【資安日報】5月6日，Apache修補網頁伺服器高風險漏洞

5月4日Apache基金會發布2.4.67版網頁伺服器軟體HTTP Server，總共修補11個資安漏洞，其中被列為重要（Important）等級的CVE-2026-23918最值得留意。CVE-2026-23918存在於HTTP Server的HTTP/2通訊協定，為記憶體雙重釋放（Double Free）造成的弱點，攻擊者有機會用於發動遠端程式碼執行（RCE）攻擊，CVSS風險為8.8分（滿分10分），屬高風險層級。通報此弱點的資安公司Striga.ai共同創辦人Bartlomiej Dmitruk向資安新聞網站The Hacker News說明漏洞細節，指出該漏洞有可能導致網頁伺服器服務中斷（DoS）。

Palo Alto Networks揭露防火牆重大資安漏洞，並指出已被用於實際攻擊

5月6日資安公司Palo Alto Networks發布資安公告，揭露防火牆作業系統PAN-OS資安漏洞CVE-2026-0300，此弱點存在於User-ID身分驗證入口網站，為記憶體緩衝區溢位漏洞，未經身分驗證的攻擊者透過特製封包，就能在防火牆以root權限執行任意程式碼，CVSS v4.0風險評為9.3分，屬重大等級漏洞。值得留意的是，該漏洞已出現遭到利用的情況，但相關修補程式預計要一至三週後才會推出。

虛擬光碟機軟體DAEMON Tools Lite遭植入後門

資安公司卡巴斯基指出，他們在5月初發現，免費版虛擬光碟機軟體DAEMON Tools Lite遭植入惡意程式，可用來下載後續惡意酬載，受影響版本涵蓋今年4月8日發行的12.5.0.2421至最新的12.5.0.2434。這起事故發現的原因，源自卡巴斯基在自家產品回傳的偵測資料察覺異常，發現多臺電腦執行DAEMON Tools Lite後，會連向冒牌DAEMON Tools惡意伺服器，並嘗試下載後續檔案。

中國駭客UAT-8302對南美洲、東南歐政府機關發動大規模APT攻擊

思科威脅情報團隊Talos揭露中國駭客組織UAT-8302，相關活動至少可追溯到2024年底，當時他們針對南美洲政府機關發動攻擊，但從2025年開始，這些駭客轉移目標到東南歐國家。這些駭客在成功入侵受害組織後，他們就會使用自製的惡意程式，其中一個是以.NET打造的後門程式NetDraft（NosyDoor），駭客以C#後門FinalDraft（SquidDoor）為基礎進行改良而成。

中國駭客濫用OpenClaw自動化串接攻擊流程，試圖利用漏洞逾4.5萬次

資安廠商SOCRadar揭露中國駭客使用自動化攻擊與資料蒐集基礎設施，透過OpenClaw與代號paperclip的集中式後端，將偵察、漏洞利用、憑證蒐集、後門部署與金流驗證串接成自動化流程。研究人員表示，其後端資料顯示該基礎設施記錄約4.5萬次漏洞利用嘗試，也會追蹤惡意酬載執行與命令驗證結果，讓攻擊者能掌握從漏洞利用到金流驗證的流程。

駭客冒充甫推出的DeepSeek V4散布惡意軟體

4月24日中國AI公司深度求索（DeepSeek）發布新一代語言模型DeepSeek V4，然而駭客也假借該模型的名義，向使用者散布惡意程式。微軟威脅情報團隊於職場社群網站LinkedIn提出警告，他們在DeepSeek V4推出的數個小時之後，看到有人假冒此模型的名義設置GitHub儲存庫，導致有使用者下載了竊資軟體Vidar與惡意代理伺服器程式GhostSocks。對此，GitHub已關閉惡意儲存庫、封鎖惡意帳號，以阻止造成更多傷害。

ShinyHunters宣稱竊得Canvas開發商、Nvidia GeForce NOW數百萬個人資料

ShinyHunters上週宣稱駭入Canvas開發商Instructure及Nvidia GeForce NOW遊戲平臺，分別取得2.8億及數百萬筆用戶資料。Instructure坦承遭到網路攻擊，而Nvidia則說只影響東歐一家雲端託管平臺夥伴。Instructure公告近日遭網路罪犯攻擊，導致資料外洩，業者已偕同外部資安專家啟動調查，以控制災害並釐清影響範圍。ShinyHunters聲稱，他們利用Canvas資料匯出機制，包括DAP查詢、報表與使用者API等方式，取得Instructure約2.75億筆資料，現在持有將近9000個學校的師生、教職員的姓名、電子郵件、學生ID等個資，以及師生間、學生間不公開對話訊息數十億筆。

