防禦建議 — 2026 第 11 週

涵蓋期間：2026-03-05 至 2026-03-13 資料來源：國際 CERT/安全機構、NVD、EPSS、Exploit-DB、VulnCheck KEV、CISA KEV 產出時間：2026-03-13

執行摘要

本週威脅態勢以勒索軟體利用遠端存取工具漏洞、伊朗破壞性攻擊升級、多國 APT 同步活動及大規模供應鏈/平台型攻擊為主軸。BeyondTrust 遠端存取工具遭勒索軟體集團積極利用，n8n 工作流程自動化平台 RCE 漏洞新增至 CISA KEV，Handala/Void Manticore 宣布將美國 7 大科技巨頭列為「合法目標」，同時多家主要軟體供應商發布緊急安全更新：

CVE-2026-1731 BeyondTrust RS/PRA 命令注入（勒索軟體活躍利用） – 未經認證的遠端程式碼執行漏洞，已被勒索軟體集團積極利用於攻擊活動鏈中，列入 CISA KEV
n8n RCE（CISA KEV 新增） – n8n 工作流程自動化平台遠端程式碼執行漏洞，已被實際利用，CISA 要求聯邦機構修補
CVE-2025-26399 SolarWinds Web Help Desk 反序列化 RCE（CISA KEV 截止已過 2026-03-12） – 活躍利用中，CISA 修補截止日已過，尚未修補的組織應立即行動
CVE-2021-22054 VMware Workspace ONE Access SSRF（活躍利用） – 2021 年漏洞仍遭持續利用，列入 CISA KEV
CVE-2026-20079 / CVE-2026-20131 Cisco FMC/SCC（CVSS 10.0 x 2） – SQL Injection 導致 RCE，CERT-SE、CERT-RO、CERT-FR 同步警告
Handala/Void Manticore 伊朗破壞性攻擊升級 – 宣布 7 家美國科技巨頭為「合法目標」，建議加強破壞性攻擊偵測（MITRE T1485）
CISA KEV 新增：2026-03-05 新增 5 個 + 2026-03-11 新增 1 個 + n8n RCE，含 Hikvision、Rockwell ICS、Apple 多產品、Qualcomm 晶片組
Operation Lightning / SocksEscort 住宅代理殭屍網路拆除 – 涉及 ASUS 路由器，建議檢查路由器韌體和配置
Kadnap 殭屍網路感染 14,000 台 ASUS 路由器 – 使用 P2P Kademlia 協定建立去中心化 C2
多產品漏洞群（3/12-3/13 新增） – Apple、Fortinet、GitLab、Chrome、Firefox、Cisco IOS XR、Erlang/OTP、GLPI、Palo Alto Networks、Splunk、Veeam、F5OS、HPE、Zoom 均發布安全更新
Viking Line 供應商資料外洩 – 供應鏈風險，第三方供應商安全管理再受考驗
React 釣魚攻擊 – 使用 React 應用進行憑證竊取，繞過傳統偵測
FortiCloud SSO 繞過利用 – 攻擊者收集 LDAP 連線字串，即使修補後仍可能維持持久性存取
NPM 大規模供應鏈感染 – 持續中的軟體生態系統威脅
全球網路攻擊量 2026 年 2 月創歷史新高 – NCSC-FI 確認

本週關鍵行動：

立即：套用 BeyondTrust 緩解措施或停止使用（CVE-2026-1731，勒索軟體活躍利用）
立即：修補 n8n 工作流程自動化平台 RCE 漏洞（CISA KEV 新增，活躍利用）
立即（截止已過）：升級 SolarWinds Web Help Desk 至 12.8.7 Hotfix 1+（CVE-2025-26399，CISA KEV 截止 2026-03-12 已過）
立即：修補 VMware Workspace ONE Access（CVE-2021-22054）
立即：套用 Cisco FMC/SCC 修補（CVE-2026-20079/CVE-2026-20131，CVSS 10.0）
立即：更新所有 Apple 裝置（CISA KEV + AV26-233 多漏洞公告）
立即：套用 Fortinet 產品安全更新（多漏洞）
立即：更新 Google Chrome 和 Mozilla Firefox 至最新版本（多漏洞）
緊急：套用 GitLab、Cisco IOS XR、Erlang/OTP、GLPI、Palo Alto Networks、Splunk、Veeam、F5OS、HPE 安全更新
緊急：檢查 ASUS 路由器韌體版本（Kadnap 殭屍網路 + Operation Lightning/SocksEscort）
緊急：部署 Handala/Void Manticore 破壞性攻擊偵測規則（MITRE T1485 資料銷毀偵測）
緊急：審查 Microsoft Teams 外部存取政策，防範 A0Backdoor 釣魚及 React 釣魚攻擊
緊急：審查 FortiCloud/FortiGate 配置，輪換 LDAP 憑證
緊急：審查供應商安全管理（Viking Line 供應鏈外洩事件）
優先：封鎖 Feodo Tracker 已知 C2 IP
優先：部署 DDoS 緩解措施（伊朗駭客主義升級）
優先：審計 NPM 專案相依性及 GitHub Actions 流水線完整性
優先：更新 Zoom 至最新版本（AV26-231 多漏洞）

