【資安日報】5月11日，逾半數密碼的MD5雜湊值一小時就能破解

近日卡巴斯基分析2023年至2026年流入暗網的2.31億個密碼，結果發現，駭客想要破解密碼，其中六成只需1小時與幾美元的費用，值得注意的是，有近半數（48%）只要1分鐘就能破解。該公司說明，一般應用系統不會以明文存放密碼，而是經過特定演算法處理，並以雜湊值存放，一旦駭客取得這些雜湊值，而且能解密，就能還原成使用者輸入的密碼。而該公司測試時，使用搭載RTX 5090顯卡的電腦，嘗試還原MD5雜湊值。卡巴斯基強調，實際上駭客不需自行擁有一臺上述顯卡的高階工作站電腦，而是直接以數美元的代價租用雲端的GPU運算資源，就能達到目的。

Linux高風險漏洞Dirty Frag影響2017年至今的系統核心，以及6種發行版

4月底揭露的Linux系統核心的本機提權漏洞Copy Fail（CVE-2026-31431）震撼全球之餘，沒想到5月8日竟又爆出另一批同樣存在Linux系統核心的本機提權漏洞Dirty Frag，微軟、Wiz公布進一步的細節。微軟透露此漏洞涉及esp4、esp6與rxrpc核心模組弱點CVE-2026-43284、CVE-2026-43500，恐影響Ubuntu、RHEL、CentOS Stream、AlmaLinux、Fedora、openSUSE等Linux發行版，以及容器平臺OpenShift。Wiz指出，以Linux核心為例，就ESP子系統而言，可涵蓋2017年至今的所有版本，就RxRPC子系統而言，可涵蓋2023年至今的所有版本。

Firefox大改版修復的漏洞其實不只271個！Mozilla基金會揭露近期結合AI處理的Firefox漏洞多達423個

瀏覽器Firefox在4月下旬發布150版，Mozilla基金會表示，由於與AI模型大廠Anthropic合作，因此有機會採用早期版本的先進AI模型Claude Mythos Preview，找出271個漏洞並完成修補。事實上，4月推出的Firefox 150總共修補的漏洞數量不只於此，Mozilla基金會在5月7日表示，實際上內部回報的漏洞有316個，而且，它們是由3個彙整多個漏洞而成的CVE組成，分別是匯集154個漏洞的CVE-2026-6784、匯集55個漏洞的CVE-2026-6785，以及匯集107個漏洞的CVE-2026-6786。Mozilla在4月份發布的Firefox 149.0.2、150、150.0.1當中，總共修補了423個漏洞。

cPanel新揭露與修補3個漏洞

許多網站主機代管業者採用的Linux系統管理軟體cPanel與Web Host Manager（WHM）在4月底揭露與修補重大漏洞CVE-2026-41940，後續引發一連串資安風波，5月8日再度發布漏洞公告，揭露與修補3個新漏洞：CVE-2026-29201、CVE-2026-29202、CVE-2026-29203。當中最需要注意的漏洞是CVE-2026-29202與CVE-2026-29203，CVSSv3嚴重度皆為8.8分，都屬於高風險漏洞；CVE-2026-29201的CVSSv3嚴重度評為4.3分，屬於中度風險漏洞。

Node.js沙箱函式庫vm2繼WASM沙箱逃逸後，再修NodeVM巢狀執行設定漏洞

Node.js沙箱函式庫vm2近期連續修補沙箱逃逸漏洞，繼3.10.5版處理CVE-2026-26956後，又在3.11.1版修補NodeVM巢狀執行設定問題CVE-2026-44007。該漏洞可能讓沙箱內程式碼繞過原本禁止載入模組的限制，進一步建立新的執行環境，並嘗試在主機端執行命令。CVE-2026-44007其漏洞情境是當開發者在NodeVM開啟nesting:true，卻同時以為已透過require:false關閉模組載入功能時，沙箱內程式碼仍可能載入vm2，再建立另一個內層NodeVM，並用攻擊者指定的設定執行主機命令。

Hugging Face出現冒充OpenAI的惡意儲存庫，鎖定Windows用戶散布竊資軟體

AI資安公司HiddenLayer指出，他們近日在Hugging Face儲存庫Open-OSS/privacy-filter找到惡意程式碼，該儲存庫複製了OpenAI近日開源的去識別化資料模型Privacy Filter，內容幾乎與正牌的Privacy Filter一模一樣，然而，若依照其指示操作，Windows使用者的電腦就有可能被植入惡意程式。值得留意的是，該儲存庫在Hugging Face下架前，已被下載超過20萬次，甚至登上熱門排行榜，因此影響範圍恐怕會非常廣泛。

