨識。
駭客瞄準微軟SQL Server,疑透過掃描工具ICE Cloud Scanner充當跳板
南韓資安公司AhnLab發現,駭客組織Larva-26002今年初鎖定微軟SQL Server,並利用合法工具在系統內植入掃描工具ICE Cloud Scanner的用戶端程式(ICE Cloud Client)。
駭客濫用SQL Server的Bulk Copy Program(BCP)公用程式,攻擊管理不當、曝露在網際網路的資料庫,疑似透過暴力破解帳號,將惡意程式寫入SQL Server,一旦成功,他們就運用BCP將ICE Cloud Scanner寫入伺服器的磁碟。
微軟SharePoint高風險漏洞CVE-2026-20963遭實際利用,CISA列KEV名單
美國網路安全暨基礎設施安全局(CISA)將微軟SharePoint漏洞CVE-2026-20963列入已知遭利用漏洞(KEV)清單。微軟已於1月13日發布安全更新修補此漏洞,但CISA在3月18日將其列入KEV,代表已有遭實際利用的證據,企業應提高修補與資產盤點優先度。
CVE-2026-20963為Microsoft SharePoint反序列化不可信任資料漏洞,影響SharePoint Server 2016、SharePoint Server 2019,以及SharePoint Server Subscription Edition。具備授權身分的攻擊者可透過網路利用此漏洞,在SharePoint伺服器上執行程式碼,該漏洞CVSS 3.1分數為8.8,屬於高風險等級(High),對機密性、完整性、可用性皆會造成高度衝擊。
駭客組織Storm-2561假借提供企業級VPN用戶端軟體,意圖竊取企業VPN憑證
3月初歐洲刑警組織(Europol)聯手6國執法機關與11家科技公司及組織,執行跨國執法行動,成功摧毀Tycoon 2FA的全球釣魚即服務(Phishing-as-a-Service,PhaaS)平臺運作,查封超過300個相關網域並試圖瓦解該平臺基礎設施,然而有資安公司發現,駭客的基礎設施很快就恢復運作,相關活動也接近查緝前的水準。
資安公司CrowdStrike指出,Tycoon 2FA僅有在3月4日及5日兩天,活動量驟減至執法行動之前的25%,不過,在此之後就回復至先前的運作狀態。對此,CrowdStrike認為,企業還是需要採取持續、深度的防禦策略,來對抗運用這類網釣平臺的攻擊活動。
Jenkins修補重大漏洞,開發環境若不更新恐遭遠端程式碼執行攻擊
開源自動化程式建置與測試軟體專案Jenkins維護者近日發布安全公告,修補兩個可能導致遠端程式碼執行的重大漏洞。其中CVE‑2026‑33001(CVSS嚴重性評分8.8),涉及Jenkins解壓縮.tar或.tar.gz檔案的符號連結處理缺陷,攻擊者可利用惡意壓縮檔將惡意指令碼寫入指定目錄,進而觸發遠端程式碼執行。
另一個漏洞CVE‑2026‑33002(CVSS評分7.5)則涉及Jenkins對CLI WebSocket端點的驗證缺陷,攻擊者可透過DNS重新綁定(DNS rebinding)繞過驗證並執行CLI指令。這兩個漏洞會影響Jenkins 2.554與LTS 2.541.2之前版本,解決辦法是升級到2.555與LTS 2.541.3以上版本。
Ubiquiti修補UniFi網管平臺滿分重大漏洞,未更新恐導致帳戶遭接管
主打中小企業與專業用戶的網通設備商Ubiquiti 近日發布安全公告,揭露其UniFi網路應用程式(Network Application)存在CVSS嚴重性評分達10分的重大漏洞,可能導致帳號遭接管,由於這款應用程式是UniFi系列網路設備的集中管理平臺,此漏洞將導致整個UniFi網路設備環境暴露在風險之中,用戶須立即修補。
這個漏洞編號為CVE-2026-22557,屬於路徑遍歷(Path Traversal)類型的弱點,攻擊者只要具備網路存取能力,即可能藉此存取底層系統檔案,進而篡改這些檔案以存取底層帳號。此漏洞會影響UniFi網路應用程式10.1.85以前版本,解決辦法是升級到10.1.89以後版本。
威聯通(QNAP)於3月21日發布安全公告,修補四個漏洞,會影響QHora路由器系列產品的QuRouter 2.6.x版管理系統,解決辦法是升級到QuRouter 2.6.3.009以後版本。
上述漏洞源自去年10月舉行的Pwn2Own 2025國際資安競賽, 由參賽隊伍Team DDOS所揭露。其中最嚴重的是CVE-2025-62846,為CVSS嚴重性評分7.3的高風險漏洞, 若攻擊者取得本機管理員帳號, 可利用SQL注入漏洞執行未授權使用的程式碼或指令。
工業電腦廠融程電(3416)於3月24日在股市公開觀測站公告發生資安事件,偵測到外部不明人士透過非法手段存取公司於第三方雲端平台的部分資料,並收到相關勒索訊息。
經初步調查,融程電指出確實存在部分資料遭存取情形,但未涉及公司核心系統與關鍵營運資料,亦未影響產品運作與客戶隱私,整體評估對營運無重大影響。
其他資安威脅
◆協助勒索軟體「閰羅王」取得入侵管道的俄羅斯駭客面臨7年徒刑
◆Mirai殭屍網路被用於大型DDoS攻擊平臺與非法代理伺服器
近期資安日報
【3月25日】大型語言模型串接套件LiteLLM慘遭駭客TeamPCP毒手
Comments (0)