1. 優先修補清單

依照優先級排序：活躍利用（勒索軟體/國家級）> CISA KEV 新增 > CVSS Critical > PoC 公開 > CVSS High

P0 – 最高優先（活躍利用中，勒索軟體/國家級威脅）

1.1 CVE-2026-1731 – BeyondTrust Remote Support / Privileged Remote Access OS 命令注入

項目	內容
CVE	CVE-2026-1731
嚴重程度	Critical
CWE	CWE-78（OS 命令注入）
影響產品	BeyondTrust Remote Support (RS)、Privileged Remote Access (PRA)
利用狀態	勒索軟體活躍利用（CISA KEV）
修補狀態	供應商已發布緩解措施

漏洞描述：BeyondTrust Remote Support 和 Privileged Remote Access 產品存在 OS 命令注入漏洞，未經認證的遠端攻擊者可利用此漏洞實現完整系統入侵（RCE）。此漏洞已被確認用於勒索軟體攻擊活動鏈中，攻擊者利用遠端存取工具的信任地位快速擴展控制範圍。BeyondTrust 遠端存取工具在企業環境中通常擁有高度特權，因此一旦遭利用，影響範圍可能涵蓋整個受管理的端點環境。

修補方式：

立即參閱 BeyondTrust 安全公告套用供應商提供的緩解措施
若無法立即套用緩解措施，依 CISA 建議停止使用受影響的產品
審查 BeyondTrust RS/PRA 的存取日誌，搜尋入侵跡象
隔離 BeyondTrust 管理伺服器，限制網路存取至受信任的管理網段
確認所有由 BeyondTrust 管理的端點未遭勒索軟體感染
參閱 CISA KEV 目錄
參閱 NVD – CVE-2026-1731

勒索軟體關聯：此漏洞正被勒索軟體集團積極利用。Qdrant 語意查詢「active exploitation ransomware critical vulnerability」確認 BeyondTrust 漏洞與近期勒索軟體活動高度相關，歷史關聯包括 LockBit 5.0 跨平台勒索軟體（2025-10-28 報告）以及社交工程利用雲端服務和短期證書的新型攻擊模式。攻擊者透過遠端存取工具的入侵可繞過多數端點防護，建議優先於所有其他修補項目處理。

1.2 CVE-2025-26399 – SolarWinds Web Help Desk 反序列化 RCE

項目	內容
CVE	CVE-2025-26399
嚴重程度	Critical
CWE	CWE-502（不安全的反序列化）
影響產品	SolarWinds Web Help Desk（12.8.7 Hotfix 1 之前版本）
利用狀態	活躍利用（CISA KEV）
CISA 修補截止日	2026-03-12（本報告發布當日）
修補狀態	已修補（Web Help Desk 12.8.7 Hotfix 1+）

漏洞描述：SolarWinds Web Help Desk 存在不安全的反序列化漏洞（CWE-502），遠端攻擊者可利用此漏洞在主機上執行任意命令。SolarWinds Web Help Desk 是廣泛部署的 IT 服務管理工具，攻擊者入侵後可取得對 IT 基礎設施的深度存取權限，包括工單系統中儲存的敏感資訊和認證憑證。

修補方式：

立即升級至 SolarWinds Web Help Desk 12.8.7 Hotfix 1 或更新版本
若無法立即升級，限制 Web Help Desk 的網路存取，僅允許受信任的內部網段連線
審查 Web Help Desk 伺服器日誌，搜尋反序列化攻擊跡象
檢查 Web Help Desk 資料庫中儲存的認證憑證是否遭竊取
參閱 CISA KEV 目錄
參閱 NVD – CVE-2025-26399

緊急提醒：CISA 修補截止日為 2026-03-12（即本報告發布當日）。聯邦機構必須在今日前完成修補。非聯邦組織亦應視為最高優先級，因為活躍利用意味著攻擊者正在掃描和利用未修補的實例。

1.3 CVE-2021-22054 – VMware Workspace ONE Access SSRF

項目	內容
CVE	CVE-2021-22054
嚴重程度	Critical
影響產品	VMware Workspace ONE Access
利用狀態	活躍利用（CISA KEV）
修補狀態	已修補（供應商已發布修補）

漏洞描述：VMware Workspace ONE Access 存在伺服器端請求偽造（SSRF）漏洞，攻擊者可利用此漏洞存取內部服務和敏感資料。此為 2021 年揭露的漏洞，但至今仍有未修補的實例遭到積極利用，反映歷史漏洞的長尾風險。Workspace ONE Access 作為企業身分認證閘道器，一旦遭入侵，攻擊者可能取得對整個企業 SSO 環境的存取權限。

修補方式：

立即套用 VMware/Broadcom 安全公告中的修補
限制 Workspace ONE Access 管理介面的網路存取
審查 Workspace ONE Access 日誌中的異常 SSRF 請求
盤點所有 VMware Workspace ONE Access 部署，確認版本狀態
參閱 NVD – CVE-2021-22054

