【資安日報】5月8日,Linux核心再傳本機提權漏洞Dirty Frag
資安研究人員Hyunwoo Kim公開名為Dirty Frag的漏洞鏈,指出攻擊者若已能在受影響Linux系統上執行程式,可能由低權限帳號取得Root權限。由於Dirty Frag漏洞影響所有主流Linux環境,且發行版修補與CVE編號申請尚未完成前,已有第三方公開部分漏洞細節與攻擊程式,迫使研究人員不得不提前揭露完整資訊。Dirty Frag的問題發生在Linux核心處理網路資料與加解密資料時,未能正確分辨部分資料其實來自檔案快取,攻擊者可讓原本只應被讀取的檔案快取頁面,被放進核心後續要處理的網路資料。
5月7日資安公司Ivanti發布公告,端點管理平臺Endpoint Manager Mobile(EPMM)存在5個高風險漏洞,值得留意的是,其中一個登記為CVE-2026-6973的資安漏洞已出現實際攻擊活動。CVE-2026-6973為存取控制不當引起的弱點,通過身分驗證且具備管理權限的攻擊者,就有機會遠端執行任何程式碼(RCE),CVSS風險評為7.2分。Ivanti指出,他們已掌握少部分客戶遭遇漏洞利用的情形,並強調利用漏洞的必要條件,在於須預先通過管理員的身分驗證。
Palo Alto Networks防火牆作業系統零時差漏洞傳出遭國家級駭客利用
5月6日資安公司Palo Alto Networks揭露已被用於攻擊的零時差漏洞CVE-2026-0300,該公司威脅情報團隊Unit 42透露,他們4月9日開始看到國家級駭客CL-STA-1132利用CVE-2026-0300的活動,但當時並未成功,一週後,駭客對防火牆發動遠端程式碼執行(RCE)攻擊,並注入Shellcode,得逞後,為了避免留下作案痕跡,這些駭客隨即清除事件記錄,其中包含系統核心當機訊息、Nginx當機相關事件,此外,他們也移除核心當機傾印檔案。時隔數日,駭客部署多個具有root權限的工具,並利用防火牆服務帳號對AD環境進行偵察。
威脅情報機構Censys近日發布報告指出,Linux主機管理平臺cPanel/WHM重大漏洞CVE-2026-41940公開後,大量cPanel主機已成為攻擊目標,自5月1日起,網際網路上相關惡意活動明顯增加,用戶需立即採取修補措施。攻擊者主要透過兩種手段來攻擊cPanel主機,一為在入侵系統後,部署Mirai變種惡意軟體,另一為使用變種的Sorry勒索軟體。而依照Censys自身的資料,他們目前偵測到大約9,500臺cPanel主機涉及惡意活動,多集中於虛擬私人伺服器(VPS)與雲端服務供應商。
資安廠商DataDome發現近來駭客發動分散式阻斷服務(DDoS)攻擊手法有所演進,從短時大規模流量攻擊,轉向慢而低調的長時間活動。該公司於4月緩解鎖定一家生成內容平臺客戶的網頁機器人(Bot)的DDoS攻擊,駭客以時間換取空間,在5小時內發出24.5億次請求,但值得注意的是,過程裡未曾觸發傳統防護方案流量限制的機制。發動這波攻擊的殭屍網路,橫跨16,402個自治系統(AS),遍及120萬個不重複IP位址,是DataDome觀察到最繁複的DDoS基礎架構。
駭客濫用Anthropic與OpenAI的模型攻擊墨西哥水力及排水系統
工控資安公司Dragos指出,他們協助另一家資安公司Gambit Security調查墨西哥多個政府機關遭遇大規模入侵的事故,結果發現駭客竟利用AI從受害組織的IT環境,成功滲透關鍵基礎設施的OT環境。Gambit Security於今年2月發現,墨西哥政府機構2025年12月開始遭遇攻擊,其中有大量證據顯示,攻擊者使用Anthropic Claude與OpenAI GPT模型的情況,Dragos留意到針對城市供水與排水的公營事業的攻擊,在這波事故中,駭客成功滲透該公司的企業IT環境之後,試圖入侵相關的OT環境。
上個月資安公司Malwarebytes揭露冒牌Claude網站的攻擊行動,駭客藉此散布遠端存取木馬PlugX,本週資安公司Sophos指出,由於駭客的攻擊鏈與PlugX的活動有多個共通的特徵,他們起初認為這起偽冒事故是PlugX攻擊,但進一步調查後發現,駭客使用了過往未曾出現的後門程式,該公司將其命名為Beagle,過程中,駭客使用第一階段酬載DonutLoader將其載入。根據駭客不慎曝露的Cloudflare原始來源憑證,假Claude網頁的主機可能在今年3月架設。
