【資安日報】5月4日,Linux系統核心存在長達9年的高風險漏洞Copy Fail
資安廠商Theori公開揭露存在於Linux系統核心長達9年的高風險漏洞CVE-2026-31431,這個嚴重性評分為7.8分弱點,被命名為Copy Fail,該公司特別設立專屬網站說明問題的成因與影響範圍,同時提供概念驗證程式,促使大家盡快因應迫切的危機。根據資安廠商Sysdig的整理,以系統核心而言,受此漏洞影響的版本,包含:4.14 到7.0-rc版、6.18.22之前的6.18.x版、6.19.12之前的6.19.x版,換言之,已修補的版本為7.0版、6.19.12版、6.18.22版。
Ubuntu與Canonical網站疑似遭遇DDoS攻擊而停擺
在5月1日,維護Ubuntu Linux作業系統的廠商Canonical,旗下有多個網站面臨DDoS攻擊,發動這波行動的是親伊朗的駭客組織,自稱「伊拉克伊斯蘭網路抵抗組織—313團隊(The Islamic Cyber Resistance in Iraq – 313 Team)」,他們透過即時通訊軟體Telegram的頻道宣布,攻擊將持續4個小時。根據Canonical與Ubuntu服務狀態網站的公告,以及Canonical與Ubuntu的社群網站X(原 Twitter)最新貼文,他們表示,網站基礎架構正面臨持續且跨越多國的網路攻擊,Canonical正在處理這起事故。然而,他們至今尚未發布DDoS攻擊導致網站服務中斷的正式聲明。
網站主機管理軟體供應商cPanel揭露與修補重大漏洞CVE-2026-41940,這個嚴重程度高達9.8分的身分驗證繞過漏洞,影響管理主機上個別租用帳號的cPanel、管理整臺代管主機的WHM(WebHost Manager),以及建立在cPanel與WHM架構上的WordPress專用版主機管理平臺WP2(WordPress Squared)。4月30日美國網路安全和基礎設施安全局(CISA)宣布,將CVE-2026-41940加入已知遭利用漏洞清單(KEV)。
cPanel重大漏洞出現濫用的概念驗證框架,全球網際網路尚有兩萬多臺伺服器遭駭
供應網站主機代管相關軟體的WebPros,擁有可簡化Linux系統管理的cPanel與WHM(WebHost Manager),在4月28日揭露與修補9.8分重大漏洞CVE-2026-41940,5月1日GitHub出現濫用CVE-2026-41940的概念驗證框架cPanelSniper,由資安研究員Yunus Emre Öztaş發布。根據Shadowserver基金會的儀表板顯示,4月30日遭駭的IP位址總數為44,089個,5月1日遭駭的IP位址總數降至20,771個。
cPanel重大漏洞釀災!勒索軟體Sorry已濫用此弱點對多個網站發動攻擊
資安新聞媒體Bleeping Computer收到許多消息來源指出,有多個駭客組織已經濫用cPanel與WHM重大資安漏洞CVE-2026-41940,滲透多臺伺服器並部署以Go語言寫成的加密勒索軟體Sorry。這支惡意軟體是專門針對Linux系統設計的加密勒索軟體,所有遭到加密的檔案附檔名都會加上.sorry,遭殃的每個資料夾都會出現勒索說明檔README.md,指示受害者透過加密匿名即時通訊工具Tox聯繫攻擊者,協商贖金金額。
資安公司Trellix近日在網站發布公告,表示他們部分原始碼的儲存庫遭到未經授權存取,該公司察覺後隨即尋求資安鑑識專家協助,並通報執法部門。根據初步調查結果,目前發布流程尚未受到影響,原始碼亦無遭到利用的跡象。值得留意的是,這份公告內容並未透露進一步的細節,沒有說明資料外流的範圍,也沒有透露受影響的產品,以及攻擊者可能的身分。
英國生物樣本庫經由內部研究人員外洩,50萬筆記錄流入阿里巴巴兜售
全球最大生物樣本資料庫UK Biobank近日發生重大資安事件,參與研究的人員導致50萬筆所有參與者的生物資料外洩,並放上中國電商平臺阿里巴巴兜售。UK Biobank執行長Rory Collins上週向參與者公開說明,在英國和中國政府介入下,已要求阿里巴巴將這些資料集下架,這些資料未被出售。UK Biobank指出,該事件並非出於網站漏洞或被駭,而是來自具有合法存取權的研究人員。UK Biobank指出這是這些學術機構的明顯違約行為,這些研究機構及牽涉的研究人員已經被吊銷存取。