1.4 n8n 工作流程自動化平台 RCE（CISA KEV 新增）

項目	內容
影響產品	n8n 工作流程自動化平台
嚴重程度	Critical
利用狀態	活躍利用（CISA KEV 新增）
修補狀態	修補可用

漏洞描述：n8n 工作流程自動化平台存在遠端程式碼執行漏洞，已被確認遭實際利用。n8n 廣泛用於 IT 自動化和 DevOps 流程，攻擊者入侵後可取得對自動化工作流程的完整控制，可能影響連接的所有第三方服務和 API。CISA 已要求聯邦機構優先修補。

修補方式：

立即升級 n8n 至最新修補版本 – 參閱 n8n 官方安全公告
限制 n8n 管理介面的網路存取，僅允許受信任的管理網段
審查 n8n 工作流程中儲存的認證憑證和 API 金鑰
檢查 n8n 執行日誌，搜尋異常的工作流程執行或未授權存取
盤點 n8n 連接的所有第三方服務，評估影響範圍
參閱 CISA KEV 目錄

自動化平台風險：n8n 等工作流程自動化平台通常連接多個內部和外部服務，儲存大量 API 金鑰和認證憑證。一旦遭入侵，攻擊者可利用這些憑證橫向移動至所有連接的系統。Qdrant 語意查詢「patch priority critical vulnerability March 2026」確認 2026 年 3 月持續出現多個 Critical 漏洞集中爆發趨勢。

P1 – 極緊急（CVSS 10.0 / 多國 CERT 同步警告 / CISA KEV 新增）

1.5 CVE-2026-20079 / CVE-2026-20131 – Cisco Secure Firewall Management Center (FMC) 與 Security Cloud Control (SCC)

項目	內容
CVE	CVE-2026-20079、CVE-2026-20131
CVSS	10.0 (Critical) x 2
影響產品	Cisco Secure Firewall Management Center (FMC)、Cisco Security Cloud Control (SCC)
利用狀態	已確認活躍利用
修補狀態	Cisco 已發布修補
通報機構	CERT-SE（瑞典）、CERT-RO（羅馬尼亞）、CERT-FR（法國）同步警告

漏洞描述：Cisco Secure Firewall Management Center 與 Security Cloud Control 存在兩個獨立的 SQL Injection 漏洞，均獲 CVSS 10.0 最高評分。未經身份驗證的遠端攻擊者可利用這些漏洞在受影響的管理平台上執行任意 SQL 指令，進而取得完整系統控制權。由於 FMC/SCC 是防火牆集中管理平台，一旦淪陷將導致整個防火牆基礎設施失去防禦能力。

修補方式：

立即套用 Cisco 官方安全更新 – 參閱 Cisco PSIRT
若無法立即修補，限制 FMC/SCC 管理介面僅允許受信任的管理網段存取
監控 FMC/SCC 存取日誌，搜尋異常 SQL 查詢或未授權登入
參閱 CERT-SE 警告
參閱 CERT-RO 警告
參閱 CERT-FR 多漏洞公告

重要：FMC/SCC 為防火牆管理核心元件，若遭入侵可能導致攻擊者修改防火牆規則、停用安全策略、存取所有受管設備配置。建議將此漏洞視為基礎設施保護最高優先級。

1.6 Cisco 多產品漏洞群（含 Cisco IOS XR 新增）

CVE	產品	嚴重程度	利用狀態
CVE-2026-20045	Cisco 網路產品	High	PoC 公開
CVE-2026-20127	Cisco SD-WAN（延續上週 CISA ED 26-03）	High	活躍利用中
CVE-2026-20700	Cisco 網路產品	High	PoC 公開
多個	Cisco IOS XR（3/12 新增）	High	含特權提升和 DoS

修補方式：

參閱 Cisco PSIRT 官方安全公告，套用對應修補
新增：套用 Cisco IOS XR 安全更新，修補特權提升和 DoS 漏洞
限制管理介面暴露面
持續追蹤 Cisco SD-WAN 全球利用事件（延續上週 CISA 緊急指令 ED 26-03）

1.7 CISA KEV 持續新增（2026-03-05 至 2026-03-13）

本週 CISA 持續新增已知遭積極利用漏洞至 KEV 目錄，含 n8n RCE（見 1.4）：

2026-03-05 新增（5 個）：

CVE	產品	類型	修補建議
CVE-2017-7921	Hikvision 多產品	不當身份驗證	更新韌體；若 EoL 則立即更換
CVE-2021-22681	Rockwell 多 ICS 產品	憑證保護不足	參閱 Rockwell 安全公告
CVE-2021-30952	Apple 多產品	整數溢位	更新至最新 iOS/macOS/Safari/tvOS/watchOS
CVE-2023-41974	Apple iOS / iPadOS	Use-After-Free	更新至最新 iOS/iPadOS
CVE-2023-43000	Apple 多產品	Use-After-Free	更新至最新 macOS/iOS/iPadOS/Safari

2026-03-11 新增（1 個）：參閱 CISA KEV 2026-03-11 公告

統一行動建議：

定期查閱 CISA KEV 目錄取得最新清單
聯邦機構須遵循 BOD 22-01 強制修補期限
參閱 CISA 公告

Hikvision 與伊朗威脅關聯：CVE-2017-7921（Hikvision）被加入 KEV 與本週伊朗攻擊者利用 IP 攝影機進行戰損評估的威脅態勢高度相關。Check Point Research 確認伊朗國家駭客劫持消費級攝影機用於戰損評估，攻擊企圖與飛彈和無人機攻擊時間高度吻合。

