防禦建議 — 2026 第 10 週

涵蓋期間:2026-03-02 至 2026-03-08 資料來源:國際 CERT/安全機構、NVD、EPSS、Exploit-DB、VulnCheck KEV、CISA KEV 產出時間:2026-03-07

執行摘要

本週威脅態勢受中東地緣政治衝突驅動的網路攻擊顯著影響,同時 CISA 新增 7 個已知遭利用漏洞至 KEV 目錄,多個零日漏洞正被國家級 APT 積極利用,NPM 供應鏈遭大規模感染影響 26 億週下載量:

  1. CVE-2026-21513 MSHTML 零日(APT28 活躍利用) – 俄羅斯 APT28 (Fancy Bear) 利用 Windows MSHTML 安全功能繞過漏洞 (CVSS 8.8),已有修補(2026-02 Patch Tuesday)
  2. Cisco Catalyst SD-WAN 關鍵零日(全球活躍利用) – SK-CERT 發布兩次緊急警告(2026-03-04、2026-03-07),確認關鍵零日漏洞正被全球積極利用,CVE 編號待確認
  3. CVE-2026-22719 VMware Aria Operations(新增 KEV) – 未經認證的命令注入漏洞,可實現 RCE,修補截止日 2026-03-24
  4. CVE-2026-29000 pac4j JWT 認證繞過(CVSS 10.0) – 攻擊者可冒充任何使用者包括管理員,修補已可用
  5. CVE-2026-21385 Qualcomm 晶片組(新增 KEV) – 整數溢位導致記憶體損毀,影響大量 Android 裝置,修補截止日 2026-03-24
  6. CISA 2026-03-05 新增 5 個 KEV – CVE-2017-7921 (Hikvision)、CVE-2021-22681 (Rockwell ICS)、CVE-2021-30952/CVE-2023-41974/CVE-2023-43000 (Apple)
  7. NPM 大規模供應鏈感染 – 18 個套件遭入侵,涉及每週超過 26 億次下載量
  8. Seedworm (MuddyWater) 入侵美國關鍵基礎設施 – 部署新後門 Dindoor,攻擊銀行、機場、軟體公司
  9. 惡意 AI 助手擴充功能竊取 LLM 對話 – 90 萬安裝量、2 萬+企業租戶受影響

本週關鍵行動

  • 立即:套用 2026 年 2 月 Patch Tuesday 更新(修補 CVE-2026-21513 MSHTML 零日)
  • 立即:盤點 Cisco Catalyst SD-WAN 部署並監控 Cisco PSIRT 公告
  • 緊急(修補截止 2026-03-24):套用 VMware Aria Operations 修補或停用產品
  • 緊急(修補截止 2026-03-24):推送 Android 2026 年 3 月安全更新
  • 緊急:升級 pac4j-jwt 至修補版本(CVE-2026-29000,CVSS 10.0)
  • 立即:限制 CrushFTP 對外暴露並套用所有可用修補
  • 立即:審計瀏覽器擴充功能,移除未知 AI 助手擴充
  • 立即:審計 NPM 專案相依性,檢查是否使用受感染套件
  • 優先:更新所有 Apple 裝置(iOS、iPadOS、macOS、Safari、tvOS、watchOS)
  • 優先:針對伊朗相關威脅加強 IP 攝影機、IoT 裝置及 SD-WAN 安全監控

1. 優先修補清單

依照優先級排序:活躍利用(國家級 APT)> 活躍利用(一般)> CISA KEV 新增 > CVSS 高分

P0 - 最高優先(國家級 APT 活躍利用的零日漏洞)

1.1 CVE-2026-21513 – Microsoft MSHTML 安全功能繞過

項目 內容
CVE CVE-2026-21513
CVSS 8.8 (High)
CWE CWE-693(保護機制失效)
影響產品 所有 Windows 版本(含 MSHTML Framework)
利用者 APT28 / Fancy Bear(俄羅斯國家支持)
利用狀態 已確認野外活躍利用
修補狀態 已修補(2026 年 2 月 Patch Tuesday)
CISA KEV 新增日期 2026-02-10
CISA 修補截止日 2026-03-03(已過期)

漏洞描述:Windows MSHTML Framework 存在保護機制失效漏洞,允許未經授權的攻擊者透過網路繞過安全功能。MSHTML 是 Windows 的核心元件,用於 Internet Explorer 遺留功能、Office 文件渲染及 HTML Help 系統。APT28 已確認利用此漏洞進行野外攻擊。Akamai 使用 PatchDiff-AI 工具完成了漏洞根因分析,並提供了入侵指標 (IOC) 供防禦使用。

修補方式

  1. 立即套用 Microsoft 2026 年 2 月 Patch Tuesday 安全更新
  2. 審查 Akamai 發布的 IOC 並在 SIEM/EDR 中建立偵測規則
  3. 加強對 MSHTML 相關攻擊的偵測:監控 Office 文件開啟異常行為、HTML 檔案執行異常、Internet Explorer 元件呼叫
  4. 參閱 NVD - CVE-2026-21513

注意:此漏洞 CISA 修補截止日(2026-03-03)已過期。若尚未修補,應視為最高優先級立即處理。

1.2 Cisco Catalyst SD-WAN 關鍵零日

項目 內容
CVE 待確認(SK-CERT 未提供具體 CVE 編號)
嚴重程度 Critical
影響產品 Cisco Catalyst SD-WAN
利用狀態 已確認全球活躍利用
修補狀態 請監控 Cisco PSIRT 公告

漏洞描述:斯洛伐克國家網路安全中心 (SK-CERT) 於 2026-03-04 及 2026-03-07 兩度發布緊急警告,確認 Cisco Catalyst SD-WAN 產品存在關鍵零日漏洞,正被全球積極利用以入侵系統。此警告依據斯洛伐克網路安全法 (Act No. 69/2018 Z.z.) 第 27 條發布。SK-CERT 在三天內發布兩次警告的頻率反映威脅持續加劇。