Anthropic程式碼助理Claude Code存在設計問題,可被MCP劫持竊取OAuth權杖
資安業者Mitiga研究人員發現Anthropic旗下的程式碼助理Claude Code存在設計漏洞,可能遭駭客發動MCP劫持(MCP Hijacking)竊走其OAuth權杖(Token),但開發人員可能渾然不覺,並透過供應鏈攻擊擴大下游受害範圍。這個漏洞出在Claude Code配置機制與擴展架構設計。這涉及Claude Code權杖的致命特徵,包括不安全儲存(存放在~/.claude.json目錄)、能跨連線階段(Session)重複使用與自動刷新(refresh),再者,開發人員因無從看出來源伺服器,無法追溯權杖的來源。
因具備精準顯示紅綠燈倒數秒數等功能,中國導航服務高德地圖在臺灣快速竄紅,但其資料來源與個資蒐集方式引發疑慮,使得我國政府關注此事並進行評估。繼4月下旬數發部根據資通安全管理法要求政府機關禁止使用,近日國家安全局也透露,他們已對高德地圖進行檢測,結果發現多項資安問題。5月7日立法院外交及國防委員會審查115年度中央政府總預算案,有立委在質詢時關切高德地圖的資安議題,詢問國安局是否對其進行分析。國安局長蔡明彥表示,他們已檢測高德地圖行動裝置應用程式,在15個項目中,有9個存在資安問題。
專注於電源解決方案的科技公司碩天(3617)於5月7日下午在股市公開觀測站發布資安重訊,指出有不明人士入侵主機並將部分伺服器加密的情況,他們察覺此事後隨即啟動資安防禦機制並進行復原,對於這起事故可能會造成的影響,該公司經初步評估,表示對財務、業務,以及營運皆無重大影響。
Mozilla發布Firefox 150.0.2,修補3項高風險漏洞
5月7日Mozilla基金會發布Firefox 150.0.2,一共修補3項高風險資安漏洞,分別為CVE-2026-8090、CVE-2026-8092、CVE-2026-8093,這些弱點皆與記憶體有關,其中的CVE-2026-8090為記憶體釋放後再存取使用(Use After Free),存在於DOM: Networking元件。另外兩個弱點CVE-2026-8092與CVE-2026-8093,皆為影響記憶體安全性的程式臭蟲,攻擊者有機會用來執行任何程式碼。
WhatsApp修補觸發惡意連結漏洞,若未更新可能導致短影音被利用為攻擊入口
即時通訊服務WhatsApp近日發布資安公告,修補兩項可能導致觸發惡意連結與執行附件檔案的漏洞,建議用戶盡速修補。其中較受矚目的漏洞是CVE-2026-23866,CVSS嚴重性評分4.3分,問題源自處理Instagram Reels短影音相關訊息時,對媒體內容的來源驗證不足,可能導致WhatsApp載入任意網址,攻擊者可藉此誘使用戶開啟惡意網址。這項漏洞會影響iOS版WhatsApp的2.25.8.0至2.26.15.72版,以及Android版2.25.8.0至2.26.7.10版。
Node.js沙箱函式庫vm2出現重大沙箱逃逸漏洞CVE-2026-26956,受影響版本為3.10.4,修補版本為3.10.5。GitHub安全公告顯示,該漏洞嚴重性等級為重大,CVSS v3.1分數為9.8,攻擊者若能將經過特殊設計的程式碼交由VM.run()執行,就可能跳離沙箱,並在主機端執行命令。由於概念驗證(PoC)的程式碼與檔案現已於GitHub公開,建議使用者升級至vm2 3.10.5或更新版本。
Wireshark發布4.6.5版修補逾40項漏洞,AI輔助通報加速風險揭露與修補
廣泛用於網路封包擷取、檢視與分析的開源封包分析工具Wireshark,近日釋出4.6.5版本,除改進功能、更新協定外,還修補四十多項漏洞。Wireshark基金會在公告中特別指出,這次改版所修補的漏洞數量大增,源自近期透過AI輔助通報漏洞的應用。這次Wireshark修補的漏洞中,最嚴重的是以下這4個。首先是CVE-2026-5402,CVSS嚴重性評分達8.8分,為TLS協定解析器的堆積溢位問題。CVSS嚴重性7.8分的漏洞有三個,分別是:CVE-2026-5403、CVE-2026-5405、CVE-2026-5656。
Oracle釋出2026年4月關鍵修補更新,共修補241項漏洞,含多項重大與高風險漏洞