Rockwell ICS 注意：CVE-2021-22681 影響 Rockwell Automation 工業控制產品，修補時需配合維護窗口並評估對製程的影響。Qdrant 語意查詢確認 Rockwell 產品在 2026 年 1-3 月持續有多個漏洞公告。

Apple 裝置統一行動建議：本週 CISA 新增 3 個 Apple 漏洞至 KEV，均已有修補可用。建議統一盤點組織內所有 Apple 裝置，確保全部更新至最新系統版本。透過 MDM 強制推送更新為最有效的方式。

1.8 CVE-2026-21385 – Qualcomm 多晶片組記憶體損毀

項目	內容
CVE	CVE-2026-21385
嚴重程度	High
CWE	CWE-190（整數溢位導致緩衝區溢位）
影響產品	搭載 Qualcomm 晶片組的 Android 裝置
利用狀態	活躍利用（CISA KEV）
CISA KEV 新增日期	2026-03-03
修補截止日（聯邦機構）	2026-03-24

修補方式：

立即套用 Android 2026 年 3 月安全公告
透過 MDM 強制推送安全更新至所有受管理的 Android 裝置
參閱 CERT-RO 警告

1.9 CVE-2026-22719 – Broadcom VMware Aria Operations 命令注入

項目	內容
CVE	CVE-2026-22719
嚴重程度	Critical
CWE	CWE-77（命令注入）
影響產品	VMware Aria Operations（vRealize Operations / vROps）
利用狀態	活躍利用（CISA KEV）
CISA KEV 新增日期	2026-03-03
修補截止日（聯邦機構）	2026-03-24

修補方式：

依 Broadcom Security Advisory #36947 套用修補或停用產品
限制 VMware Aria Operations 管理介面的網路存取

P2 – 緊急（CVSS Critical / 公開 PoC / 活躍利用）

1.10 FortiCloud SSO 繞過（CVE-2025-59718/59597）– 持續追蹤 + Fortinet 多產品新漏洞

項目	內容
CVE	CVE-2025-59718、CVE-2025-59597
嚴重程度	Critical
影響產品	FortiGate（啟用 FortiCloud SSO 的裝置）
利用狀態	持續活躍利用 – 攻擊者利用 SSO 繞過收集 LDAP 連線字串

漏洞描述：攻擊者利用 FortiCloud SSO 繞過漏洞入侵 FortiGate 設備，收集 LDAP 連線字串，可能取得 Active Directory 認證資訊。本週新增研究揭示攻擊者利用持久性讀取存取機制，即使設備已修補仍可維持存取。多個歐洲 CERT（CERT.at、CERT-SE、NSM-NCSC）已發布警告。JPCERT 報告 React2Shell 多威脅行為者活動亦涉及 Fortinet 設備利用。

修補方式：

立即套用 Fortinet 發布的所有安全更新（含 3/12 新增 Fortinet 多產品漏洞修補）
審查 FortiGate 設備是否存在未授權的管理者帳號或設定變更
檢查 LDAP 連線設定，輪換所有可能遭竊的 LDAP 認證憑證
審查 FortiGate 日誌中 /remote/saml/login 的異常請求
參閱 Fortinet PSIRT 官方公告
參閱 CERT.at 分析

持久性威脅：即使套用修補，攻擊者可能已建立持久性存取。建議執行完整的 FortiGate 設備鑑識，包括檢查設定備份、管理者帳號、VPN 配置等。

1.11 CVE-2026-29000 – pac4j JWT 認證繞過（CVSS 10.0）

項目	內容
CVE	CVE-2026-29000
CVSS	10.0 (Critical)
影響產品	Java pac4j-jwt JwtAuthenticator
利用狀態	PoC 已公開
修補狀態	修補可用

修補方式：

立即升級 pac4j-jwt 至最新修補版本
審查應用程式是否使用 pac4j-jwt JwtAuthenticator 進行認證
監控認證日誌中的異常 JWT 認證嘗試
參閱 CERT.hr 安全公告

1.12 FortiClient EMS SQL 注入

項目	內容
影響產品	FortiClient EMS
嚴重程度	Critical
利用狀態	修補可用

修補方式：

參閱 Fortinet PSIRT 套用修補
限制 FortiClient EMS 管理介面暴露

1.13 Zoom Workplace 多漏洞（AV26-231）

項目	內容
影響產品	Zoom Workplace
嚴重程度	Critical
通報機構	CERT-RO

修補方式：

更新 Zoom Workplace 至最新版本
參閱 Zoom Security Bulletin

1.14 HPE 多產品漏洞（AV26-234 + Aruba AOS-CX）

項目	內容
影響產品	HPE Aruba Networking AOS-CX、HPE 多產品（AV26-234 新增）
嚴重程度	High（含多個漏洞）

修補方式：

參閱 CERT-FR 公告取得受影響版本與修補資訊
套用 HPE Aruba 官方提供的韌體更新
新增（AV26-234）：參閱 HPE 官方安全公告，套用 HPE 多產品安全更新