修補方式

  1. 立即盤點所有 Cisco Catalyst SD-WAN 部署
  2. 持續監控 Cisco PSIRT 官方公告取得 CVE 編號和修補
  3. 實施網路層控制,限制 SD-WAN 管理介面暴露面
  4. 審查 SD-WAN 設備日誌,搜尋入侵跡象
  5. 參閱 SK-CERT 原始警告
  6. 參閱上週 CISA 緊急指令 ED 26-03 的 獵捕與強化指南,持續適用

背景:CERT-FR 亦於 2026-02-25 發布 Cisco Catalyst SD-WAN 多漏洞公告。加拿大 CCCS 聯合指南(2026-02-25)亦針對 SD-WAN 網路的惡意威脅發布防禦指引。本週的零日確認是 SD-WAN 威脅態勢的進一步升級。Qdrant 語意查詢確認 Cisco SD-WAN 相關漏洞(含 CVE-2026-20127、CVE-2022-20775)在過去數週持續被關注。

P1 - 極緊急(CISA KEV 新增、活躍利用中)

1.3 CVE-2026-22719 – Broadcom VMware Aria Operations 命令注入

項目 內容
CVE CVE-2026-22719
嚴重程度 Critical
CWE CWE-77(命令注入)
影響產品 VMware Aria Operations(vRealize Operations / vROps)
利用狀態 活躍利用(CISA KEV)
CISA KEV 新增日期 2026-03-03
修補截止日(聯邦機構) 2026-03-24

漏洞描述:Broadcom VMware Aria Operations(前身 vRealize Operations)存在命令注入漏洞。未經身份驗證的遠端攻擊者可利用此漏洞在支援輔助產品遷移期間執行任意命令,可能導致遠端程式碼執行 (RCE)。由於不需要有效憑證即可觸發,利用門檻極低。

修補方式

  1. Broadcom Security Advisory #36947 套用緩解措施或更新至修補版本
  2. 參閱 Broadcom Knowledge Article #430349
  3. 若無法立即修補,限制 VMware Aria Operations 管理介面的網路存取,僅允許受信任的管理網段連線
  4. 若無法套用緩解措施,依 CISA 建議停止使用受影響的產品
  5. 監控系統日誌,識別非預期的命令執行活動
  6. 參閱 NVD - CVE-2026-22719

1.4 CVE-2026-29000 – pac4j JWT 完全認證繞過

項目 內容
CVE CVE-2026-29000
CVSS 10.0 (Critical)
影響產品 Java pac4j-jwt JwtAuthenticator
利用狀態 PoC 已公開,活躍掃描中
修補狀態 修補可用

漏洞描述:Java pac4j-jwt 安全框架的 JwtAuthenticator 在處理加密 JSON Web Tokens (JWT) 時存在嚴重缺陷。遠端攻擊者只需擁有 RSA 金鑰對,即可偽造惡意 JWT 繞過所有認證檢查,以任何使用者身分(包括管理員)完全存取應用程式。此漏洞無需任何既有憑證即可利用,CVSS 評分為滿分 10.0。

修補方式

  1. 立即升級 pac4j-jwt 至最新修補版本
  2. 審查應用程式是否使用 pac4j-jwt JwtAuthenticator 進行認證
  3. 監控認證日誌中的異常 JWT 認證嘗試
  4. 參閱 CERT.hr 安全公告
  5. 參閱 NVD - CVE-2026-29000

1.5 CVE-2026-21385 – Qualcomm 多晶片組記憶體損毀

項目 內容
CVE CVE-2026-21385
嚴重程度 High
CWE CWE-190(整數溢位導致緩衝區溢位)
影響產品 搭載 Qualcomm 晶片組的 Android 裝置
利用狀態 活躍利用(CISA KEV)
CISA KEV 新增日期 2026-03-03
修補截止日(聯邦機構) 2026-03-24

漏洞描述:多款 Qualcomm 晶片組在記憶體配置的對齊處理時存在整數溢位漏洞,可導致記憶體越界存取,進而可能執行任意程式碼或導致系統崩潰。影響範圍廣泛,涵蓋多款 Android 裝置。

修補方式

  1. 立即套用 Android 2026 年 3 月安全公告(2026-03-01 安全修補等級或更新)
  2. 透過 MDM(行動裝置管理)解決方案強制推送安全更新至所有受管理的 Android 裝置
  3. 聯絡裝置製造商取得受影響 Qualcomm 晶片組的韌體更新
  4. 若無法取得修補,依 BOD 22-01 指引評估停止使用或限制企業資源存取
  5. 強化對行動裝置的安全監控,偵測異常行為或特權提升嘗試
  6. 參閱 NVD - CVE-2026-21385

1.6 CISA 2026-03-05 新增 5 個 KEV

本週 CISA 於 2026-03-05 新增 5 個已知遭積極利用漏洞至 KEV 目錄,以下逐一列出修補指引:

CVE-2017-7921 – Hikvision 多產品不當認證
項目 內容
CVE CVE-2017-7921
嚴重程度 High
影響產品 Hikvision 多款 IP 攝影機及監控產品
利用狀態 活躍利用(CISA KEV)
背景 2017 年披露的老舊漏洞,本週與伊朗攻擊者利用 IP 攝影機進行戰損評估 (BDA) 的威脅態勢高度相關

修補方式

  1. 更新 Hikvision 產品韌體至最新版本
  2. 更改所有預設密碼,啟用強密碼政策
  3. 將 IP 攝影機移至獨立 VLAN,限制出站網路連線
  4. 參閱 CISA KEV 目錄

關鍵關聯:本週 Check Point Research 和 WIRED 報導確認伊朗國家駭客劫持消費級攝影機用於戰損評估,數百起攻擊企圖與飛彈和無人機攻擊時間高度吻合。Hikvision 漏洞被加入 KEV 可能與此態勢直接相關。

CVE-2021-22681 – Rockwell 多產品憑證保護不足
項目 內容
CVE CVE-2021-22681
嚴重程度 Critical
影響產品 Rockwell Studio 5000 Logix Designer、Logix 控制器
利用狀態 活躍利用(CISA KEV)
環境 ICS/OT