Oracle近日發布2026年4月關鍵修補更新(Critical Patch Update,CPU),共包含481項更新程式,修補241項漏洞,包括22項重大漏洞,影響範圍包括資料庫、應用伺服器等28個產品家族。Oracle這次更新涉及的產品中,比重最大的是Oracle Communications產品家族,一共有139項更新程式,占所有更新程式總數近30%,其次是Oracle Financial Services Applications與Oracle Fusion Middleware,分別有75項與59項更新程式。弱點管理公司Tenable指出,約有六成漏洞無需通過身分驗證,即可透過網路發動攻擊。
劍橋研究指出逾8成金融業者已導入AI,監管機關最擔心資料隱私與AI幻覺風險
劍橋大學賈吉商學院(Cambridge Judge Business School)發布全球金融業AI研究《2026 Global AI in Financial Services Report》指出,目前已有81%的金融服務業者導入AI,主要用於內部流程與營運優化。研究也發現,資料隱私、AI幻覺(hallucination),以及AI輸出結果不可靠,已成為監管機關最關注的AI風險。金融業者導入AI的速度明顯快過監管機關。受訪金融機構中,有40%已進入成熟導入或轉型階段,相較於監管機關, 比例達到兩倍以上,後者僅20%達到相近成熟度。不過,僅14%的受訪者認為,AI已對企業策略與競爭優勢帶來明顯影響。
強化美國關鍵基礎設施韌性,CISA推動CI Fortify計畫
美國網路安全暨基礎架構管理署(CISA)本週宣布,啟動關鍵基礎設施強化(CI Fortify)計畫,要求能源、國防等基礎設施機構強化隔離作業及回復運作的能力,因應地緣政治中的網路安全威脅。此計畫是為了因應美國關鍵基礎設施面臨中國、伊朗、俄羅斯等國家級駭客帶來的威脅,其中包括擾亂及破壞美國能源與設施控制系統的操作環境(OT)系統、滲透電信基礎設施以癱瘓電話和網路服務。在這項計畫裡,CISA要求關鍵基礎設施的經營者,需增加隔離(Isolation)與復原(Recovery)有關的投資。
針對臺灣企業導入AI的現況,趨勢科技示警,指出國內有相當多企業在追求導入AI速度之際,已經呈現出容易忽略風險控管的現況。該公司表示,根據旗下企業資安事業群(TrendAI)調查報告TrendAI 2026 global AI study顯示,有74%的臺灣企業迫於高層或市場壓力,核准了可能帶來資安風險的AI方案,這當中卻只有不到一半的企業認為,其內部團隊能辨識惡意或異常的AI行為。此狀況突顯一種內部風險,臺灣企業在提升競爭力與AI轉型的同時,儘管部分企業試圖建立安全配套,但有半數以上的風險控管能力已成為被忽略的一環。
【臺灣資安大會直擊】BEC郵件詐騙手法採用AI深偽技術,讓商業詐騙進入「真假難辨」新階段
隨著生成式AI與深偽技術快速普及,商業電子郵件詐騙(BEC)正從傳統假冒郵件,演變為結合雲端帳號滲透、AI視訊偽造與跨境社交工程的新型態攻擊。曾在KPMG、鴻海集團擔任顧問、資訊或資安主管的遠東新世紀資安處資安長易換棣,在今年臺灣資安大會中分享他的觀察及經驗,BEC已不只是資安事件,而是企業治理、信任機制與商業流程全面遭到操控的問題。
資安是大型公有雲業者持續擴增的服務類別,AWS旗下有5大類、33款產品,數量最多的類型是偵測與應變,其中的Security Hub在2025年12月改名為Security Hub CSPM,聚焦資安發現的匯聚、資安最佳實務的檢查、法規與政策遵循的監控,至於Security Hub這套資安服務,則是經過重新設計,從雲端安全態勢管理(CSPM)進化成統一的雲端安全解決方案。到了今年2月底,AWS 宣布Security Hub擴增延伸訂閱方案(Extended plan),目的是針對企業多種資安解決方案的採購、部署、整合,提供簡化使用的機制。
近期資安日報
Ivanti修補裝置管理平臺EPMM已遭利用的高風險漏洞
本週Ivanti修補端點管理平臺Endpoint Manager Mobile(EPMM)多項資安漏洞,並指出其中的CVE-2026-6973已被用於實際攻擊,呼籲用戶儘速採取行動
www.ithome.com.tw
Comments (0)