P3 – 重要（ICS/OT 漏洞群 / 廣泛影響）

1.15 ICS/OT 漏洞群 – Delta Electronics、Mitsubishi Electric、Siemens、Schneider Electric、Moxa

本週 CISA 及各國 CERT 發布多項 ICS 安全公告：

公告編號	產品	CVE	最高 CVSS	修補建議
ICSA-26-064-01	Delta Electronics CNCSoft-G2 (< V2.1.0.39)	CVE-2026-3094	7.8	CISA 公告
ICSA-26-062-01	Mitsubishi Electric MELSEC iQ-F	CVE-2026-1874/1875/1876	7.5	CISA 公告
ICSA-26-062-02	Hitachi Energy Relion/REB500	CVE-2026-2459/2460	6.8	CISA 公告
ICSA-26-062-03	Hitachi Energy RTU500	CVE-2024-8176 等	7.5	CISA 公告
–	Siemens 多產品	多個	High	參閱 CISA ICS Advisories
–	Schneider Electric 多產品	多個	High	參閱 CISA ICS Advisories
–	Moxa 工業網路產品	多個	High	Moxa Security Advisories

OT/ICS 環境統一修補建議：

在測試環境驗證修補後再部署至生產環境
實施網路分段，將 ICS/OT 系統與 IT 網路隔離
限制管理介面存取，使用跳板機 (Jump Host) 管理
監控異常流量和指令行為
不開啟不明來源的 DPAX 檔案（CVE-2026-3094 利用途徑）
參閱 CISA ICS 最佳實踐

Qdrant 跨層關聯：語意查詢「ICS OT industrial control system vulnerability」確認 ICS/OT 環境在 2026 年 1-3 月持續面臨高風險，Rockwell 產品有 5+ 個安全公告（CompactLogix、ArmorStart、ControlLogix、FactoryTalk），Hitachi Energy RTU500 本週新增漏洞。

1.16 其他高優先修補項目（含 3/12-3/13 新增）

產品	嚴重程度	修補參考
Microsoft 2026 年 3 月 Patch Tuesday	Critical/High	Microsoft Security Update Guide
Apple 多產品（AV26-233，3/12 新增）	Critical/High	Apple Security Releases
Fortinet 多產品（3/12 新增）	Critical/High	Fortinet PSIRT
GitLab 多漏洞（3/12 新增）	Critical/High	GitLab Security Releases
Google Chrome 多漏洞（3/12 新增）	High	Chrome Releases
Mozilla Firefox 多漏洞（3/12 新增）	High	Mozilla Security Advisories
Erlang/OTP 多漏洞（3/12 新增）	High	Erlang/OTP Security
GLPI RCE – IT 資產管理平台（3/12 新增）	Critical	GLPI Security Advisories
Palo Alto Networks 多漏洞（3/12 新增）	High	Palo Alto Security Advisories
Splunk 多漏洞（3/12 新增）	High	Splunk Security Advisories
Veeam Backup & Replication（3/12 新增）	High	Veeam Security Advisories
F5OS 漏洞（3/12 新增）	High	F5 Security Advisories
Zombie ZIP CVE-2026-0866（3/13 SANS ISC 分析）	Medium	SANS ISC
SAP 多產品	High	SAP Security Notes
Apache ZooKeeper	High	Apache ZooKeeper 安全公告
IBM 多產品	High	IBM Security Bulletins

2. 安全控制建議

基於本週威脅態勢，以下安全控制建議按層面分類，並標註「通用建議」與「針對本週威脅」。

2.1 網路層面

針對本週威脅

控制措施	對應威脅	優先級
封鎖 Feodo Tracker C2 IP – 從 Feodo Tracker 下載最新 C2 IP 清單，在邊界防火牆封鎖所有列出的 IP 地址	Feodo Tracker C2 指標、勒索軟體基礎設施	極緊急
隔離 BeyondTrust/SolarWinds 管理伺服器 – 將 BeyondTrust RS/PRA 和 SolarWinds Web Help Desk 管理伺服器移至隔離管理網段，僅允許跳板機存取	CVE-2026-1731（勒索軟體）、CVE-2025-26399	極緊急
限制 Cisco FMC/SCC 管理介面存取 – 僅允許受信任的管理網段連線	CVE-2026-20079/20131（CVSS 10.0）	極緊急
監控 .arpa TLD DNS 查詢 – 在 DNS 安全解決方案中建立對 .arpa TLD 異常 A 記錄查詢的警報規則	.arpa TLD DNS 濫用	高
盤點所有 ASUS 路由器 – 確認韌體版本，更新至最新或替換 EoL 設備	Kadnap 殭屍網路（14,000 台感染）	緊急
部署 DDoS 緩解措施 – 針對面向中東/以色列業務的組織，確認 DDoS 緩解服務已啟用，建議提升防護等級	伊朗駭客主義 DDoS（149 次攻擊、16 國）	高
FortiGate 網路存取審查 – 限制 FortiGate 管理介面暴露，封鎖非必要的外部管理存取	FortiCloud SSO 繞過利用	緊急
加強 SD-WAN 設備監控 – 持續追蹤 Cisco SD-WAN 全球利用事件（延續 CISA ED 26-03）	CVE-2026-20127 持續利用	持續
監控 IP 攝影機流量 – 對所有 IP 攝影機的異常入站/出站連線建立警報規則	伊朗 IP 攝影機攻擊 + CVE-2017-7921 (Hikvision KEV)	高
ICS/OT 網路分段強化 – 確認 Rockwell、Hitachi Energy、Delta Electronics、Mitsubishi Electric 設備位於隔離 OT 網段	ICS 漏洞叢 + CVE-2021-22681 (Rockwell KEV)	高
隔離 n8n 自動化平台 – 限制 n8n 管理介面存取，審查工作流程中的認證憑證	n8n RCE（CISA KEV）	極緊急
部署 Handala/Void Manticore 破壞性攻擊偵測規則 – 監控 MITRE T1485（資料銷毀）行為、磁碟覆寫操作、MBR/VBR 修改	Handala/Void Manticore 伊朗破壞性攻擊升級	緊急
檢查路由器韌體（Operation Lightning） – 驗證 ASUS 及其他消費級路由器是否遭 SocksEscort 住宅代理殭屍網路感染	Operation Lightning 殭屍網路拆除	緊急