漏洞描述:Studio 5000 Logix Designer 軟體可能允許攻擊者發現用於驗證 Logix 控制器與設計軟體通訊的金鑰。成功利用後,未授權應用程式可連接 Logix 控制器,攻擊者需具備控制器的網路存取權限。此漏洞對工業控制系統 (ICS) 環境構成重大威脅。

修補方式

  1. Rockwell 安全公告 套用緩解措施
  2. 參閱 CISA ICS Advisory ICSA-21-056-03
  3. ICS 環境必須先在測試環境驗證後再部署至生產環境
  4. 實施嚴格網路分段,限制對 Logix 控制器的網路存取
  5. 使用 CIP 安全功能強化控制器通訊認證

Qdrant 跨層關聯:語意查詢「ICS OT industrial control system vulnerability Rockwell Hitachi」回傳 10 筆高度相關結果(相似度 0.64-0.70),確認 Rockwell 產品在 2026 年 1-3 月持續有多個漏洞公告(CompactLogix 5370、ArmorStart LT、ControlLogix Redundancy Module、FactoryTalk DataMosaix),反映 ICS/OT 環境面臨的持續性風險。

CVE-2021-30952 – Apple 多產品整數溢位
項目 內容
CVE CVE-2021-30952
嚴重程度 High
影響產品 Apple tvOS、macOS、Safari、iPadOS、watchOS
利用狀態 活躍利用(CISA KEV)

漏洞描述:處理惡意網頁內容時可觸發整數溢位,導致任意程式碼執行。

修補方式

  1. 更新至 tvOS 15.2macOS Monterey 12.1Safari 15.2iPadOS 15.2 或更新版本
  2. 確保所有 Apple 裝置啟用自動更新
CVE-2023-41974 – Apple iOS/iPadOS Use-After-Free
項目 內容
CVE CVE-2023-41974
嚴重程度 High
影響產品 Apple iOS、iPadOS
利用狀態 活躍利用(CISA KEV)

漏洞描述:惡意應用程式可利用此 Use-After-Free 漏洞以核心 (kernel) 權限執行任意程式碼,取得最高系統權限。

修補方式

  1. 更新至 iOS/iPadOS 16.7 或更新版本
  2. 避免安裝來源不明的應用程式
  3. 透過 MDM 強制推送更新至企業管理裝置
CVE-2023-43000 – Apple 多產品 Use-After-Free
項目 內容
CVE CVE-2023-43000
嚴重程度 High
影響產品 Apple macOS、iOS、iPadOS、Safari
利用狀態 活躍利用(CISA KEV)

漏洞描述:處理惡意網頁內容時可觸發 Use-After-Free 漏洞,導致記憶體損壞。此類漏洞常被用於瀏覽器攻擊鏈。

修補方式

  1. 更新至 macOS Ventura 13.5iOS/iPadOS 16.6Safari 16.6 或更新版本
  2. 確保所有 Apple 裝置啟用自動更新

Apple 裝置統一行動建議:本週 CISA 新增 3 個 Apple 漏洞至 KEV(CVE-2021-30952、CVE-2023-41974、CVE-2023-43000),均已有修補可用。建議統一盤點組織內所有 Apple 裝置(iPhone、iPad、Mac、Apple TV、Apple Watch),確保全部更新至最新系統版本。透過 MDM 強制推送更新為最有效的方式。

P2 - 緊急(活躍掃描/利用、高 CVSS)

1.7 CrushFTP 多漏洞 – 暴力破解掃描加劇

項目 內容
CVE CVE-2024-4040、CVE-2025-31161、CVE-2025-54309
嚴重程度 Critical(多個 CVE)
影響產品 CrushFTP(所有平台)
利用狀態 活躍暴力破解掃描 + 歷史 CVE 持續被利用

漏洞描述:SANS ISC 報告針對 CrushFTP 的主動暴力破解掃描活動正在加劇,關聯三個嚴重歷史漏洞:

  • CVE-2024-4040:範本注入漏洞,未認證攻擊者可脫離 VFS 沙箱並實現 RCE
  • CVE-2025-31161:認證繞過漏洞,攻擊者可無憑證取得 crushadmin 帳號
  • CVE-2025-54309:2025 年 7 月披露的零日漏洞

修補方式

  1. 立即套用 CrushFTP 所有可用修補
  2. 審查 CrushFTP 實例暴露面,限制對外存取
  3. 監控暴力破解活動和認證異常
  4. 考慮在周界防火牆封鎖已知掃描來源 IP
  5. 參閱 SANS ISC Diary #32762

1.8 CVE-2026-0628 – Chrome Gemini 面板劫持

項目 內容
CVE CVE-2026-0628
嚴重程度 High
影響產品 Google Chrome(含 Gemini AI 功能)
利用狀態 概念驗證已公開

漏洞描述:Palo Alto Unit 42 揭露 Chrome Gemini AI 功能中的高嚴重性漏洞,惡意瀏覽器擴充功能可劫持 Gemini Live 面板,存取使用者本機檔案系統。

修補方式

  1. 更新 Chrome 至最新版本
  2. 審計已安裝的瀏覽器擴充功能,移除不明來源的擴充
  3. 考慮在企業環境中透過群組原則限制 Chrome 擴充功能安裝
  4. 參閱 Unit 42 研究報告

1.9 Cisco Secure Firewall Management Center – 雙關鍵漏洞

項目 內容
CVE CVE-2026-20079、CVE-2026-20131
CVSS 10.0 (Critical)(兩者)
影響產品 Cisco Secure Firewall Management Center (FMC)
利用狀態 無已知野外利用

修補方式

  1. 參閱 Cisco PSIRT 官方安全公告並套用修補
  2. 限制 Firewall Management Center 管理介面暴露
  3. 參閱 CERT-RO 警報 及 CERT-SE 公告

1.10 CVE-2026-3094 – Delta Electronics CNCSoft-G2 RCE

項目 內容
CVE CVE-2026-3094
CVSS 7.8 (High)
影響產品 Delta Electronics CNCSoft-G2 DOPSoft(V2.1.0.39 之前版本)
利用狀態 無已知野外利用