檔案下載工具JDownloader網站遭駭，駭客竄改安裝檔下載連結

根據資安新聞網站Bleeping Computer報導，提供檔案下載工具軟體JDownloader的官方網站遭駭，攻擊者竄改安裝程式的下載連結，導致Windows電腦可能會被植入Python打造的遠端存取木馬。最早發現此事的是ID為PrinceOfNightSky的使用者，他在社群網站Reddit警告，剛從JDownloader網站下載的安裝程式，被Windows內建端點防護軟體Microsoft Defender標示為有問題，因此，他呼籲JDownloader用戶特別留意，並聯繫開發商AppWork進行確認。該公司在該篇貼文底下提出回覆，當中證實網站遭駭。

勒索軟體RansomHouse聲稱竊得資安公司Trellix的原始碼

一週前Trellix在網站發布公告，透露部分原始碼的儲存庫遭未經授權存取，近日有駭客組織聲稱是其所為。根據資安新聞網站Bleeping Computer的報導，勒索軟體RansomHouse近日將Trellix列於資料外洩網站，並發布螢幕截圖，藉此證明他們已成功存取該公司的裝置管理系統，該團體聲稱於4月17日成功入侵Trellix。不過，Bleeping Computer無法確認駭客說法的真實性。針對上述情形，Trellix向該新聞網站表示，他們已掌握駭客的說法並著手調查。

Zara母公司傳被ShinyHunters竊取資料，影響近20萬人

西班牙快時尚品牌Zara母公司Inditex疑似遭勒索軟體組織ShinyHunters宣稱入侵雲端分析系統，被竊取197,000筆客戶資料。4月中旬勒索軟體組織ShinyHunters宣稱，他們利用Anodot行銷分析平臺的憑證，從Inditex的BigQuery執行個體竊得140 GB資料。由於該公司未及時支付贖金，駭客威脅準備將竊得的資料公開。5月8日密碼外洩查詢網站Have I Been Pwned將Inditex列入資料外洩名冊，洩露的資料包括197,000筆電子郵件信箱、產品SKU、客戶訂單編號，客戶來源地區、以及9,500萬筆支援工單資訊。

Canvas再被駭客入侵斷線，大學被迫延遲期末考

Canvas供應商Instructure四月遭勒索軟體ShinyHunters外洩資料，上週網站再度遭駭，導致大學用戶運作大亂，甚至延遲期末考。群駭客將Canvas入口網站置換成勒索訊息。聲稱未接獲Instructure聯繫，對方反而實施一定的安全措施。由於已過了公開Canvas資料的談判期限，駭客於是向Canvas學校用戶喊話，呼籲他們如果不希望資料公開，就個別和駭客直接以TOX通訊程式聯繫、談判「和解」，最後期限為5月12日。由於此時正是大學院校舉行期末考期間，斷線也造成使用Canvas平臺的學校行程大亂。

WordPress轉址外掛功能發現潛藏多年後門程式，逾7萬網站恐暴露於惡意程式散播風險

網站代管業者Austin Ginder近日發布報告，指出廣泛使用的開源網站管理系統WordPress上，有不少用戶使用的外掛程式Quick Page/Post Redirect存在潛藏5年的後門，影響超過7萬個網站，可能導致內容注入與惡意程式碼散播等問題，WordPress.org已於4月14日將Quick Page/Post Redirect外掛程式下架，等待進一步審查，目前已無法下載，但已安裝該外掛的用戶仍面臨風險，建議用戶先行停用與移除，等待審查結果。

加拿大查獲簡訊廣播器犯罪活動，攻擊者假冒合法基地臺並利用2G連線弱點發送釣魚簡訊

日前多倫多警察局（Toronto Police Service）公布「燈塔專案」（Project Lighthouse）調查結果，指出3名男子涉嫌在多倫多市中心操作簡訊廣播器（SMS blaster），向大量行動裝置發送詐騙簡訊。這起調查始於2025年11月，當時有安全合作夥伴通報執法機關，指出多倫多市中心疑似出現這類設備。多倫多警方表示，數個月內已有幾萬臺裝置曾連上這臺簡訊廣播器，警方也辨識出超過1,300萬次網路中斷事件，使部分裝置無法正常連上合法行動基地臺。

惡意NuGet套件冒充中國.NET程式庫，企圖對開發人員的瀏覽器、加密貨幣錢包發動攻擊

最近資安公司Socket發現惡意NuGet套件的攻擊活動，名為bmrxntfj的開發者上架5個惡意套件，這些套件冒充中國廣泛使用的.NET程式庫，涵蓋使用者介面和基礎設施相關用途。這些惡意套件內含經.NET Reactor保護的竊資軟體，能針對12種瀏覽器、8種加密貨幣錢包的應用程式，以及5種加密貨幣錢包的瀏覽器延伸套件功能，從中竊取機密，然後傳送到特定的C2網域。值得留意的是，這些套件總共被下載超過6.5萬次，影響範圍相當廣泛。