通用建議

持續執行網路分段，確保 IT、OT、IoT 各自在獨立的網路區域
對所有管理介面強制使用加密連線（TLS 1.2+）
定期審查防火牆規則，移除不必要的對外服務暴露
對 DNS 查詢啟用威脅情報過濾
監控邊緣裝置和安全設備的管理介面存取（Google 報告指出企業零日利用 2025 年達歷史新高，國家級 APT 優先攻擊邊緣裝置）

2.2 端點層面

針對本週威脅

控制措施	對應威脅	優先級
瀏覽器擴充功能審計 – 盤點所有 Chromium 瀏覽器安裝的擴充功能，移除未經企業核准的 AI 助手擴充功能	惡意 AI 瀏覽器擴充功能（20,000+ 企業租戶）	極緊急
加強 EDR 監控偵測 EDR 停用行為 – 假求職信攻擊會先殺死 EDR 再竊取資料	假求職申請 → EDR-Killer + 資料竊取	緊急
推送 Android 2026-03 安全更新 – 含 Qualcomm 晶片組修補	CVE-2026-21385	立即
更新所有 Apple 裝置 – 3 個活躍利用漏洞已加入 CISA KEV	CVE-2021-30952/CVE-2023-41974/CVE-2023-43000	立即
掃描 GhostSocks/BoryptGrab 指標 – 在端點安全工具中新增已知 IOC	GitHub 惡意倉庫（BoryptGrab 100+ repos）	高
監控 Deno runtime 異常執行 – Seedworm Dindoor 後門使用 Deno runtime 規避偵測	Seedworm/MuddyWater 攻擊	高
偵測異常 Microsoft Teams 連線 – 監控 Teams 中來自外部組織的可疑訊息和檔案分享	Microsoft Teams 釣魚 → A0Backdoor	緊急
驗證程式碼簽署證書 – 在 EDR 中啟用對不明簽署者的可執行檔警報	資訊竊取軟體使用合法簽署	高
偵測 React 釣魚應用 – 加強對使用 React 框架建立的憑證竊取頁面偵測，監控異常 JavaScript bundle 載入行為	React 應用憑證竊取攻擊	高
更新瀏覽器 – 立即更新 Chrome 和 Firefox 至最新版本，修補多個安全漏洞	Chrome/Firefox 多漏洞（3/12 新增）	立即

通用建議

維持 EDR/XDR 簽章和行為偵測規則更新
限制使用者對軟體安裝的權限（最低權限原則）
啟用 AMSI（Antimalware Scan Interface）監控腳本執行
限制 Office 巨集執行，僅允許數位簽署的巨集
監控 PowerShell、cmd、wscript 等腳本引擎的異常行為

2.3 身分認證層面

針對本週威脅

控制措施	對應威脅	優先級
強制抗釣魚 MFA – 對所有特權帳號和面向外部的服務部署抗釣魚型 MFA（FIDO2/WebAuthn），SMS/TOTP 型 MFA 已被證實可被 Tycoon 2FA PhaaS 平台繞過	Tycoon 2FA PhaaS（雖已關閉，但複製版可能出現）	緊急
發布 Signal/WhatsApp 安全警告 – 通知全體員工俄羅斯威脅行為者正大規模針對政府官員與記者的即時通訊帳號	俄羅斯帳號劫持行動	立即
強制啟用 Signal 註冊鎖定（Registration Lock） – 防止帳號被社交工程轉移	俄羅斯帳號劫持行動	立即
審查 Microsoft Teams 外部存取政策 – 限制或停用 Microsoft Teams 的外部使用者通訊功能	Microsoft Teams 釣魚 → A0Backdoor	極緊急
審查遠端存取工具配置 – 盤點所有遠端存取工具（BeyondTrust、TeamViewer、AnyDesk 等），確認均已啟用 MFA	CVE-2026-1731 BeyondTrust 勒索軟體利用	極緊急
輪換 FortiGate LDAP 認證憑證 – 檢查 LDAP 連線設定並輪換可能遭竊的認證憑證	FortiCloud SSO 繞過 → LDAP 憑證收集	緊急
審查 pac4j JWT 實作 – 若使用 pac4j-jwt，立即升級至修補版本	CVE-2026-29000（CVSS 10.0）	緊急
監控 LLM 聊天記錄外洩 – 制定 AI 工具使用政策，禁止在 LLM 中輸入認證憑證等敏感資訊	惡意 AI 助手擴充功能竊取 LLM 對話	高
偵測 LastPass 釣魚 – 提醒使用者官方技術支援不會主動要求提供主密碼	假 LastPass 支援 → 密碼庫竊取	高
停用手機語音信箱或設定強密碼 – 芬蘭已出現透過語音信箱攔截驗證碼劫持 Telegram 帳號的案例	Telegram 語音信箱劫持	優先