蘋果App Store驚見假錢包,FakeWallet攻擊竊取助記詞
資安公司卡巴斯基近日揭露,攻擊行動FakeWallet已滲透蘋果App Store,出現至少26款偽裝成主流加密貨幣錢包的應用程式。這些App表面看似正常,但實際上會將使用者導向仿冒的下載網頁,誘導安裝被植入惡意程式的錢包,或透過釣魚介面騙取助記詞(Recovery Phrase)與私鑰,進而竊取加密資產。這波攻擊主要出現在中國區App Store,由於多數官方錢包無法在中國區App Store上架,使駭客得以利用此情境展開攻擊。
研究人員揭露AI程式碼開發工具Cursor設計缺陷,可能導致開發者API金鑰外洩
資安研究機構LayerX近日發布報告,揭露廣獲使用的AI程式碼開發工具Cursor存在設計缺陷,攻擊者可透過擴充套件存取用戶的API金鑰與連線權杖(Session Token),他們已於2月通報此問題,但直到4月底仍未見修補,提醒用戶安裝第三方擴充套件時須提高警覺。LayerX將這項攻擊手法命名為「CursorJacking」,評估其CVSS嚴重性為8.2分。
數發部揭露AI風險分類框架草案最新進展,採分類而非分級管理設計,涵蓋三大類18小類AI風險
數發部政務次長侯宜秀在最近一場活動中首度揭露了政府AI風險分類框架的最新進展,強調臺灣《人工智慧基本法》 和歐盟AI法案最重要的差異之一,在於臺灣對於AI風險的管理,採取分類概念,而不是分級的概念。臺灣的《人工智慧基本法》設計了一個三層式的AI風險治理框架,包括了三個層面,第一層定義了AI發展原則,包括7項全球普遍接受的AI發展原則,兼顧創新和人權保障的平衡。在七大原則之下的第二層是,數發部負責訂定的AI分類風險框架草案,最下方的第三層則是各部會的治理工作。
金融詐欺每年造成數十億美元損失,風險程度已不亞於傳統網路攻擊。長期推動MITRE ATT&CK並剖析攻擊鏈的美國非營利組織MITRE,旗下威脅情資驅動防禦中心(CTID)於2026年4月發布MITRE Fight Fraud Framework(F3),希望以共享的對手行為框架,協助金融機構更有效理解、偵測與預防詐欺活動。MITRE試圖打破隔閡,將詐欺分析師與資安防禦者拉到同一張作戰地圖。畢竟ATT&CK已是全球廣泛採用的對手戰術與技術知識庫,F3則建立在這套成熟基礎上,進一步延伸到金融詐欺場景。
Anthropic公布Claude Security供企業掃描漏洞
Anthropic發表Claude Security測試版,可供企業掃描易被AI濫用的軟體漏洞並且生成建議修補程式,或是由內建Claude模型的第三方安全工具修補。Claude Security原名為Claude Code Security,設計主旨是協助企業找出能被AI濫用的漏洞,Anthropic最早在二月提供少數企業試用,並於上週擴大推出並改名Claude Security,現在以公開Beta版提供Claude Enterprise用戶試用。Claude Security以Claude Opus 4.7為基礎,可透過claude.ai存取,檢視企業軟體程式碼的漏洞、建議修補程式,或是發現傳統方式找不到的複雜程式碼問題。
OpenAI推出進階帳號安全機制,為ChatGPT與Codex導入實體金鑰登入並支援用戶退出模型訓練
OpenAI於4月30日宣布為ChatGPT及Codex用戶提供支援實體金鑰,關閉以電子郵件和SMS回復帳號、自動將用戶退出模型訓練等確保帳號安全性。OpenAI也宣布,最新模型GPT 5.5-Cyber即將開放特定安全廠商存取。這一波安全新措施是OpenAI強化AI網路安全計畫的一環。新增的進階帳號安全(Advanced Account Security)核心在以新措施強化帳號登入防護、減少執行階段攔截、用戶退出模型訓練。首先,OpenAI和實體安全金鑰業者合作,支援以YubiKey等產品登入帳號。
螢幕連線也可能被駭?英國NCSC授權新型HDMI/DP硬體防護技術
