【資安日報】6月16日，上百名資安專家連署反對Claude Fable禁令

在美國政府下達禁止外國人使用Anthropic Claude Fable/Mythos模型的命令後，超過130名資安專家連署發表公開信，說明AI對資安的重要性，要求政府官員解除禁令。他們認為，Mythos等級的模型能幫助程式開發人員及安全團隊加速找到並修補漏洞，防守方必須利用這樣的工具，比敵人更快找到弱點並進行修補。再者，中國公開的開放權重模型實力只比美國頂尖模型落後幾個月，一旦美國政府奪走最優秀的AI能力，情況會變得非常危險。

中國駭客組織UNC6508鎖定美國醫療與國防研究機構竊取機密

Google威脅情報團隊（GTIG）揭露由新興中國駭客組織UNC6508發起的大規模網路間諜行動，鎖定北美學術、醫療與軍事研究社群的機構，在長達逾一年的潛伏期間，攻擊者入侵對外開放的網路應用程式、部署客製化惡意軟體、滲透進敏感內部系統，並濫用企業管理工具進行隱密的資料外洩。GTIG指出，攻擊者的情報蒐集目標範圍極廣，包括涉及國家安全的敏感國防情報、印太司令部作戰行動、人工智慧、無人載具系統、網路作戰計畫及醫學研究。

Google控告濫用Gemini的中國詐騙集團Outsider Enterprise

6月12日Google向紐約南區聯邦地方法院提告，指控中國網路犯罪集團Outsider Enterprise透過AI工具與釣魚工具包建立大規模詐騙基礎設施，並以詐騙簡訊竊取受害者帳號、密碼與信用卡資料。根據TechCrunch取得的訴狀內容，Outsider Enterprise開發並維護名為Outsider的釣魚工具套件，Google將其稱為「傻瓜版釣魚工具」（phishing-for-dummies），內建290種網站範本，供用戶快速建立冒充電信業者、金融機構、政府機關及零售商的假網站。

思科修補SD-WAN系統已遭利用的漏洞

6月15日思科發布資安公告，指出旗下的Catalyst SD-WAN Manager存在任意檔案寫入漏洞CVE-2026-20262，此漏洞存在於該系統的網頁使用者介面，通過身分驗證的攻擊者可遠端在檔案系統建立新的檔案，甚至能覆寫已經存在的任何檔案，CVSS風險評為6.5分，影響內部建置、雲端，以及政府機關專用版本。值得留意的是，思科已掌握漏洞遭到少量利用，再加上沒有其他緩解措施，呼籲用戶儘速套用新版軟體因應。

CISA將思科SD-WAN系統任意檔案寫入漏洞加入KEV

思科於6月15日揭露Catalyst SD-WAN Manager任意檔案寫入漏洞CVE-2026-20262，同一天美國網路安全與基礎設施安全局（CISA）表示，他們已掌握漏洞遭到積極利用的證據，將其加入已遭利用的漏洞列表（KEV），要求聯邦機構必須在6月29日前完成修補。同日CISA將另一個高風險漏洞CVE-2026-54420加入KEV，此為LiteSpeed提供的cPanel外掛程式弱點，問題與符號連結有關，CVSS風險為8.5分。

Palo Alto Networks警告VPN高風險漏洞遭積極利用

6月9日資安公司Palo Alto Networks提出警告，5月中旬公布的防火牆作業系統PAN-OS漏洞CVE-2026-0257在先前出現少量利用嘗試後，如今已遭攻擊者積極利用。該公司威脅情報團隊Unit 42觀測到身分尚未確認的駭客團體濫用該漏洞，以存取VPN系統GlobalProtect。目前僅有少數受害裝置建立了VPN連線，導致閘道連線（gateway-connected）事件，但並未出現其他後續存取行為，或是橫向移動的現象。

LiteSpeed修補cPanel外掛程式已遭利用的權限提升重大漏洞，若未更新可能導致攻擊者取得底層共享主機Root權限

美國網路安全與基礎設施安全局（CISA）於6月15日公告，將網站伺服器平臺LiteSpeed的cPanel外掛程式漏洞CVE-2026-54420，加入已遭利用的漏洞列表（KEV），此漏洞LiteSpeed於6月1日揭露與修補，問題源自LiteSpeed整合在cPanel/WHM管理平臺上的用戶端外掛程式（User-End Plugin），若攻擊者已取得底層共享主機的FTP或Web Shell存取權限，就可能利用此漏洞，獲得底層共享主機的Root權限，CVSS嚴重性評分達8.5分。

