【資安日報】4月10日，伊朗駭客鎖定美國關鍵基礎設施發動攻擊

美國的FBI、CISA、NSA、環境保護署（EPA）、能源部（DOE），以及網路作戰司令部的網路國家任務部隊（CNMF）等6大機構發布聯合警告，指出伊朗駭客組織CyberAv3ngers（Storm-0784、Hydro Kitten、UNC5691）正在對美國的關鍵基礎設施（CI）發動攻擊，他們尋找能透過網際網路存取的可程式化邏輯控制器（PLC），這些設備的廠牌包括Rockwell與Allen-Bradley。遭到攻擊的組織，涵蓋政府服務、水資源與廢水處理系統，以及能源產業，自今年3月開始，已有部分受害組織出現營運中斷或財務損失。

針對CyberAv3ngers滲透受害組織OT環境的過程，他們通常會利用多個外國IP位址犯案，從網際網路尋找Rockwell與Allen-Bradley製造的PLC設備。這些駭客租用第三方代管基礎設施，部署組態管理軟體，而且，這些設備使用的其中一種組態管理軟體，是Rockwell的Studio 5000 Logix Designer。至於被鎖定的PLC設備，包含CompactLogix與Micro850

Rockwell未修補的重大漏洞遭鎖定，伊朗駭客CyberAv3ngers用於攻擊可程式化邏輯控制器

弱點管理解決方案公司Tenable指出，伊朗駭客組織CyberAv3ngers在近期鎖定美國關鍵基礎設施攻擊行動裡，使用已知漏洞CVE-2021-22681滲透Rockwell的PLC裝置，此為憑證保護不夠周延造成的弱點（CWE-522），CISA將其CVSS風險評為滿分10分，非常危險，影響Rockwell旗下多種系統與設備，包括PLC管理軟體RSLogix 5000與Studio 5000 Logix Designer，以及CompactLogix、ControlLogix、GuardLogix、DriveLogix、SoftLogix等控制器設備。CISA於今年3月5日將CVE-2021-22681加入已遭利用的漏洞名冊（KEV），時間點相當吻合。

值得留意的是，駭客鎖定此漏洞的原因，很有可能就是Rockwell並未發布修補程式。Tenable提及，Rockwell在公告裡強調，CVE-2021-22681無法直接透過安裝修補程式解決，呼籲用戶應導入國防等級的縱深防禦措施因應。換言之，若是企業組織缺乏相關的資安管控機制，這樣的弱點將會持續存在。

Acrobat Reader驚傳零時差漏洞，駭客自去年11月就用於針對俄羅斯能源產業

研究員Haifei Li於4月7日提出警告，他建置的資安威脅監控系統ExpMon偵測到有問題的PDF檔案，經進一步分析後，判定此漏洞具備收集資料與洩露的能力，攻擊者還能遠端執行任何程式碼（RCE），並進行沙箱逃逸（SBX），當中利用了Acrobat Reader零時差漏洞，此弱點允許攻擊者執行特殊權限的API，影響最新版本的Acrobat Reader。隔天他更新部落格文章內容，指出有人發現新的漏洞利用檔案的變種，值得留意的是，此檔案於去年11月28日就上傳到VirusTotal，代表此零時差漏洞的利用活動已持續長達近半年。

另一名資安研究員Giuseppe Massaro（N3mes1s）於4月8日發布完整調查報告，指出他針對兩個利用零時差漏洞的PDF檔案進行分析，結果發現駭客藉此採集受害電腦的系統指紋，將電腦裡的資料傳送到C2伺服器，並下載經AES演算法處理的JavaScript有效酬載並執行。

Windows零時差漏洞BlueHammer涉及內建防毒軟體更新流程

資安研究員Chaotic Eclipse於GitHub公布零時差漏洞BlueHammer引起外界高度關注，此弱點可被用於本機權限提升（LPE），原因疑為微軟要求通報者必須提供影片，造成該名研究員不滿而選擇直接公布。有資安公司循線調查，公布更多細節。

資安公司Cyderes指出，BlueHammer主要與內建防毒Microsoft Defender的更新機制有關，攻擊者搭配磁碟區陰影複製服務（VSS）使用後，就有機會從低權限提升至NT AUTHORITY\SYSTEM。該公司強調，此漏洞無須利用系統核心錯誤、記憶體損毀等缺陷，攻擊者也不需在Microsoft Defender內部執行程式碼。一旦成功利用BlueHammer，攻擊者可讀取安全帳號管理員（Security Account Manager，SAM）資料庫、解開NTLM密碼雜湊值、接管本機管理員帳號，並啟動系統層級的Shell。若是攻擊者進一步還原密碼雜湊資料，還能避免資安系統的偵測。

Google發布Chrome 147，修補60個漏洞，含多個重大與高風險漏洞

Google於4月7日發布Chrome瀏覽器的147版，將Windows與Mac平臺穩定版更新至147.0.7727.55與147.0.7727.56，Linux版本更新至147.0.7727.55，同時也修補多個重大與高風險漏洞。

其中最嚴重的是CVE-2026-5858與CVE-2026-5859，皆被歸類為重大漏洞，Google分別給予通報者4萬3千美元獎金。這兩個漏洞有個共通點，都與瀏覽器的機器學習API模組WebML有關，CVE-2026-5858會造成WebML堆積緩衝區溢位（Heap buffer overflow），CVE-2026-5859則會造成WebML發生整數溢位（Integer overflow）。