漏洞描述:CISA 發布 ICS 安全公告 (ICSA-26-064-01),Delta Electronics CNCSoft-G2 的 DOPSoft 元件在解析 DPAX 檔案時存在越界寫入漏洞,可導致遠端程式碼執行。影響全球關鍵製造基礎設施。

修補方式

  1. 更新至 CNCSoft-G2 V2.1.0.39 或更新版本
  2. 限制對 HMI 系統的網路存取
  3. 不開啟來路不明的 DPAX 檔案
  4. 參閱 CISA ICS Advisory ICSA-26-064-01

P3 - 重要(ICS/OT 漏洞群、架構性問題)

1.11 ICS/OT 漏洞群 – Hitachi Energy、Mitsubishi Electric 等

本週 CISA 發布多項 ICS 安全公告,涉及能源和關鍵製造基礎設施:

公告編號 產品 CVE 數量 最高 CVSS 修補建議
ICSA-26-062-02 Hitachi Energy Relion/REB500 2 (CVE-2026-2459, CVE-2026-2460) 6.8 CISA 公告
ICSA-26-062-03 Hitachi Energy RTU500 4 (CVE-2024-8176, CVE-2025-59375, CVE-2026-1772, CVE-2026-1773) 7.5 CISA 公告
Mitsubishi Electric MELSEC iQ-F EtherNet/IP 參閱 CISA 公告
Labkotec LID-3300IP 參閱 CISA 公告
Portwell Engineering Toolkits 參閱 CISA 公告
ePower / ePowerIE 參閱 CISA 公告
Mobiliti / MobiHU 參閱 CISA 公告
Everon OCPP Backends 參閱 CISA 公告

OT/ICS 環境修補建議

  1. 在測試環境驗證修補後再部署至生產環境
  2. 實施網路分段,將 ICS/OT 系統與 IT 網路隔離
  3. 限制管理介面存取,使用跳板機 (Jump Host) 管理
  4. 監控異常流量和指令行為

1.12 Google API 金鑰安全模型變更(架構性問題)

項目 內容
影響範圍 Google Maps、Firebase 等使用 Google API 金鑰的應用程式
嚴重程度 High
利用狀態 約 3,000 個公開曝露金鑰可認證至 Gemini

漏洞描述:TruffleHunter 研究人員發現,Google 長期以來告訴開發者 API 金鑰「非密碼,可安全公開」,但 Gemini 現在接受相同金鑰存取私人資料。攻擊者可利用公開曝露的金鑰存取使用者上傳的檔案、快取資料,並將 LLM 使用費計入受害者帳戶。

修補方式

  1. 立即審計所有對外暴露的 Google API 金鑰
  2. 對可存取 Gemini 的金鑰加入 API 限制(限定僅允許必要的 API 服務)
  3. 輪換所有可能曝露的金鑰
  4. 審查 Google Cloud Console 的 API 金鑰使用記錄
  5. 參閱 TruffleHunter 研究報告

2. 安全控制建議

基於本週威脅態勢,以下安全控制建議按層面分類,並標註「通用建議」與「針對本週威脅」。

2.1 網路層面

針對本週威脅

控制措施 對應威脅 優先級
限制 SD-WAN 管理介面暴露 – 將 Cisco Catalyst SD-WAN 管理介面移至隔離管理網段,僅允許跳板機存取 Cisco SD-WAN 零日 極緊急
封鎖 CrushFTP 對外存取 – 將 CrushFTP 服務移至 VPN 後方或限制來源 IP CrushFTP 暴力破解掃描 緊急
監控 IP 攝影機流量 – 對所有 IP 攝影機的異常入站/出站連線建立警報規則,特別注意來自中東地區的異常存取 伊朗 IP 攝影機攻擊 + CVE-2017-7921 (Hikvision KEV)
強化 VMware 管理網路隔離 – 限制 VMware Aria Operations 管理介面至受信任管理網段 CVE-2026-22719 緊急
限制 Cisco FMC 管理存取 – 確保 Firewall Management Center 管理介面不暴露於不受信任的網路 CVE-2026-20079/CVE-2026-20131 (CVSS 10.0)
部署 DDoS 緩解措施 – 針對面向中東/以色列業務的組織,確認 DDoS 緩解服務已啟用並正確配置 駭客主義 DDoS(149+ 攻擊)
ICS/OT 網路分段強化 – 確認 Rockwell Logix 控制器、Hitachi Energy RTU 等 ICS 設備位於隔離的 OT 網段 CVE-2021-22681 (Rockwell KEV)、Hitachi Energy 漏洞

通用建議

  • 持續執行網路分段,確保 IT、OT、IoT 各自在獨立的網路區域
  • 對所有管理介面強制使用加密連線 (TLS 1.2+)
  • 定期審查防火牆規則,移除不必要的對外服務暴露
  • 對 DNS 查詢啟用威脅情報過濾,注意 .arpa TLD 的異常 A 記錄(本週新發現的濫用手法,來源:Infoblox)
  • 監控邊緣裝置和安全設備的管理介面存取(Google 2025 零日回顧指出國家級 APT 優先攻擊邊緣裝置)

2.2 端點層面

針對本週威脅

控制措施 對應威脅 優先級
瀏覽器擴充功能審計 – 立即盤點所有 Chromium 瀏覽器(Chrome、Edge)安裝的擴充功能,移除未經企業核准的 AI 助手擴充功能 惡意 AI 助手擴充功能竊取 LLM 對話(90 萬安裝量) 極緊急
強制 Windows 安全更新 – 透過 WSUS/SCCM/Intune 強制部署 2026 年 2 月 Patch Tuesday 更新 CVE-2026-21513 MSHTML(APT28) 極緊急
Apple 裝置全面更新 – 透過 MDM 推送最新 iOS、iPadOS、macOS、Safari、tvOS、watchOS 更新 CVE-2021-30952、CVE-2023-41974、CVE-2023-43000(3 個 KEV) 緊急
Android 裝置安全更新 – 透過 MDM 強制推送 2026 年 3 月 Android 安全更新 CVE-2026-21385 Qualcomm 晶片組 緊急
監控 EV 簽署的可執行檔 – 在 EDR 中新增規則,對「TrustConnect Software PTY LTD」和「Amy Cherne」簽發的憑證觸發警報 簽署惡意軟體攻擊
限制 Deno 執行環境 – 在應用程式白名單/控制政策中封鎖未授權的 Deno runtime 執行 Seedworm Dindoor 後門
偵測 RMM 工具濫用 – 監控非預期的 ConnectWise、GoToResolve、N-able 等 RMM 工具安裝 簽署惡意軟體 + RMM 後門
封鎖 Hikvision 攝影機預設憑證存取 – 強制更改所有 Hikvision 裝置預設密碼 CVE-2017-7921 (Hikvision KEV)