CISA將Ivanti Sentry滿分漏洞列為已知遭利用，Ivanti稱攻擊嘗試僅見於蜜罐環境

美國網路安全暨基礎設施安全局（CISA）於6月11日宣布，將影響Ivanti Sentry安全閘道設備的CVE-2026-10520，納入已知遭利用漏洞（KEV）清單。對此，Ivanti更新公告內容，強調若要利用CVE-2026-10520，需要存取管理介面的8443連接埠，若用戶依照Ivanti的建議，管理介面不應暴露於網際網路。然而，為了識別惡意行為是否存在，蜜罐環境經常採用不適當的配置。因此，Ivanti認為CISA所根據的狀況是發生在蜜罐陷阱，而非正式使用環境。

UpdraftPlus WordPress外掛程式修補重大身分驗證繞過漏洞，未更新可能導致攻擊者取得管理員權限

資安業者Wordfence於6月10日揭露，安裝數量超過300萬臺系統的WordPress網站備份外掛程式UpdraftPlus，存在繞過身分驗證漏洞CVE-2026-10795，CVSS嚴重性評分達8.1分，可能導致未經驗證的攻擊者以管理員身分控制網站，UpdraftPlus已於1.26.5版完成修補。漏洞則是源自外掛程式與UpdraftCentral控制臺之間的通訊機制驗證不足，導致攻擊者可以繞過驗證，冒充UpdraftCentral管理員身分執行遠端程序呼叫（RPC）指令，並完全控制網站。

phpBB修補重大身分驗證繞過漏洞，攻擊者可冒充任意論壇用戶

開源論壇軟體phpBB近日發布更新，修補重大身分驗證繞過漏洞，攻擊者可利用這個漏洞登入包括管理者在內的任意帳號，受影響版本涵蓋3.3.16以前的所有3.x版本，以及4.0.0-a2以前的4.x測試版本，其中3.x版已於3.3.17版修補完成，但4.x版尚未修補。通報漏洞的資安公司Aikido指出，該漏洞已存在逾10年，攻擊者僅需發送特製HTTP請求，便能觸發漏洞，進而登入任意帳號，然後利用管理員帳號取得完整的論壇讀取、寫入和刪除權限。

伊朗駭客Handala傳出入侵加州水務公司，洩露GPS基礎設施憑證、客戶個資

威脅情報公司Dataminr於6月11日發現，伊朗駭客組織Handala聲稱成功入侵加州水務公司California Water Service（Cal Water）。由於Cal Water是美國投資人持有的大型水利設施，業務橫跨加州約100個社區、服務約兩百萬名用戶，因此這起事故引起研究人員的注意。根據駭客公布的資料，Cal Water至少有兩個系統遭到入侵，其中一個是帳號資料庫，內含多個服務區的客戶個資；另一個是RTKBase NTRIP網路，用於工程團隊進行精密的GPS作業。

瘋世足除了防範假門票，也要防範假FIFA與贊助商徵才的網釣活動

2026年世界盃足球賽（FIFA World Cup）開打，針對賽事的網路釣魚威脅也隨之升溫。資安業者Fortinet近期也發布最新調查報告，警示全球民眾與企業需嚴加防範網路假冒。攻擊者不僅利用售票服務、賽事直播及球賽博弈等熱門關鍵字作為誘餌，企圖誘騙民眾上鉤，由於世界盃賽事規模龐大，帶動海量人力需求，包括臨時工、承包商、飯店服務人員、後勤物資人員、媒體支援，以及設置在賽事特定崗位的人員，攻擊者也藉此開闢了新的攻擊路徑。

NightSpire勒索軟體濫用合法管理工具發動攻擊，已入侵包括臺灣在內33個國家

勒索軟體NightSpire自2025年初被發現以來，短短幾個月內就入侵包括臺灣在內的33個國家，已有至少64家組織與企業受害，涵蓋醫療、政府、金融、製造與IT服務等行業。資安業者Picus近日分析這款勒索軟體的攻擊手法，指出NightSpire的特色是結合多種合法工具，使惡意行為能融入正常系統活動中，從而達到迴避偵測與竊取資料的目的。NightSpire不僅會加密受害者本機上的檔案，同時還會威脅公開事先竊取的敏感資料，增加受害者支付贖金的壓力。

