【資安日報】6月12日，Oracle PeopleSoft零時差漏洞被用於大規模攻擊

6月10日Oracle發布資安公告，可用於人力資源管理、財務與供應鏈管理、校務系統、客戶關係管理等領域的企業應用系統平臺PeopleSoft PeopleTools，存在重大等級的資安漏洞CVE-2026-35273，未經身分驗證的攻擊者可遠端利用，一旦成功，就有機會導致遠端程式碼執行。該漏洞影響8.61與8.62版PeopleSoft Enterprise PeopleTools，PeopleSoft Enterprise Applications用戶也可能受影響。

Oracle PeopleSoft零時差漏洞遭駭客組織ShinyHunters積極利用

Mandiant與Google威脅情報團隊（GTIG）公布調查結果，於5月27日至6月9日期間，發現ShinyHunters（UNC6240）發動入侵及勒索的攻擊，目標是Oracle PeopleSoft應用系統基礎設施，過程中利用了CVE-2026-35273。兩個團隊察覺掃描與利用漏洞的活動後，向全球超過100個可能成為目標的組織通報此事，這些組織大部分位於美國，68%是高等教育組織。攻擊者會架設自己的MeshCentral代理程式，並偽裝成合法雲端服務的端點，用途是執行管理員級的命令查詢，並部署橫向移動與從事破壞的指令碼。

英國諾丁漢大學資料外洩，可能影響45萬學生

在勒索軟體ShinyHunters宣稱竊取資料後，英國諾丁漢大學（University of Nottingham）6月11日證實，學生紀錄系統中的大量資料遭外部第三方組織存取，呼籲學生留意陌生的電子郵件、訊息或電話，並確保使用強密碼。對於外流的資料規模，ShinyHunters聲稱竊得40 GB資料，密碼外洩查詢網站Have I Been Pwned透露，外洩資料達到45.5萬筆，涵蓋學生及校友姓名、住家地址、電子郵件、電話、種族、身體特徵，以及護照號碼等資訊。

ServiceNow公布安全事件初步調查，稱資料查詢活動可能來自研究人員

企業雲端工作流程平臺業者ServiceNow於6月上旬傳出安全事件，ServiceNow於6月10日發布安全公告說明，多名客戶於6月3日至4日轉交漏洞獎勵計畫通報，內容涉及一項可能讓未經身分驗證使用者存取ServiceNow執行個體資訊的安全問題，且與4月22日提交至ServiceNow漏洞獎勵計畫的保密通報相似。該公司調查後發現，部分客戶的執行個體自6月2日起出現不明活動。資安媒體SC Media也引述多名資安業者看法指出，用戶不應降低對事件影響的評估。

甫修補的Ivanti Sentry滿分重大漏洞已被用於實際攻擊

6月9日資安公司Ivanti修補Ivanti Sentry資安漏洞CVE-2026-10520，該漏洞CVSS風險達到滿分10分，相當危險，事隔兩天，Shadowserver基金會提出警告，他們觀察到大規模利用CVE-2026-10520的嘗試行為，總共找到19臺存在弱點的Ivanti Sentry執行個體（instance），這些系統疑似都遭到入侵，其中有兩臺已被植入後門。該基金會表示，他們本次的偵測率偏低，很有可能是因為在掃描過程有許多Ivanti Sentry系統無法存取，因此若用戶尚未修補，很有可能已經被入侵。

研究人員揭露BitLocker零時差漏洞GreatXML

研究人員Chaotic Eclipse（Nightmare-Eclipse）於微軟發布6月例行更新（Patch Tuesday）當天，公布Microsoft Defender零時差漏洞RoguePlanet。根據資安新聞網站SecurityWeek報導，事隔兩天該研究員又公開另一個零時差漏洞GreatXML，並指出該弱點可被用於繞過BitLocker磁碟加密機制。針對這項漏洞出現的情境，該名研究員指出，電腦在防毒軟體Microsoft Defender啟動離線掃描的狀態下，攻擊者無須登入Windows作業系統就有機會利用GreatXML，有可能在BitLocker磁區產生不受限制存取的Shell。

Google發布Chrome 149更新，修補近30個弱點

6月11日Google發布電腦版與Android版Chrome 149更新，總共修補28個資安弱點，其中有5個為重大等級，用戶應儘速升級至149.0.7827.114或149.0.7827.115版修補。值得留意的是，此為Google在一週內第二次發布更新，距離上次更新只有3天，相當罕見。從漏洞的類型來看，記憶體相關的弱點占多數，其中又以記憶體釋放後再存取使用（Use After Free）有12個最多。未受信任輸入驗證不充分的弱點居次，有5個。