通用建議

  • 維持 EDR/XDR 簽章和行為偵測規則更新
  • 限制使用者對軟體安裝的權限(最低權限原則)
  • 啟用 AMSI (Antimalware Scan Interface) 監控腳本執行
  • 限制 Office 巨集執行,僅允許數位簽署的巨集
  • 監控 PowerShell、cmd、wscript 等腳本引擎的異常行為

2.3 身分認證層面

針對本週威脅

控制措施 對應威脅 優先級
消除 MFA 覆蓋缺口 – 審查所有 Windows 登入路徑,確保 Active Directory 認證路徑也受 MFA 保護,特別是 RDP、本機控制台登入 MFA 覆蓋缺口分析
強化 CrushFTP 認證 – 啟用帳戶鎖定政策、IP 限制、MFA(若支援) CrushFTP 暴力破解 緊急
輪換 Google API 金鑰 – 審計並輪換所有可能公開曝露的 Google API 金鑰,對每個金鑰設定 API 範圍限制 Google API 金鑰安全模型崩壞
審查 JWT 認證實作 – 檢查應用程式是否使用 pac4j-jwt,若是則立即升級 CVE-2026-29000 (CVSS 10.0) 極緊急
Rockwell ICS 認證強化 – 審查 Studio 5000 Logix Designer 的金鑰管理和控制器認證機制 CVE-2021-22681 (Rockwell KEV)
審查數位憑證 – 確認憑證撤銷清單 (CRL) 和 OCSP 正常運作,監控已知被濫用的憑證 EV 憑證濫用趨勢

通用建議

  • 對所有特權帳號和面向外部的服務強制啟用 MFA(抗釣魚型 MFA 優先,如 FIDO2)
  • 定期審查服務帳號和 API 金鑰的使用情況
  • 實施密碼政策強化(長度 > 複雜度,參考 NIST SP 800-63B)
  • 監控異常登入行為(異常地理位置、非工作時間、多次失敗嘗試)

2.4 資料保護層面

針對本週威脅

控制措施 對應威脅 優先級
限制 LLM/AI 工具的敏感資料輸入 – 制定並推行 AI 工具使用政策,禁止在 ChatGPT、DeepSeek 等工具中輸入機密程式碼、內部工作流程、策略文件 惡意 AI 助手擴充功能 極緊急
監控資料外洩管道 – 強化 DLP 規則,監控 Slack、Discord、Supabase、Google Sheets 等非傳統 C2 管道的異常資料傳輸 APT36 使用合法雲端服務作 C2
NPM 供應鏈安全審計 – 使用 npm audit 和相依性掃描工具檢查專案是否引用受感染的 18 個套件 NPM 大規模感染(26 億/週下載) 緊急

通用建議

  • 實施資料分類分級制度,對高敏感度資料加密儲存和傳輸
  • 定期備份關鍵資料,並驗證備份還原程序
  • 對檔案傳輸系統(如 CrushFTP)啟用傳輸加密和存取日誌
  • 監控大量資料外傳活動

2.5 軟體供應鏈層面

針對本週威脅

控制措施 對應威脅 優先級
NPM 套件完整性檢查 – 鎖定相依性版本(package-lock.json / yarn.lock),啟用 npm audit 自動掃描,比對受感染套件清單 NPM 大規模感染 緊急
GitHub 專案來源驗證 – 對所有開源工具安裝驗證來源真實性,避免偽造的 GitHub 存儲庫 OpenClaw GitHub 偽造安裝器
開發者工具安裝來源控管 – 僅從官方網站下載安裝工具,不信任搜尋引擎廣告中的安裝連結 InstallFix 惡意廣告攻擊
瀏覽器擴充功能 SBOM – 建立企業核准的擴充功能清單,定期審查已安裝的擴充功能版本 QuickLens Chrome 擴充功能植入惡意程式

通用建議

  • 對所有軟體安裝來源進行驗證,避免從非官方管道下載
  • 定期審查 npm/pip/Maven 等套件管理器的相依性安全性
  • 建立軟體供應鏈安全審查流程(參考 NIST SSDF 和六國聯合 AI/ML 供應鏈安全指導文件)
  • 使用 SCA(Software Composition Analysis)工具持續監控開源元件漏洞

3. 緩解策略

針對尚無修補或需要額外緩解措施的威脅:

3.1 Cisco Catalyst SD-WAN 零日(無確認修補)

問題:SK-CERT 確認零日漏洞正被全球利用,兩次緊急警告(2026-03-04、2026-03-07)反映威脅加劇,但尚未公布具體 CVE 和官方修補。

暫時緩解措施

  1. 將 SD-WAN 管理介面(含 vManage/vSmart 面板)移至隔離管理網段
  2. 封鎖所有非必要的管理存取,僅允許經 VPN 的跳板機連線
  3. 啟用 SD-WAN 設備的增強日誌記錄,將日誌集中至 SIEM
  4. 監控 NETCONF 介面異常活動(參考 CISA ED 26-03 獵捕指南)
  5. 評估是否可暫時切換至傳統路由(若業務允許)
  6. 安排 24/7 監控,至少每 8 小時巡檢一次日誌

有效期限:直到 Cisco 發布官方修補並完成部署。建議每日監控 Cisco PSIRT 公告更新。

重新評估時間:2026-03-14(一週後)或 Cisco 發布官方公告時(以先到者為準)