152個Chrome動態桌布擴充套件暗藏用戶行為追蹤功能，累計安裝量逾10萬次

資安業者Socket近日揭露暗藏追蹤功能的Chrome擴充套件家族，這些套件雖然聲明不會收集用戶資料，實際上卻在後臺收集用戶瀏覽行為，並將這些資訊提供給第三方廣告業者。這些套件表面上聲稱提供動態桌布（Live Wallpaper）擴充功能，並在網站商店頁面表示不會收集用戶資料，但是在廠商的隱私政策連結中，卻承認會記錄IP位址、ISP、點擊次數與引薦來源（referrer data），並將這些資料提供給廣告合作夥伴。其中部分擴充套件還會操縱Google搜尋流量，影響廣告點擊追蹤的統計結果。

網路釣魚即服務平臺SniperDz遭瓦解，主要開發者與管理員在阿爾及利亞落網

威脅情報業者Group-IB於6月11日揭露，他們協助國際刑警組織（INTERPOL）與阿爾及利亞警方，瓦解運作近10年的網路釣魚即服務（PhaaS）平臺SniperDz。這起行動是國際刑警組織主導的Operation Ramz的一部分，該行動於2025年10月至2026年2月28日在中東與北非地區13國展開，總計逮捕201名嫌犯，而使用Guedz名號的SniperDz主要開發者與管理員也在阿爾及利亞落網。SniperDz平臺降低犯罪者發動網路釣魚活動的門檻，Group-IB在9年間也辨識出超過2萬個與其生態系有關的獨立網域。

ENISA歐盟網路演習邁入第八屆，2026聚焦鐵路與海運領域

歐盟網路安全局（ENISA）於6月10日至11日展開兩年一度的大型網路安全演習「Cyber Europe 2026」。此次演習為第八屆，核心目標為實測歐洲各國面對大規模跨境網路攻擊的集體應變能力、協作機制，以及關鍵基礎設施的復原韌性，演習重點轉向「鐵路」與「海運」兩大交通運輸領域，原因是交通部門已連續兩年位居網路攻擊目標前五名，而且鐵路與海運子部門均屬於利害關係人眾多的複雜生態系，且數位化程度日益提升。

MITRE ATT&CK第19版刪除防禦規避戰略，拆分為隱匿與防禦削弱

資安界廣泛採用的攻擊手法框架MITRE ATT&CK，如今已更新至第19版（目前最新為19.1版）。本次新版調整有一項重大變化，是將Enterprise ATT&CK中的防禦規避（Defense Evasion）的戰術，進一步拆分成隱匿（Stealth）與防禦削弱（Defense Impairment）。因此，更新的Enterprise ATT&CK，將從原有14個戰術（Tactics）擴展為15個。關於拆分的原因，MITRE指出，主要是隱匿與破壞其實是完全不同的行為。

Arm開源AI資安框架Metis，鎖定傳統SAST工具難以發現的漏洞

晶片架構設計與矽智財授權業者Arm推出開源代理式AI資安框架Metis，可協助開發與資安團隊提升大型程式碼庫安全性，對於靜態應用程式安全測試（SAST）較難偵測的複雜漏洞，能夠更快找到。Metis採用檢索增強生成（RAG）架構，結合大型語言模型（LLM）與專案特定知識，依據原始碼、建置檔與文件等資訊建立知識庫，用於分析整個儲存庫、單一檔案、拉取請求（pull request）或近期程式碼變更。

從ATM到自駕車，ISACA點出為何數位信任企業治理熱門焦點

數位信任（Digital Trust）已不再僅是資安防護的附屬品，而是企業維繫營運與品牌價值的核心資產。在2026臺灣資安大會中，ISACA臺灣分會副會長陳政龍特別強調，數位信任的熱度之所以持續攀升，是因為它直接關乎提供者與消費者在數位生態系統中的互動品質。在AI與數位化浪潮的驅動下，建立數位信任才是真正的競爭力所在，ISACA近年提出「數位信任生態系框架」（Digital Trust Ecosystem Framework，DTEF），即是聚焦數位信任而來。

資安不再是IT部門的事，供應鏈韌性與AI治理成企業存續的核心命題

資安已成企業核心議題，不再只是IT防護。資誠智能風險管理諮詢公司董事長張晉瑞近日指出，歐盟《網路韌性法》要求24小時通報漏洞，臺灣企業需具備SBOM/HBOM能力，否則失去進入市場的條件。另一方面，九成員工早已自行使用AI，企業必須重視新型態AI治理與邊界風險，像是影子AI、間接提示語注入與供應鏈投毒，以及握有高特權的代理式AI所帶來的風險。

近期資安日報

【6月15日】美國政府禁止外國人士使用Claude Fable

【6月12日】Oracle PeopleSoft零時差漏洞被用於大規模攻擊

【6月11日】Exchange Online傳出可被用於欺騙的資安漏洞