【資安日報】5月13日,鴻海驚傳遭勒索軟體Nitrogen攻擊
根據資安新聞媒體Cybernews報導,鴻海5月初美國廠區發生嚴重的IT問題,勒索軟體Nitrogen本週在暗網網站將鴻海列為受害者。駭客宣稱取得的檔案包括英特爾、蘋果、Dell、Nvidia的機密指令、專案和設計草圖,以及其他檔案。巧合的是,兩週前鴻海位於美國威斯康辛州芒特普萊森特山(Mount Pleasant)的園區發生網路斷線事件,事件發生於5月1日凌晨,園區產線無法運作,報導引述員工說法,所有產線都被迫停工。而辦公室員工也無法連網,被要求使用個人行動熱點來上網工作。
微軟於5月12日發布本月例行更新(Patch Tuesday),總共公開137個由該公司登記CVE編號的漏洞,數量較上個月的165個有所減少。若是加上該公司修補的第三方元件漏洞,總數將達到265個。值得留意的是,這些漏洞當中,有13個微軟認為很有可能會成為駭客利用的目標,其中有4項被評為重大等級,這些漏洞是CVE-2026-35435、CVE-2026-40361、CVE-2026-40364、CVE-2026-41103。
SAP修補S/4HANA與Commerce Cloud重大漏洞
5月12日SAP發布本月例行更新(Security Patch Day),修補15個資安漏洞,其中的CVE-2026-34260與CVE-2026-34263被評為重大等級,兩者的CVSS風險評分皆為9.6(滿分10分)。CVE-2026-34260存在於SAP S/4HANA,為SQL注入漏洞,未經身分驗證的攻擊者可透過使用者控制的輸入,注入惡意的SQL指令(SQL Statement),此時該應用程式就會將惡意輸入串接成SQL查詢,並在未經適當驗證與處理的情況下,傳送至底層資料庫。
Fortinet修補FortiSandbox、FortiAuthenticator重大RCE漏洞
防火牆業者Fortinet本週發布軟體更新,分別修補旗下產品FortiSandbox和FortiAuthenticator的遠端程式碼執行(RCE)漏洞,這些漏洞被登記為CVE-2026-26083與CVE-2026-44277,CVSS風險都是9.1。其中,CVE-2026-26083涉及全域授權(global authorization)不充分,影響本地建置的FortiSandbox、雲端服務FortiSandbox Cloud,以及FortiSandbox的PaaS版本,攻擊者可藉由發送HTTP請求,在FortiSandbox執行未授權程式碼或指令。
Adobe針對10款應用系統發布5月更新,呼籲用戶應優先對電商平臺進行處理
Adobe於5月12日發布本月例行更新,修補10款應用程式及系統的資安漏洞,弱點數量總共有52個,與上個月55個相當接近。本次修補的範圍,涵蓋Premiere Pro、After Effects、Illustrator,以及Adobe Commerce(Magento)等常見應用程式。其中值得留意的是,Adobe這次將電子商務平臺軟體Adobe Commerce評為修補優先層級第二(Priority 2)的產品,呼籲用戶應儘速處理。
蘋果針對旗下電腦、行動裝置、穿戴裝置發布作業系統26.5版更新,並為更多行動裝置修補通知服務漏洞
5月11日蘋果發布iOS 26.5與iPadOS 26.5、macOS Tahoe 26.5、tvOS 26.5、watchOS 26.5、visionOS 26.5等一系列更新,修補旗下的行動裝置、電腦、電視盒、智慧手錶,以及混合實境(MR)裝置的資安漏洞,從弱點數量來看,macOS修補的漏洞最多,共有79個,iOS與iPadOS有61個居次,至於tvOS、watchOS與visionOS,分別修補了46、43、48個漏洞。
5月8日資安研究人員Hyunwoo Kim公開資安漏洞Dirty Frag,此漏洞存在於Linux核心,為本機權限提升(LPE)弱點,攻擊者有機會透過低權限帳號取得root權限,而且,漏洞的影響範圍涵蓋至少6種Linux發行版,這樣的特性,讓人很容易想到4月底公布的Copy Fail(CVE-2026-31431),因此也有研究人員將Dirty Frag稱為Copy Fail 2。值得留意的是,雖然Kim揭露此事的時候指出,網路上有人已公布概念驗證(PoC)程式碼,不過,微軟透露,他們發現疑似有實際利用的情形。