3.2 惡意 AI 助手瀏覽器擴充功能(持續性威脅)

問題:惡意擴充功能已影響 90 萬安裝量和 2 萬+企業租戶,且 AI 工具整合持續擴大攻擊面。結合 CVE-2026-0628(Chrome Gemini 面板劫持漏洞),瀏覽器 AI 整合正快速成為新的攻擊面。

暫時緩解措施

  1. 在企業環境中透過 Chrome Enterprise 或 Edge Group Policy 建立擴充功能白名單
  2. 封鎖未在白名單中的擴充功能安裝
  3. 對已安裝的擴充功能執行安全審計,比對 Microsoft Defender 報告中的 IOC
  4. 教育使用者不在 AI 工具中輸入敏感資訊
  5. 考慮部署瀏覽器隔離解決方案(如 Cloudflare Browser Isolation)用於存取 AI 工具

有效期限:持續性措施,應納入常規安全政策。

重新評估時間:2026-03-31(納入季度安全政策審查)

3.3 伊朗網路威脅升級(地緣政治驅動)

問題:伊朗 – 以色列 – 美國衝突引發大規模網路攻擊,149 次駭客主義 DDoS 攻擊、Seedworm 入侵美國關鍵基礎設施、IP 攝影機劫持用於戰損評估。CISA 本週新增 Hikvision CVE-2017-7921 至 KEV 可能與此態勢相關。

暫時緩解措施

  1. IP 攝影機強化:更改所有 IP 攝影機預設密碼(特別是 Hikvision 產品)、更新韌體、將攝影機移至獨立 VLAN、限制攝影機的出站網路連線
  2. 提高 SOC 警戒等級:針對伊朗關聯的 TTPs 建立偵測規則(參考 Check Point 伊朗威脅概述CCCS 伊朗威脅公報
  3. Seedworm 偵測
    • 搜尋網路中 Deno runtime 的異常執行
    • 監控與 Seedworm 關聯的 C2 基礎設施 IOC
    • 檢查「Amy Cherne」簽發憑證簽署的可執行檔
  4. DDoS 準備:若組織業務涉及以色列、科威特、約旦、巴林、阿聯酋、賽普勒斯,應提升 DDoS 緩解等級
  5. RedAlert App 驗證:若使用以色列 RedAlert 警報應用程式,驗證安裝來源為官方管道(Unit 42 發現惡意副本投遞行動監控惡意軟體)
  6. 網域威脅監控:Zscaler 追蹤到超過 8,000 個使用中東衝突相關關鍵字的新註冊網域,應加強對衝突主題釣魚郵件和 PDF 誘餌的偵測

有效期限:直到中東地緣政治局勢穩定。

重新評估時間:每週評估(至少至 2026-03-28)

3.4 NPM 供應鏈大規模感染

問題:18 個 NPM 套件遭入侵,涉及每週超過 26 億次下載量,規模遠超過去的個別套件感染。與先前的 event-stream(2018)和 ua-parser-js(2021)事件相比,本次感染涉及的下載量級數更大。

暫時緩解措施

  1. 立即執行 npm audit 檢查專案相依性
  2. 鎖定所有相依性版本,使用 package-lock.jsonyarn.lock
  3. 啟用 npm 的 --ignore-scripts 選項限制安裝後腳本執行
  4. 部署 SCA 工具(如 Snyk、Dependabot)持續監控相依性安全性
  5. 審查 CI/CD pipeline 中的套件安裝流程,確認使用固定版本
  6. 參閱 SK-CERT NPM 感染警告

有效期限:直到受感染套件全部清除並發布安全版本。

重新評估時間:2026-03-14(一週後)

Qdrant 跨層關聯:語意查詢「supply chain attack npm package compromise software ecosystem」回傳 10 筆結果(相似度 0.56-0.72),確認 NPM 供應鏈安全為持續性威脅。歷史關聯包括 2021 年 dependency confusion 攻擊(NCSC-FI)、2026 年 1 月 PackageGate 報告(6 個 JS 套件管理器零日)、2026 年 2 月 OpenClaw 供應鏈攻擊。多個向量同時被攻擊的態勢正在加劇。

3.5 簽署惡意軟體趨勢(EV 憑證濫用)

問題:攻擊者持續取得合法數位簽署(包括 EV 憑證)簽署惡意軟體,削弱程式碼簽署作為信任機制的有效性。

暫時緩解措施

  1. 不將數位簽署視為安全性的充分證據
  2. 在 EDR 中啟用行為偵測(而非僅依賴簽署狀態)
  3. 對新安裝的軟體(包括已簽署的)進行額外的沙箱分析
  4. 監控已知被濫用的憑證(「TrustConnect Software PTY LTD」EV 憑證、「Amy Cherne」憑證)
  5. 考慮部署零信任應用程式控制(如 Windows Defender Application Control)

有效期限:持續性措施。

重新評估時間:2026-04-07(一個月後)

3.6 Google API 金鑰架構性問題

問題:Google 安全模型靜默變更導致約 3,000 個公開金鑰可存取 Gemini 私人資料。

暫時緩解措施

  1. 審計所有程式碼庫和網站中的 Google API 金鑰曝露
  2. 使用 Google Cloud Console 對每個金鑰設定 API 限制,排除 Gemini API
  3. 輪換所有曾公開曝露的金鑰
  4. 使用 trufflehog 或 gitleaks 等工具掃描 Git 歷史記錄中的金鑰曝露
  5. 建立金鑰管理流程,禁止在客戶端程式碼中硬編碼 API 金鑰

有效期限:直到 Google 解決架構性問題(將 Gemini API 與公開 API 金鑰解耦)。

重新評估時間:2026-03-21(兩週後監控 Google 回應)