通用建議

對所有特權帳號和面向外部的服務強制啟用 MFA（抗釣魚型 MFA 優先，如 FIDO2）
定期審查服務帳號和 API 金鑰的使用情況
實施密碼政策強化（長度 > 複雜度，參考 NIST SP 800-63B）
監控異常登入行為（異常地理位置、非工作時間、多次失敗嘗試）

2.4 資料保護層面

針對本週威脅

控制措施	對應威脅	優先級
審計 Salesforce 訪客帳號配置 – 檢查所有 Salesforce 組織的 Guest 帳號設定，停用不必要的帳號，確認外部存取範圍最小化	ShinyHunters Salesforce 資料竊取（100+ 公司）	緊急
NPM 相依性鎖定檔案審查 – 驗證所有 Node.js 專案的 `package-lock.json` / `yarn.lock` 完整性	NPM 大規模供應鏈感染	緊急
GitHub Actions 流水線完整性 – 審查 CI/CD pipeline，釘選 Action 版本至特定 commit hash	GitHub 惡意倉庫 + 供應鏈攻擊	高
限制 LLM/AI 工具的敏感資料輸入 – 制定 AI 工具使用政策，禁止在 LLM 中輸入機密程式碼、認證憑證、策略文件	惡意 AI 助手擴充功能竊取 LLM 對話	高
審計第三方供應商存取權限 – Ericsson 和 Viking Line 事件均顯示第三方服務供應商為重要攻擊面	Ericsson 資料外洩 + Viking Line 供應商資料外洩	緊急
審查 IT 資產管理平台安全 – GLPI RCE 漏洞凸顯 IT 資產管理平台風險，確認 GLPI 已更新至修補版本	GLPI RCE（3/12 新增）	緊急
審查備份系統安全 – Veeam Backup & Replication 新漏洞增加備份系統被攻擊風險	Veeam 漏洞（3/12 新增）	緊急

通用建議

實施資料分類分級制度，對高敏感度資料加密儲存和傳輸
定期備份關鍵資料，並驗證備份還原程序（特別是勒索軟體防禦）
監控大量資料外傳活動
對檔案傳輸系統啟用傳輸加密和存取日誌

2.5 軟體供應鏈層面

針對本週威脅

控制措施	對應威脅	優先級
NPM 套件完整性檢查 – 鎖定相依性版本，啟用 `npm audit` 自動掃描	NPM 大規模供應鏈感染	緊急
GitHub 專案來源驗證 – 驗證來源真實性，檢查 Star 數、Contributor 歷史、近期 Commit 活動	假 GitHub 存儲庫（OpenClaw → GhostSocks, BoryptGrab 100+ repos）	高
瀏覽器擴充功能 SBOM – 建立企業核准的擴充功能白名單	惡意 AI 瀏覽器擴充功能	高

通用建議

對所有軟體安裝來源進行驗證，避免從非官方管道下載
定期審查 npm/pip/Maven 等套件管理器的相依性安全性
建立軟體供應鏈安全審查流程（參考 NIST SSDF 和聯合 AI/ML 供應鏈安全指導文件）
使用 SCA（Software Composition Analysis）工具持續監控開源元件漏洞

3. 緩解策略

針對尚無修補或需要額外緩解措施的威脅：

3.1 BeyondTrust 勒索軟體利用鏈（CVE-2026-1731）

有效期限：直到 BeyondTrust 發布完整修補並完成部署

重新評估時間：2026-03-15（三天後）或 BeyondTrust 發布修補時（以先到者為準）

問題：BeyondTrust RS/PRA 的 OS 命令注入漏洞正被勒索軟體集團積極利用。由於遠端存取工具在企業環境中通常擁有高度特權，攻擊者利用此漏洞可快速在整個管理範圍內橫向移動和部署勒索軟體。

暫時緩解措施：

立即檢查 BeyondTrust 安全公告，套用所有可用的緩解措施
若無法修補，停止使用受影響的 BeyondTrust RS/PRA 產品
隔離 BeyondTrust 管理伺服器至專用管理 VLAN
封鎖 BeyondTrust 管理伺服器的所有入站連線，僅保留經 VPN 的跳板機存取
啟用增強日誌記錄，將日誌集中至 SIEM
對所有由 BeyondTrust 管理的端點執行勒索軟體感染掃描
準備離線備份並驗證還原程序
通知事件應變團隊進入待命狀態