4月27日奇偶科技(GeoVision)發布資安公告,指出影像監控管理軟體系統GV-VMS V20存在資安漏洞CVE-2026-42369、CVE-2026-42370、CVE-2026-7372,影響20.0.2以下的版本,攻擊者只要發送特製的HTTP請求,就有機會在未經身分驗證的情況下,觸發漏洞執行任意程式碼。值得留意的是,雖然上述公告未說明細節,但實際上這些漏洞都相當危險,根據美國國家漏洞資料庫(NVD)5月3日公布的資料,最嚴重的是CVSS風險達到滿分10分的CVE-2026-42369。
Google發布ChromeOS長期支援版更新,修補多項高風險記憶體漏洞
Google發布ChromeOS作業系統長期支援版(Long Term Support)新版本,將LTS-144版更新至144.0.7559.250版,同時修補11項漏洞,多數屬於高風險的記憶體安全漏洞。這次修補的漏洞中,最嚴重的是CVE-2026-5290,CVSS嚴重性評分達9.6分,為畫面合成元件Compositor的記憶體已釋放卻仍被使用(Use After Free)問題 。另有9項CVSS嚴重性評分8.8的漏洞,同樣屬於這類記憶體安全性問題。
Claude瀏覽器延伸套件存在設計缺陷,攻擊者恐透過惡意套件挾持AI
Claude的Chrome延伸套件功能(Claude in Chrome)存在資安弱點,根據AI資安公司LayerX的研究,這項漏洞使得其他延伸套件在無須取得特殊權限的情況下,可注入惡意指令並挾持Claude in Chrome的功能,擷取攻擊者想要的任何資料,並讓Claude的代理程式執行攻擊者指定的操作或任意指令。值得留意的是,4月27日LayerX向Anthropic通報,並獲得確認,Anthropic表示將發布新版延伸套件進行修補,然而在5月6日套件1.0.70版更新發布後,LayerX發現Anthropic修補不完整,且未徹底解決漏洞根本原因,使得LayerX找到的弱點仍舊能夠利用。
AI模型Mythos首度實戰curl專案,發現1項漏洞與20項程式缺陷
由Anthropic開發的AI資安模型Mythos,首次應用於開源專案curl的程式碼分析,並產出第一批成果。Mythos掃描約17.6萬行程式碼後,共發現5項漏洞,但經curl資安團隊人工審查後,僅確認1項為實際的安全漏洞,其餘4項中有3項為誤判(false positives),1項為一般程式錯誤(bug),Mythos的報告也額外提出20項程式錯誤(bug)。curl開發團隊將於6月下旬發布的8.21.0版,修補Mythos找到的資安漏洞。
AI工具3個月找出38個OpenEMR漏洞,包括可能導致敏感資料外洩的滿分重大漏洞
資安公司Aisle近日發布研究報告,指出該公司透過其AI自主分析工具,掃描開源電子病歷系統OpenEMR的程式碼庫,在3個月內發現38個新漏洞,包括兩個CVSS嚴重性評為10分的重大漏洞,並協助OpenEMR基金會完成修補。第1個滿分漏洞是CVE-2026-24898,原因是MedEx回傳端點允許繞過身分驗證,導致連線階段權杖產生洩漏的問題,可能造成敏感資訊洩漏與未授權操作;第2個是CVE-2026-24908,為病人REST API端點的SQL注入問題。
惡意軟體框架PCPJack鎖定雲端基礎設施,封鎖駭客團體TeamPCP的存取權限
駭客團體TeamPCP(PCPcat)3月滲透資安公司Aqua Security開發的漏洞掃描工具Trivy,引發大家對於軟體供應鏈攻擊的擔憂,後續又發動一連串的供應鏈攻擊,不過,最近有一起針對雲端的惡意軟體活動相當不尋常,因為攻擊者顯然與TeamPCP爭奪攻擊資源。資安公司SentinelOne在4月28日發現一段相當特別的指令碼,主要攻擊目標是雲端環境,但引起該公司注意的地方在於,此指令碼執行後的首要工作,竟是驅逐與清理與TeamPCP有關的攻擊工具。
Best Western Hotel遭駭訂房資料外洩長達6個月