螢幕與電腦之間的顯示連線,長期被視為「只是輸出畫面」的通道,但英國國家網路安全中心(NCSC)指出,這段連線同樣可能被攻擊者當成入侵管道,成為潛在攻擊面。為此,NCSC在4月22日宣布自家研發成果已商品化,推出全球首款獲得NCSC授權的硬體防護商業產品SilentGlass,標榜在HDMI與DisplayPort顯示連線上,主動阻擋非預期或惡意行為,將「筆電與螢幕之間的連線」重新納入企業能夠治理的安全邊界。
Fortinet資安平臺邁入8.0,擴增AI控管與量子安全防護特色
在2026年上半舉行的全球與臺灣年度用戶大會期間,資安廠商Fortinet針對支撐其安全織網架構(Fortinet Security Fabric)的作業系統平臺FortiOS,宣布推出最新版本8.0,主打三大特色:AI驅動的安全防護、次世代的安全存取服務邊緣(SASE),以及量子安全防護功能,並於4月21日正式推出。相較於既有的FortiOS,8.0版最顯著的差異在於,針對生成式AI與自主AI代理的使用,提供更深層的安全控管,企業對於整體網路環境的AI使用行為,具有更強大的掌握、治理與防護能力。
【2026 企業資安大調查】一張圖看2026年一般製造業企業資安風險
在2026年iThome CIO&CISO大調查中,一般製造2026年的首要風險和次要風險,與高科技製造業相同,「網路釣魚/社交工程手段」是未來一年的首要資安威脅,次要風險包括「商業郵件詐騙」和「勒索軟體資安事故」,不過值得注意的是,一般製造業第一象限高衝擊高風險的項目,卻比高科技製造業還要更多,包括4項系統類風險和6項人員類風險和一項AI類的風險。
【2026 企業資安大調查】一張圖看2026年服務業企業資安風險
臺灣服務業2026年得特別防備的首要風險是「網路釣魚/社交工程手段」,次要風險則包括了「勒索軟體資安事故」和「資安漏洞濫用」,另外,服務業得留意多項人員面的風險,包括「商業郵件詐騙」、「瀏覽惡意網站」、「身分冒用」、「個人資料外洩」和「機敏資料外洩」,都進入了第一象限。由於服務業CIO今年特別重視員工賦能和IT維運效能的提升,但在加速衝刺之際,也得特別留意與人員相關的資安威脅。
【2026 企業資安大調查】一張圖看2026年醫療業企業資安風險
2025年臺灣醫界歷經了嚴重的勒索軟體攻擊事件之後,每一家醫院紛紛把勒索軟體攻擊視為頭號資安威脅。但在2026年的醫療業資安風險圖中,網路釣魚/社交工程手段的發生可能性,比勒索軟體資安事件更高,成了醫療業的兩大首要風險,也是醫院今年特別要防備的頭號威脅。值得留意的是,醫院的挑戰不只這兩項,在高衝擊高風險的第一象限中,包括了7項系統類資安威脅和6項人員類資安威脅,都是得投入一定資源防備的項目。
【2026 企業資安大調查】一張圖看2026年政府學校資安風險
「網路釣魚/社交工程手段」和「資安漏洞濫用」是臺灣政府機構和學校未來一年必須優先防備的兩大首要威脅,其次則是對政府網站的「DDoS攻擊」。值得注意的是「軟體供應鏈資安事故」的威脅,在政府學校特別嚴峻,已經進入了高衝擊發生風險高的第一象限。雖然,政府學校積極擁抱生成式AI,但是AI類資安風險,仍被許多政府學校CIO列為未來一年比較不可能遭遇的風險,甚至是衝擊低的風險。這也是跟其他產業不太一樣之處。
臺灣資安市場地圖上周發布4月更新版,本次新增6個品牌,包含中華數位代理的Action1、Hudson Rock,紘瑒科技(Cloudforce)自有品牌與代理的CloudCoffer、Semgrep,以及義大利嵌入式資安軟體廠商Exein。
在廠牌商標更新的部分,這次更換的廠牌,以臺灣廠商而言,有峻盟科技(Billows)、區塊科技(BlockChain Security,BCS)、基點資訊(Cellopoint)、池安量子資安(Chelpis Quantum)、誠雲(CT-Cloud)、恆智資安(DoQubiz)、中華龍網(DragonSoft)、杜浦數位安全(TeamT5);至於國際廠商,有Anomali、BitSight、Black kite、Checkmarx、Check Point、Cloudflare、CyberArk、Cynomi、
Delinea、TrendAI。
近期資安日報
Ubuntu與Canonical網站疑似遭遇DDoS攻擊而停擺
全球廣泛使用的Linux發行版Ubuntu與其維護廠商Canonical,目前正面臨旗下多個網站停擺的狀況,疑似遭到親伊朗的駭客組織發動DDoS攻擊
www.ithome.com.tw
Comments (0)