新網釣攻擊手法ConsentFix v3能自動化攻擊Azure環境

Push Security近期在網路犯罪論壇XSS裡，看到疑為俄羅斯國家級駭客介紹的第三代ConsentFix（ConsentFix v3），駭客使用類似資安廠商部落格文章的形式，介紹該手法使用的重要技術，包括：OAuth授權、同意網路釣魚、刷新權杖（Token），以及Family of Client IDs（FOCI）。並介紹ClickFix與ConsentFix的發展過程，最終為論壇用戶提供逐步操作的指引。ConsentFix v3與第一代最大的不同，就是允許駭客監控整個攻擊流程。

Google發布5月份Android例行更新，修補重大層級的資安漏洞

5月4日Google發布Android本月份例行更新，不過這次特別的是，該公司僅有修補一項重大層級的資安弱點。此漏洞登記為CVE-2026-0073，出現在該作業系統的系統元件Android Debug Bridge Daemon（adbd），嚴重程度評為重大層級（未提供CVSS風險評分），一旦攻擊者成功利用，就能遠端執行任意程式碼（RCE），相當危險，Google已為Android 14以上版本進行修補。

企業檔案傳輸自動化工具MOVEit Automation存在重大漏洞，攻擊者可藉此繞過身分驗證流程

Progress發布企業檔案傳輸自動化工具MOVEit Automation安全公告，修補兩項影響企業檔案傳輸自動化流程的漏洞CVE-2026-4670與CVE-2026-5174，前者屬於嚴重等級的認證繞過漏洞，後者則是高風險等級的權限提升漏洞。若遭濫用，攻擊者可能取得未授權存取能力，進一步影響系統管理控制與資料安全。其中，較為危險的是CVE-2026-4670，攻擊者可用於繞過身分驗證流程，CVSS風險評為9.8分。

開源資安監控平臺Wazuh存在重大漏洞，可用於橫向移動、寫入任意檔案

廣泛使用的開源資安監控平臺Wazuh存在CVSS風險值9.9的重大漏洞，可讓攻擊者在受害者網路上橫向移動、覆寫系統檔案，及執行任意程式碼。此漏洞出現在Wazuh叢集同步化擷取程序，為路徑遍歷漏洞，起因是未能正確限制擷取文件的目錄路徑，一旦通過身分驗證的叢集用戶，就有機會突破原本預定的擷取目錄，並在其他叢集節點寫入任意檔案。此外，攻擊者還能透過覆寫掉Wazuh元件載入的Python模組，改寫入惡意檔案。

FreeBSD修補DHCP用戶端重大漏洞，未更新可能導致遠端執行程式碼攻擊

FreeBSD近日發布資安公告，揭露影響其DHCP用戶端元件dhclient的重大漏洞CVE-2026-42511，可能導致攻擊者以root權限執行遠端程式碼，並釋出修補程式。CVSS嚴重性評分達8.1分，問題源自FreeBSD的DHCP用戶端元件dhclient，處理DHCP回傳參數的方式存在缺陷。目前所有支援中的FreeBSD版本，包括13.x、14.x與15.x等版本都受到影響，解決方法是透過FreeBSD內建的系統更新指令，下載與安裝各版本對應的修補程式。

Linux核心漏洞Copy Fail可突破Kubernetes防護機制

資安公司Theori上週揭露嚴重性達到7.8分的Linux核心弱點Copy Fail，此漏洞可被用於本機權限提升（LPE），已被登記為CVE-2026-31431列管，由於該漏洞影響2017年以後發行的所有Linux版本，因此格外受到重視，繼微軟警告攻擊者可能藉此滲透雲端Linux工作負載與Kubernetes叢集後，荷蘭DevOps暨網頁開發工程師Jorijn Schrijvershof指出，此漏洞能直接突破Kubernetes的預設防護機制。

Palo Alto Networks提出Copy Fail的緊急因應措施

資安公司Palo Alto Networks本週針對Copy Fail發布資安公告，指出由於該弱點可被用於竄改特權執行檔（如su或sudo）記憶體快取內容，且不會觸發完整性檢查的警示訊息，攻擊者可用於突破Kubernetes容器、接管多租戶主機、滲透CI/CD管線，該公司呼籲使用者應儘速採取行動，最好能立刻套用廠商提供的核心更新程式，若是用戶暫時還無法安裝，應實作臨時緩解措施，停用受影響的algif_aead模組因應。