知名飯店集團貝斯特韋斯特(Best Western Hotel,BWH)本週通知客戶,去年10月發生資安事件,致使住客預約資料遭駭客存取。該公司在今年4月22日發現儲存特定客戶預約資料的網頁應用有非授權活動。該公司立即將網頁應用下線,註銷駭客的存取權,並偕同外部資安業者回應、強化安全並啟動調查。攻擊者存取部分客戶資料,包括姓名、電子郵件信箱、電話號碼、住家地址及其他訂房資料,資料期間涵括2025年10月14日到2026年4月22日。
【臺灣資安大會直擊】酷澎臺灣資安長陳浩維宣布:酷澎首個公開版漏洞獎勵計畫,並揭露背後的戰略藍圖
先前韓國總公司因為內部前中國籍員工外洩客戶個資,有20萬名臺灣客戶受到牽連而受到各界矚目的跨境電商酷澎(Coupang),今年在臺灣資安大會CYBERSEC 2026當中,首度公開酷澎臺灣將與全球規模最大的漏洞通報平臺HackerOne合作消息,推出「公開版漏洞獎勵計畫(Public Bug Bounty Program)」。酷澎臺灣暨日本資安長陳浩維表示,這不只是臺灣第一個與HackerOne的合作計畫,也是酷澎全球首發的合作專案。
【臺灣資安大會直擊】金管會揭金融資安韌性藍圖最新進展,即將發布金融業PQC遷移指引
-63.jpg)
金管會去年底發布了影響未來四年金融資安監理的「金融資安韌性發展藍圖」,經過半年,金管會資訊服務處處長林裕泰在剛落幕的臺灣資安大會上,揭露了半年來的多項成果和新進展。林裕泰表示,金管會自去年7月啟動「金融業後量子密碼遷移先導計畫」,找來代表性金融機構成立量子先導小組,目前最新的進展,是即將完成「金融業後量子密碼遷移參考指引」。
【臺灣資安大會直擊】醫院OT資安不能照辦公室IT那套!應先盤點、縮小範圍,再談防護
在今年度臺灣資安大會醫療資安論壇上,擁有近30年醫療儀器工程資歷的張韶良指出,醫院要真正做好OT資安,第一步不是每臺設備都加裝防火牆,也不是直接套用辦公室的資安規範,而是先完成資產盤點、設備分類與網路盤查,從原本動輒上萬臺設備中,找出真正需要優先保護的邊界設備與控制系統,再進行安全管控。張韶良強調資安法屬於通法,醫療器材管理法才是醫療儀器的專法,當兩者有衝突,仍應以專法優先。
【臺灣資安大會直擊】台新新光強調資安預算不等於資安部門預算,企業應重新定義資安投資範圍
-63.jpg)
資安預算應占IT預算多少比例,向來是許多人關心的資安治理議題,也往往是資安長爭取預算的基礎。台新新光金控資訊安全部資深協理方振維在今年臺灣資安大會指出,企業談資安時,不應只聚焦在駭客入侵,而是要重新回到CIA三大核心,也就是機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),他特別點出,許多企業多會注意機密性、完整性,但長期忽略可用性。
【臺灣資安大會直擊】用AI對抗AI,緯創資通藍隊將資安事件回應速度從「小時」縮短至「分鐘」
近年來,Google、AWS與微軟等科技大廠陸續公開內部資安團隊用AI強化防禦,各界因此得以參考多種可仿效的實務作法,對臺灣企業而言,這股應用浪潮雖受重視,但如何將AI真正落實於日常資安維運,仍是大家積極探索的課題。今年臺灣資安大會開始出現更多企業公開實務經驗,高科技製造業者緯創資通(Wistron)就是一例。約從兩年前開始,該公司嘗試運用AI解決長年困擾SOC團隊的「告警疲勞」問題,並利用AI Chatbot大幅優化事件查詢效率。
VCF 9.1增強橫向存取安全,擴充EDR整合勒索軟體隔離復原
博通(Broadcom)月初宣布VMware Cloud Foundation(VCF)推出9.1版更新,關於安全性方面的功能突破,VCF 9.1主打能針對AI資料主權與治理需求提供零信任架構,能在基礎架構層級整合多種機制,保護Hypervisor到應用程式的AI工作負載、專屬AI模型與訓練資料。VMware強調,VCF 9.1能提供公有雲無法比擬的安全性,因為用戶實施零信任網路分段、主權復原(sovereign recovery),以及無需額外工具的持續漏洞修補,可強化AI系統部署於正式使用環境的資安態勢。
近期資安日報
微軟發布5月份例行更新,修補137個資安漏洞
在5月的例行更新(Patch Tuesday)當中,微軟本次修補137個旗下產品的漏洞,以及128個第三方元件的資安漏洞,其中有13個微軟認為有可能會被利用,用戶應優先處理
www.ithome.com.tw
Comments (0)