Palo Alto Networks發布6月安全更新，修補11項漏洞

資安公司Palo Alto Networks本週發布六月份安全更新，修補11項漏洞，高風險漏洞占兩項，其中之一為CVE-2026-0274，影響Palo Alto Networks安全協調、自動化與回應（SOAR）平臺Cortex XSOAR。問題出自於Cortex XSOAR/XSIAM與Commvault Security IQ整合模組的身分驗證機制不當，可能讓未通過身分驗證的攻擊者存取或修改受保護資料，本漏洞CVSS風險值8.1，影響Cortex XSIAM/XSOAR Commvault Security IQ Marketplace。

Proxmox Virtual Environment發布9.2版，修補5項近期備受關注的Linux核心漏洞

開源虛擬化平臺Proxmox Virtual Environment（Proxmox VE）近期推出9.2版，除了導入動態負載平衡等新功能之外，也整合Linux修補程式，一口氣修補5項近期受到關注的Linux核心漏洞，包括編號CVE-2026-31431的Copy Fail漏洞，由CVE-2026-43284與CVE-2026-43500等兩部分構成的Dirty Frag漏洞，編號CVE-2026-46300的Fragnesia漏洞，編號CVE-2026-43494的PinTheft漏洞，以及編號CVE-2026-46333的ssh-keysign-pwn漏洞。

LiteLLM高風險已知漏洞可與另一個漏洞串連，形成CVSS風險10分的漏洞利用鏈

威脅情報公司Horizon3.ai指出，攻擊者利用LiteLLM已知漏洞CVE-2026-42271的基本條件，就是通過身分驗證，然而他們發現，若是搭配存在於Python非同步（ASGI）框架Starlette的中度風險漏洞CVE-2026-48710，就有可能在依賴自架Gitea的開發環境裡，形成CVSS風險10分滿分的重大弱點，完全繞過LiteLLM的身分驗證請求，從而導致遠端程式碼執行，讓攻擊者以LiteLLM代理程式執行指令，呼籲用戶應儘速更新LiteLLM與Starlette因應。

Arista EOS網路作業系統存在已遭利用漏洞，原廠選擇緩解措施而不發布修補程式

美國網路安全與基礎設施安全局（CISA）在6月9日提出警告，將Arista EOS網路作業系統的CVE-2026-7473漏洞，列入已遭利用的漏洞名單（KEV），此漏洞Arista於5月上旬揭露，存在於EOS的隧道（Tunnel）流量解封裝機制，系統未驗證封裝流量所使用的隧道協定類型，CVSS評為5.8分。雖然已被實際利用，但為了避免破壞（breaking）用戶部署環境的現有配置，該公司不打算透過升級軟體或熱修補（Hotfix）的方式修補，建議用戶採取緩解措施。

施耐德電機修補多項高風險漏洞，影響EcoStruxure與PowerLogic等產品

工業自動化與能源管理業者施耐德電機（Schneider Electric）於6月9日發布3份安全公告，揭露資料中心監控軟體EcoStruxure IT Data Center Expert、遠端終端裝置與控制器EasyLogic T150／Saitel DP RTU，以及電力保護與控制平臺PowerLogic P7的多項漏洞，並針對受影響產品提供已修補的版本。其中，該公司為PowerLogic P7修補3項漏洞，CVE-2026-9716與CVE-2026-9717為高風險漏洞，CVSS v4.0分數分別為8.7分與8.6分，可能造成阻斷服務。

AI代理同樣存在遭社交工程欺騙風險，研究人員揭露OpenClaw AI代理可遭釣魚郵件誘騙洩漏敏感資料

資安廠商Varonis旗下威脅研究團隊近日發布報告，揭露針對開源AI代理平臺OpenClaw進行的安全測試研究，結果發現，即使為AI代理設定明確的安全政策，攻擊者仍可透過社交工程手法，誘騙AI代理洩漏敏感資訊。針對測試結果，Varonis表示AI代理在部分情境下的安全性，已超過許多真人用戶，能有效識別可疑URL、虛假登入入口網站、惡意OAuth提示與冒充網域。但在社交層面上，AI代理在判斷人員身分、組織關係與授權範圍等情境，仍相當脆弱。

越南駭客OceanLotus發動供應鏈攻擊，鎖定投資人散布SpectralViper後門

資安業者ESET於6月11日揭露，越南駭客組織OceanLotus（APT32）自2025年10月至2026年3月，入侵越南投資軟體FireAnt Metakit更新伺服器，透過偽造軟體更新向股票投資人散布SpectralViper後門程式。駭客利用了FireAnt Metakit更新機制中的多項安全缺陷，例如：該軟體更新設定檔缺乏數位簽章或完整性驗證機制、更新過程仍使用未加密的HTTP通訊。此外，OceanLotus亦長期入侵當地一家基礎建設及交通工程公司，可能是藉由微軟SQL Server遠端程式碼執行漏洞取得初始存取權限。