惡意程式ZiChatBot透過PyPI套件散布，針對Windows與Linux用戶而來

資安公司卡巴斯基近日揭露駭客組織OceanLotus（APT32）於PyPI儲存庫的攻擊活動，攻擊者自2025年7月上傳一系列的惡意套件，而這些套件確實具備駭客宣稱的功能，不過實際上卻會根據受害電腦的作業系統，執行Windows版或Linux版的惡意程式載入工具（Dropper），最終植入惡意軟體ZiChatBot，該公司向PyPI維護團隊通報後，上述套件已被下架。此惡意軟體的特別之處，在於並未採用一般的C2機制，而是濫用開源聊天及協作軟體Zulip的REST API建立通訊。ZiChatBot可接收駭客送出的Shellcode，執行完成後，該惡意軟體會回傳愛心表情符號（Emoji）表示成功。

CISA要求聯邦機構3天內修補Ivanti行動裝置管理平臺零時差漏洞

上週Ivanti發布資安公告，修補端點管理平臺Endpoint Manager Mobile（EPMM）多項資安漏洞，其中CVE-2026-6973已被實際利用，現在美國政府也證實此事。美國網路安全暨基礎設施安全局（CISA）於5月7日宣布，將CVE-2026-6973加入已遭利用的漏洞名冊（KEV），要求聯邦機構必須在5月10日前完成採取行動因應，不過，CISA目前無法確定此漏洞是否被用於勒索軟體攻擊活動。

CISA在Palo Alto Networks防火牆重大漏洞揭露當下，即同步納入KEV清單，限期3天採取緩解措施

5月6日揭露的Palo Alto Networks防火牆重大漏洞CVE-2026-0300，當天美國網路安全與基礎設施安全局（CISA）隨即證實已出現被利用的活動，將其納入已知遭利用漏洞清單（KEV），要求各機構5月9日前採取緩解措施，顯示此漏洞具備高度風險與急迫性。CVE-2026-0300的CVSS v4.0嚴重性達到9.3分，問題源自Palo Alto Networks防火牆的User-ID身分驗證入口網站，攻擊者無須身分驗證，即可向入口網站服務發送特製封包觸發此漏洞。

AWS美東資料中心傳出供電與冷卻異常，EC2與EBS服務受影響

AWS透過其服務狀態儀表板警示，美國東部（北維吉尼亞）的US-EAST-1服務區域，因單一資料中心供電與冷卻系統異常，導致部分EC2與EBS服務出現「impairment（功能降級）」情況，進而影響到其他相關服務運作，AWS表示已著手修復問題，目前已有初步復原跡象，但尚未能確認完全復原的時程。AWS最初是在太平洋夏令時間（PDT）5月7日下午5點25分（臺灣時間5月8日上午8點25分）發出通知，表示US-EAST-1的use1-az4可用區出現執行個體功能降級（impairment）情況，稍後在5點53分說明更多細節。

為了推動AI領域的投資，資安公司Arctic Wolf傳出裁員250人

根據科技新聞網站The Register的報導，資安公司Arctic Wolf近期裁員250人，目的是強化威脅情報平臺與代理型資安營運中心（Agentic SOC），投入更多與AI相關的資金，涵蓋銷售、產品開發、行銷多個部門，其中部分員工在職超過4年。該公司發言人證實此事，表示該公司確實在進行組織再造，使公司架構及投資方向更符合長期經營策略，為了提升營運效率，Arctic Wolf將持續投資威脅情報平臺Superintelligence與Agentic SOC。

衛福部期中將著重AI與資安治理，醫院資安預算至少應編3%

隨著醫療機構持續成為勒索攻擊與個資外洩的高風險目標，醫院不只得補強技術防護，也得提前因應更嚴格的法規與治理要求。在5月7日的臺灣資安大會裡，中山醫學大學附設醫院醫療資訊中心副主任黃冠凱指出，衛福部推動的健康臺灣深耕計畫近期將進入期中審查，其中第3範疇聚焦資安治理、資料治理與AI治理，將成為衛福部資訊處的重要核查項目。他也建議，醫院整體資安經費至少應占總預算3%以上，才能建立基本防護能力。

攔阻影子AI有道！SailPoint提供基於瀏覽器外掛的企業管理框架

為了提高工作效率，越來越多人在企業管理的環境當中，使用各種生成式AI服務，然而，也因此經常發生所謂的「影子AI」，也就是員工未獲得IT部門的許可而擅自使用AI，由於資安人員無法知曉他們如何與AI平臺互動，導致出現管理的盲點與失去狀態掌控的能力，針對這樣的管理需求，專攻身分治理解決方案的資安廠商SailPoint，今年3月下半宣布推出SailPoint Shadow AI Remediation（SAIR），提供即時AI治理與安全性框架，因應員工未經授權使用AI工具的行為，提供持續探查、監督與防護機制，協助緩解AI應用急速成長帶來的安全性與法規遵循風險。

近期資安日報

【5月8日】Linux核心再傳本機提權漏洞Dirty Frag

【5月7日】駭客聲稱提供OpenClaw用戶擴充功能散布惡意軟體

【5月6日】Apache修補網頁伺服器高風險漏洞