為防範惡意程式竊取Cookie，Google於瀏覽器導入DBSC資安機制

本週Google宣布，他們在近期推出的Windows版本Chrome 146版裡，導入了2024年4月公布的裝置綁定連線階段憑證（Device Bound Session Credentials，DBSC）技術，目的防範惡意程式竊取cookie。該公司表示，他們在即將推出的下個版本（147版）將相關功能提供給macOS用戶。Google並公布推動DBSC標準化的計畫。

DBSC涉及裝置金鑰、瀏覽器、硬體業者與產業標準，Google推動DBSC的策略，是先在Chrome落地並結合自身服務擴散，再試圖標準化。

Nvidia推出OpenShell執行環境，為自主AI代理應用套上安全控制

在先前的GTC大會中，Nvidia除了發表各式各樣嶄新的AI硬體與軟體功能，擴展AI應用能力，也針對自主AI代理風行所帶來的安全風險，推出稱作OpenShell的安全執行環境，為OpenClaw等自主AI代理應用，提供安全控管功能。

OpenShell則藉由結合沙箱（Sandbox）、政策強制執行引擎（Policy Engine），以及隱私路由器（Privacy Router）等功能，提供AI代理的控管能力。藉由沙箱在AI代理與基礎架構之間建立隔離的執行環境，並透過政策引擎與隱私路由器，對AI代理的檔案系統存取、網路連線存取、系統程序控制與API呼叫，執行強制性的權限管制，從而讓AI代理自主運作時，不致踰越管理者預設的安全邊界。

n8n工作流程自動化平臺修補重大漏洞，未更新可能導致遠端執行任意程式碼攻擊

工作流程自動化平臺n8n近日發布安全公告，修補2個可能導致遠端執行程式碼的重大漏洞，影響n8n的2.14.x，2.13.x與1.123.x等版本，解決辦法是更新至2.14.1，2.13.3與1.123.27版。

第一個漏洞的編號為CVE-2026-33660，CVSS嚴重性評分達9.4分。問題是出在n8n用於處理不同來源資料合併的Merge節點，在「Combine by SQL」模式下使用的AlaSQL沙箱，對SQL指令處理存在缺陷，攻擊者可藉此執行任意程式碼或存取主機檔案。

HPE擴展後量子密碼技術應用，為ProLiant伺服器引進PQC加密技術

面對日漸逼近的量子運算威脅，HPE正積極為旗下產品引進後量子密碼學（PQC）技術，近期宣布為ProLiant Compute Gen12伺服器導入PQC技術，以因應量子電腦破解傳統公鑰加密的風險。而在近日的RSA大會上，HPE進一步發表iLO7支援PQC的具體時間，預定於2026年夏季正式推出這項功能。

縱觀市面上的伺服器基礎架構廠商，目前我們只看到HPE發布伺服器產品支援PQC的具體架構，以及正式導入時間的訊息，但僅限於最新的ProLiant Compute Gen12伺服器，以及iLO7管理平臺，但更早世代的ProLiant伺服器與iLO平臺的PQC遷移規畫，目前仍不明朗。

Cloudflare以沙箱外掛架構挑戰WordPress安全痛點，推出CMS開源專案EmDash

Cloudflare開源內容管理系統EmDash，其完全以TypeScript開發，並且重新設計外掛架構。EmDash每個外掛在獨立的沙箱環境中執行，須事先宣告所需權限，從根本改變WordPress外掛與主程式共享執行環境的安全模型。EmDash採MIT授權，底層基於網頁框架Astro，目前釋出v0.1.0開發者預覽版，可部署至Cloudflare帳戶或任何Node.js伺服器。

在部署架構上，EmDash設計為無伺服器優先，可運用Cloudflare Workers的V8 isolate架構，在請求進入時啟動執行環境，無流量時可縮至零，並按CPU運算時間計費。EmDash另內建x402協定支援，讓網站經營者可對內容存取收費，無需額外開發即可向AI代理等自動化客戶端收費。此外也提供MCP伺服器與CLI工具，使AI代理能程式化管理CMS內容，處理搬遷與批次修改等作業。

歐鐵票券營運商去年資料外洩事件影響30萬人

經營歐鐵票券（Eurail Pass）的旅遊業者Eurail B.V.，近日向美國政府通報去年的網路攻擊事件，透露有近30萬人個資及旅遊資料外流。

上述通報源自公司今年傳出的資安事故，Eurail有數個內部系統遭駭客存取，遭竊的資料包含客戶訂單資訊，如個資和聯絡資訊、國外客戶護照資訊如護照號碼、核發國家及到期日等。此外還有透過DiscoverEU方案外洩的青年客戶資料，包含姓名、出生日期、年齡、護照號碼或相片、電子郵件信箱、住宅地址、居住地、電話號碼、國際銀行帳戶號碼、健康資訊等。

其他資安威脅

◆與Bitter有關的駭客團體經營僱傭服務，攻擊中東與北非的新聞記者

◆北韓駭客散布1,700個惡意套件，橫跨NPM、PyPI、Go、Rust生態圈

◆後門程式BPFDoor出現變種，導入無狀態C2與ICMP中繼手法隱匿活動

◆網釣平臺Venom活動升溫，駭客用於對高階主管發動攻擊，意圖竊取M365帳號

◆微軟無預警停用多個高知名度開源專案的開發者帳號，恐導致維護者無法發布新版軟體修補資安漏洞

近期資安日報

【4月9日】Anthropic全新模型漏洞挖掘能力超群，直逼人類頂尖駭客

【4月8日】APT28綁架SOHO路由器設備，將受害者導向AiTM基礎設施

【4月7日】Claude Code資料外洩事故成駭客散布惡意軟體的新誘餌