攻擊者假冒IT支援人員，透過Microsoft Teams發動社交工程攻擊

資安業者Palo Alto Networks指出，攻擊者利用Microsoft Teams等企業協作工具發動社交工程與網釣攻擊，藉由員工對內部溝通平臺的信任，假冒IT支援人員或服務供應商誘騙受害者。攻擊者可能透過Teams傳送外部聊天邀請，聲稱使用者帳號出現異常，要求對方核准多因素驗證（MFA）請求，或依指示重設憑證。由於訊息出現在Teams而非電子郵件，員工可能降低戒心。該公司強調，這類手法並非個案，已有駭客組織APT29、UNC6692用於實際活動。

惡意Chrome擴充套件鎖定AI平臺互動內容，收集對話與敏感資料

隨著使用者與生成式AI的互動逐漸成為企業工作流程的一部分，攻擊者也開始將AI對話內容視為新的資料來源。近期出現主動監控用戶與AI平臺互動內容的惡意或可疑Chrome擴充套件，藉此收集使用者輸入的對話紀錄與敏感資訊。資安公司G DATA指出，部分看似具有正常功能的Chrome擴充套件，會監視用戶與ChatGPT、Claude、Copilot、DeepSeek、Gemini等生成式AI平臺的對話，並從中收集對話內容，再將這些資訊傳送到外部端點。

網路攻擊組織UNC3753鎖定法律與金融業，假冒IT人員竊資勒索

Google Cloud旗下資安團隊Mandiant與Google威脅情報團隊（GTIG）揭露，網路攻擊組織UNC3753在2026年1月至5月間鎖定美國數十個組織，包括專業服務、法律與金融服務業，發動以資料竊取勒索為目的的攻擊活動。攻擊者冒充企業IT服務臺或資安人員，透過電話社交工程誘使員工開啟螢幕分享、安裝遠端管理工具，搜尋並竊取敏感資料。研究人員建議企業加強使用者訓練、外部技術人員身分驗證、訪客陪同制度、遠端存取控管等措施因應。

駭客偽冒開源資安工具網站散布惡意軟體，並利用流量分發系統篩選攻擊目標

為了提高散布惡意軟體的效率，攻擊者已不再採取無差別投放惡意連結的方式，而開始透過流量分發系統（Traffic Distribution System，TDS）篩選攻擊目標，資安業者Check Point近日揭露這類型的大規模攻擊活動，攻擊者仿冒Ghidra、dnSpy與SpiderFoot等開源資安工具的下載網站，並結合點擊劫持手法來誤導造訪這些網站的使用者，同時結合偽冒下載網站、點擊劫持（Click Hijacking），以及流量分發系統，企圖藉此提高攻擊成功率。

殭屍網路C0XMO利用老舊DD-WRT漏洞，擴散並感染DVR與Android等裝置

資安業者Fortinet披露，Gafgyt殭屍網路的最新變種C0XMO正在利用DD-WRT開源路由器韌體於2021年揭露的CVE-2021-27137漏洞，在攻陷未更新的路由器後，再藉由獨立的Python掃描模組進一步感染數位錄影機（DVR）、網路影音管理平臺及Android裝置等多種裝置。與傳統殭屍網路不同的是，C0XMO將掃描與擴散功能拆成獨立Python腳本，使駭客更容易針對不同系統架構與裝置類型調整攻擊手法。

酷澎個資外洩案波及3,755萬人，遭韓國重罰逾6,246億韓元

針對電商平臺酷澎（Coupang）於2025年11月揭露的大規模個資外洩事故，韓國個資保護委員會（PIPC）於6月11日公告，對酷澎處以6,246億8,100萬韓元（約4.09億美元）罰鍰。PIPC調查認定，酷澎因身分驗證簽章金鑰管理、存取控制等基本安全管理措施不足，導致約3,755萬人個資外洩。此外，酷澎在事件應變與後續處置過程中，也出現未履行外洩通知義務、未依規定銷毀資料、未充分確保個資保護長（CPO）職務獨立性，以及妨礙調查等多項問題，PIPC另對酷澎處以1,680萬韓元罰款。

近期資安日報

【6月11日】Exchange Online傳出可被用於欺騙的資安漏洞

【6月10日】Anthropic推出具有Mythos能力的Claude Fable 5

【6月9日】Check Point VPN零時差漏洞被用於勒索軟體攻擊