為因應AI加速找出資安漏洞的態勢，Oracle有意調整發布例行更新週期

4月29日Oracle透過部落格文章宣布，他們將於每季的Critical Patch Update（CPU）例行更新之外，於其他月份發布當月更新Critical Security Patch Update（CSPU）。CSPU將針對重要的資安問題進行精準修補，使得該公司客戶在下一次CPU更新發布之前，能夠處理高風險層級的漏洞。Oracle強調，CSPU套件更小、且專門針對弱點，使得用戶修補變得更加容易。對於執行CSPU的時間點，首波預計將於今年5月28日發布，接下來會在6月16日、8月18日、9月15日發布CSPU更新。

Google調整Android與Chrome漏洞獎勵，降低部分獎金並取消加碼

Google調整Android與Google裝置VRP，以及Chrome VRP這兩項漏洞獎勵計畫，保留零點擊完整攻擊鏈與瀏覽器程序完整攻擊鏈等高階獎勵，但降低部分獎金並取消特定加碼項目，同時把獎勵與審查重點放在較難由AI自動化工具找出的高影響漏洞。其中，Android漏洞保留最高150萬美元獎勵級距，適用於零點擊完整攻擊鏈，且能攻陷Pixel Titan M2安全晶片並具持續性的漏洞，若同樣是零點擊完整攻擊鏈，但不具持續性，最高獎金則為75萬美元。

【臺灣資安大會直擊】看不見的國土保衛戰，調查局長陳白立揭開臺灣「第五領域」的資安攻防全貌

在「臺灣資安大會CYBERSEC 2026」主題演講中，法務部調查局長陳白立以「全社會韌性：調查局在資安領域扮演的關鍵角色」為題，完整揭示臺灣面對的數位威脅樣貌，以及調查局如何從傳統執法機關，轉型成為國家數位國土防衛的重要支柱。這場演講不只是資安趨勢分析，更像是一份關於「第五領域戰爭」的國安報告。從APT長期滲透、AI驅動的勒索攻擊、供應鏈滲透、關鍵基礎設施威脅，到認知作戰與假訊息操作，陳白立描繪的，不再只是零星駭侵事件，而是一場結合科技、情報、政治與心理戰的複合型對抗。

【臺灣資安大會直擊】Agentic AI時代已到來，微軟強調企業資安必須走向「環境式、自主式」防禦

面對Agentic AI時代的新挑戰，在2026臺灣資安大會首日的主題演說中，微軟全球資深副總裁Vasu Jakkal針對當前威脅提出因應之道，強調企業下一階段的資安架構，必須轉向「環境式（Ambient）」與「自主式（Autonomous）」的防禦模式。環境式防禦代表資安能力必須內建，而非額外附加的選項，要成為系統與生俱來的預設能力；自主式防禦的部分，則是因為僅靠人力已難以應付AI驅動的規模化攻擊。

【臺灣資安大會直擊】台新新光金控談AI風險治理：從可信任走向永續AI

曾任刑事局資訊科科長、偵九大隊隊長，現為台新新光金控暨台新銀行資安長陳詰昌，於臺灣資安大會首日分享如何治理AI風險。他指出，金融業導入AI大致歷經3階段，首先是以統計與機器學習為核心的「判斷式AI」，多用於詐欺偵測與風險判斷；其次是近年快速普及的「生成式AI」，多應用於智能客服、報告生成與法規比對等場景，例如台新的法金徵信報告自動化。

提供1.5 Gbps網路威脅檢測效能，思科新款入門級防火牆上市

去年6月舉行年度用戶大會期間，思科宣布Cisco Secure Firewall產品線將推出兩款產品，其中一款是入門級的最小機型200系列，是鎖定分支辦公室環境使用，能以相當迷你的機箱尺寸、具有成本效益的市場包裝，提供1.5 Gbps的網路威脅檢測效能，相較於其他競爭產品，性價比號稱可達到3倍，思科當時也預告這批防火牆將於12月推出。到了今年1月，思科正式公布200系列的技術規格，首先是首款機型的名稱定為Secure Firewall 220（CSF 220），而在威脅檢測與網路傳輸的效能上，他們照慣例揭露多種使用模式的表現。

近期資安日報

【5月5日】2026臺灣資安大會正式登場

【5月4日】Linux系統核心存在長達9年的高風險漏洞Copy Fail

【4月30日】NPM供應鏈攻擊Mini Shai-Hulud鎖定多款SAP套件