4. 注意事項

4.1 適用範圍

  • 優先修補清單適用於所有使用受影響產品的組織。聯邦機構另需遵循 BOD 22-01 和 CISA 緊急指令的強制期限。
  • 安全控制建議為通用框架,各組織應依據自身暴露面、業務性質和風險偏好調整實施優先級。
  • 伊朗相關威脅的緩解措施主要針對以下組織:
    • 在中東地區有業務的組織
    • 與以色列有業務關聯的組織
    • 美國政府機構及相關承包商
    • 國防/航太產業供應鏈
    • 金融、交通(機場)基礎設施
  • ICS/OT 環境的修補建議需要特別謹慎,必須遵循工業控制系統的修補管理程序。
  • NPM 供應鏈安全主要影響使用 JavaScript/Node.js 的開發團隊和 CI/CD pipeline。

4.2 修補副作用與測試建議

修補項目 潛在副作用 建議測試步驟
Windows 2026-02 Patch Tuesday(CVE-2026-21513) MSHTML 相關應用程式相容性問題 1. 在測試環境部署更新 2. 驗證 IE 模式網站、Office 文件開啟、HTML Help 功能 3. 確認無相容性問題後推送至生產環境
VMware Aria Operations 修補 管理功能暫時中斷 1. 確認備份完整 2. 在維護窗口執行更新 3. 驗證監控和警報功能
Android 2026-03 安全更新 部分 OEM 裝置可能有相容性問題 1. 先在少量測試裝置部署 2. 驗證核心應用程式功能 3. 確認後全面推送
Apple 裝置更新(3 個 KEV) 應用程式相容性、MDM profile 需重新驗證 1. 先在測試裝置群組更新 2. 驗證 MDM 管理功能和企業 App 正常運作 3. 全面推送
pac4j-jwt 升級(CVE-2026-29000) 認證邏輯可能需要調整 1. 在開發環境完整測試 JWT 認證流程 2. 驗證既有 token 相容性 3. 確認無認證中斷後部署
CrushFTP 修補 檔案傳輸服務短暫中斷 1. 通知相關業務單位 2. 在維護窗口執行更新 3. 驗證檔案傳輸功能和認證機制
ICS/OT 修補(Rockwell、Hitachi Energy、Delta Electronics) 高風險 – 可能影響生產系統 1. 必須在隔離的測試環境完整驗證 2. 確認備援系統可用 3. 安排停機維護窗口 4. 準備回退方案

4.3 指標與偵測資源

本週可使用的威脅偵測資源:

資源 用途 連結
Akamai CVE-2026-21513 IOC 偵測 APT28 MSHTML 利用 Akamai Blog
Microsoft Defender 惡意擴充功能 IOC 偵測惡意 AI 助手擴充功能 Microsoft Security Blog
CISA SD-WAN 獵捕指南 Cisco SD-WAN 威脅獵捕 CISA ED 26-03 補充指引
CCCS 伊朗威脅公報 伊朗網路威脅 TTPs CCCS Bulletin
abuse.ch MalwareBazaar Mirai、SalatStealer、AsyncRAT 樣本 IOC MalwareBazaar
SANS ISC CrushFTP 掃描 IP CrushFTP 暴力破解來源 SANS ISC Diary #32762
CISA ICS Advisories Rockwell、Hitachi Energy、Delta Electronics 修補 CISA ICS Advisories
Google Cloud 破壞性攻擊防禦指南 2026 版主動準備與強化 Google Cloud Threat Intel
六國 AI/ML 供應鏈安全指導 AI 元件安全評估 CCCS AI/ML Guidance

4.4 IoT/攝影機安全特別提醒

鑑於本週 Check Point 揭露伊朗攻擊者利用 IP 攝影機進行戰損評估(BDA)的發現、CISA 新增 Hikvision CVE-2017-7921 至 KEV,以及 abuse.ch 資料顯示 Mirai 家族佔惡意軟體樣本最大比例,IoT 裝置安全應提升為優先關注事項:

  1. IP 攝影機:更改預設密碼(特別是 Hikvision)、更新韌體、移至獨立 VLAN、限制出站連線
  2. IoT 裝置:定期更新韌體、停用不必要的服務、監控異常流量
  3. 邊緣裝置:依據 Google 2025 零日回顧,國家支持間諜組織優先攻擊邊緣裝置和安全設備 – 確保所有邊緣裝置保持最新修補
  4. 電動車充電基礎設施:本週 CISA 發布 ePower/ePowerIE、Mobiliti/MobiHU、Everon OCPP Backends 漏洞公告,涉及充電站安全

4.5 供應鏈安全提醒

本週觀察到多起供應鏈攻擊,形成多向量同步攻擊態勢:

攻擊向量 事件 影響規模
套件管理器感染 18 個 NPM 套件遭入侵 每週 26 億次下載
偽造開源專案 OpenClaw GitHub 偽造安裝器 GhostSocks 惡意軟體分發
搜尋引擎惡意廣告 InstallFix 複製開發者工具安裝指南 竊密軟體(含 Claude Code 偽造)
瀏覽器擴充功能 惡意 AI 助手 + QuickLens ClickFix 90 萬安裝量
AI 驅動惡意軟體 APT36 Vibeware 模式 大量中品質惡意軟體植體

建議:

  1. 對所有軟體安裝來源進行驗證,避免從非官方管道下載
  2. 監控 GitHub 專案的異常變更
  3. 定期審查瀏覽器擴充功能和 npm/pip 等套件管理器的相依性
  4. 建立軟體供應鏈安全審查流程(參考 NIST SSDF 及六國聯合 AI/ML 供應鏈安全指導文件)

5. 優先行動時間表

時間框架 行動項目 對應威脅
立即(24 小時內) 套用 Windows 2026-02 Patch Tuesday CVE-2026-21513 (APT28)
立即(24 小時內) 盤點 Cisco SD-WAN 部署、限制管理介面 SD-WAN 零日
立即(24 小時內) 審計瀏覽器擴充功能、移除惡意 AI 助手 惡意 AI 擴充功能
立即(24 小時內) 升級 pac4j-jwt(若使用) CVE-2026-29000 (CVSS 10.0)
緊急(72 小時內) 套用 VMware Aria Operations 修補 CVE-2026-22719
緊急(72 小時內) 推送 Android 2026-03 安全更新 CVE-2026-21385
緊急(72 小時內) 更新所有 Apple 裝置 CVE-2021-30952, CVE-2023-41974, CVE-2023-43000
緊急(72 小時內) 修補 CrushFTP、限制對外存取 CrushFTP 多 CVE
緊急(72 小時內) 執行 NPM 供應鏈安全審計 NPM 大規模感染
本週內 審計 Google API 金鑰曝露 Gemini 安全模型變更
本週內 部署 Seedworm/Dindoor 偵測規則 伊朗 APT 威脅
本週內 強化 IP 攝影機和 IoT 安全 伊朗攝影機攻擊 + Hikvision KEV + Mirai
本週內 套用 Cisco FMC 修補 CVE-2026-20079/CVE-2026-20131
2026-03-24 前 完成所有 CISA KEV 2026-03-03 項目修補 BOD 22-01
持續 監控 Cisco PSIRT 公告 SD-WAN 零日修補發布
持續 監控中東地緣政治態勢及相關威脅情報 伊朗衝突升級

6. Qdrant 跨層關聯分析摘要

本報告產出過程中執行了 5 次 Qdrant 語意查詢,用於跨 Layer 關聯分析:

  1. 「patch remediation critical vulnerability actively exploited」(10 筆結果,相似度 0.61-0.63):確認活躍利用的關鍵漏洞修補需求為持續性趨勢。歷史關聯包括 2020 年 Zerologon 活躍利用(NCSC-FI)、2026 年 2 月 Ivanti EPMM 零日(CVE-2026-1281/CVE-2026-1340,Unit 42),以及 TWCERT React2Shell RCE 大規模利用。

  2. 「defense mitigation workaround zero-day」(10 筆結果,相似度 0.54-0.60):關聯到 2026 年 1 月 Microsoft Office 零日(CVE-2026-21509,CERT-SE 及 The Hacker News)、Cisco ASA/FTD 零日(NSM Norway),以及 2022 年 Microsoft MSDT 零日。顯示零日漏洞的緩解策略模式一致:限制管理介面暴露、實施網路分段、監控異常活動。

  3. 「ransomware prevention endpoint protection」(10 筆結果,相似度 0.50-0.55):關聯到加拿大 CCCS 勒索軟體防禦指南 (ITSAP.00.099) 和勒索軟體 Playbook (ITSM.00.099),以及 NCSC-FI 的勒索軟體防禦建議。確認防禦框架的核心原則(備份、修補、MFA、端點保護、網路分段)長期有效。

  4. 「supply chain attack npm package compromise software ecosystem」(10 筆結果,相似度 0.56-0.72):確認 NPM 供應鏈感染為 2026 年持續加劇的威脅。高度相關結果包括 SK-CERT NPM 感染警告(相似度 0.72)、2021 年 dependency confusion 攻擊(NCSC-FI)、2026 年 1 月 PackageGate 報告、2026 年 2 月 OpenClaw 供應鏈攻擊。

  5. 「ICS OT industrial control system vulnerability Rockwell Hitachi」(10 筆結果,相似度 0.64-0.70):確認 ICS/OT 環境持續面臨高風險。2026 年 1-3 月 Rockwell 有 5+ 個安全公告(CompactLogix、ArmorStart、ControlLogix、FactoryTalk),Hitachi Energy RTU500 本週新增漏洞,Yokogawa CENTUM VP 亦有漏洞披露。

免責聲明

本防禦建議基於國際 CERT/安全機構公開資料彙整,請注意:

  1. 非保證:實施建議不保證完全防禦所有威脅
  2. 環境差異:建議為通用性質,可能不適用於所有環境
  3. 請先測試:在正式環境部署前,請先於測試環境驗證
  4. 非法律建議:本報告不構成法律或合規建議
  5. 資料限制:基於公開資料,不涵蓋非公開威脅情報
  6. 翻譯風險:部分非英文來源經 AI 翻譯,修補建議請以官方原文為準
  7. ICS/OT 修補風險:工業控制系統修補可能影響生產運行。在套用 ICS/OT 修補前,必須在隔離的測試環境完整驗證,並準備回退方案
  8. 漏洞資訊時效性:本報告反映截至 2026-03-07 的已公開資訊。部分漏洞(如 Cisco SD-WAN 零日的具體 CVE)可能在報告產出後才獲得完整技術細節
  9. 威脅行為者歸因:APT 歸因(APT28/Fancy Bear、Seedworm/MuddyWater 等)基於各安全廠商的評估,歸因結論可能隨後續調查而調整

重大安全決策請諮詢專業資安顧問,並結合組織實際環境評估。

自我審核 Checklist

  • 包含完整免責聲明(9 項,含固定模板 6 項及補充 3 項)
  • 修補建議全部來自官方來源(CISA、Microsoft、Broadcom、Cisco、Google、Apple、Rockwell、SANS ISC、各國 CERT)
  • 清楚區分「通用建議」與「針對本週威脅」(每個安全控制層面均有標註)
  • 緩解策略標註有效期限和重新評估時間(6 項緩解策略均已標註)
  • 無「保證安全」措辭(免責聲明第 1 項明確說明)
  • 標註適用範圍與限制(注意事項第 4.1 節)
  • CVE 編號正確(CVE-2026-21513、CVE-2026-22719、CVE-2026-29000、CVE-2026-21385、CVE-2026-0628、CVE-2026-3094、CVE-2017-7921、CVE-2021-22681、CVE-2021-30952、CVE-2023-41974、CVE-2023-43000、CVE-2024-4040、CVE-2025-31161、CVE-2025-54309、CVE-2026-20079、CVE-2026-20131)
  • 格式適合 IT/資安管理人員快速閱讀(分級排序、表格、行動時間表)

本報告由資訊安全產業智慧分析系統自動產出,資料來源涵蓋 CISA、NCSC-FI、CERT-FR、SK-CERT、CERT-UA、CERT-RO、CERT.hr、CCCS、SANS ISC、abuse.ch 等國際安全機構與開源情報饋送。Qdrant 語意查詢用於跨 Layer 關聯分析,共執行 5 次查詢,回傳 50 筆相關結果。