3.2 Cisco FMC/SCC 管理介面防護

有效期限：至套用修補為止

重新評估日期：2026-03-18

問題：兩個 CVSS 10.0 的 SQL Injection 漏洞影響防火牆集中管理平台，一旦淪陷將導致整個防火牆基礎設施失去防禦能力。

暫時緩解措施：

透過 ACL 限制 FMC/SCC 管理介面僅接受來自指定管理工作站的連線
啟用管理介面的存取日誌並設定即時告警
監控任何異常的 SQL 查詢模式或大量認證嘗試
考慮在管理介面前方部署 WAF 過濾 SQL Injection 攻擊
暫時停用不必要的 API 端點

3.3 FortiGate 持久性存取威脅

有效期限：直到完整鑑識和憑證輪換完成

重新評估時間：2026-03-19（一週後）

問題：攻擊者利用 FortiCloud SSO 繞過漏洞入侵 FortiGate 設備後，可能已建立持久性讀取存取機制，即使設備已修補仍可維持存取。攻擊者目標包括收集 LDAP 連線字串，可能導致 Active Directory 認證資訊外洩。

暫時緩解措施：

套用所有 Fortinet 安全更新
執行完整 FortiGate 設備鑑識：
- 檢查是否存在未授權的管理者帳號
- 審查 VPN 配置是否被篡改
- 驗證設定備份的完整性
輪換所有 LDAP/AD 連線中使用的服務帳號密碼
監控 FortiGate 設備的管理面存取日誌
考慮從已知良好的設定備份重新部署 FortiGate

3.4 即時通訊帳號保護策略

有效期限：持續執行

重新評估日期：2026-04-11

問題：荷蘭 AIVD/MIVD 警告俄羅斯威脅行為者透過社交工程大規模針對全球政府官員、記者、軍事人員的 Signal 和 WhatsApp 帳號。芬蘭亦出現透過語音信箱攔截驗證碼劫持 Telegram 帳號的案例。

暫時緩解措施：

Signal：啟用 Registration Lock（註冊鎖定），定期檢查已連結裝置清單
WhatsApp：啟用兩步驟驗證，檢查 WhatsApp Web 連結工作階段
Telegram：停用語音信箱或設定強密碼，啟用兩步驟驗證
對員工進行社交工程防範教育，強調攻擊者不嘗試破解加密，而是透過社交工程取得帳號存取權
高風險人員（政府官員、記者、軍事人員）應額外加強安全意識

3.5 Kadnap 殭屍網路（ASUS 路由器）

有效期限：至韌體更新或設備更換完成

重新評估日期：2026-03-25

問題：Kadnap 殭屍網路已感染約 14,000 台 ASUS 路由器，使用 P2P Kademlia 協定建立去中心化 C2，形成大規模的攻擊基礎設施。與上週 Operation WrtHug（ASUS 路由器針對性攻擊）形成趨勢關聯。

暫時緩解措施：

盤點所有企業環境中的 ASUS 路由器
更新韌體至最新版本
更換已達 EoL 的路由器型號（特別是 Operation WrtHug 列出的 8 款型號：4G-AC55U、4G-AC860U、DSL-AC68U、GT-AC5300、GT-AX11000、RT-AC1200HP、RT-AC1300GPLUS、RT-AC1300UHP）
變更預設管理密碼，停用遠端管理和 AiCloud
監控路由器異常出站流量（P2P Kademlia 協定通訊特徵）
若懷疑已感染，執行韌體完整重置
參閱 ASUS 產品安全公告

3.6 Microsoft Teams 釣魚 → A0Backdoor

有效期限：持續執行

重新評估日期：2026-04-11

問題：攻擊者透過 Microsoft Teams 釣魚訊息投遞 A0Backdoor 惡意軟體，針對金融和醫療產業。攻擊利用 Teams 外部使用者通訊功能，繞過傳統電子郵件安全閘道器。

暫時緩解措施：

在 Microsoft Teams 管理中心限制外部使用者傳送訊息的能力
啟用 Microsoft Defender for Office 365 的安全連結（Safe Links）與安全附件（Safe Attachments）
對使用者進行 Teams 釣魚意識教育
監控 Teams 稽核日誌中的異常外部通訊模式
金融業與醫療業組織應特別加強監控

3.7 伊朗駭客主義 DDoS 與網路攻擊升級

有效期限：直到中東地緣政治局勢穩定

重新評估時間：每週評估（至少至 2026-04-02）

問題：伊朗關聯的駭客主義組織對 16 個國家的 110 個組織發動 149 次 DDoS 攻擊，目標涵蓋銀行、機場、軟體公司等。同時 Seedworm/MuddyWater 持續針對美國關鍵基礎設施進行 APT 活動，IP 攝影機被利用於物理戰場的戰損評估。CISA 新增 Hikvision CVE-2017-7921 至 KEV 與此態勢直接相關。

暫時緩解措施：

DDoS 防護：確認 DDoS 緩解服務已啟用，提升防護等級
Seedworm 偵測：監控 Deno runtime 異常執行、Seedworm C2 IOC
IP 攝影機強化：更改預設密碼（特別是 Hikvision）、更新韌體、移至獨立 VLAN
提高 SOC 警戒等級：建立中東地緣政治相關威脅的偵測規則
若組織業務涉及以色列、科威特、約旦、巴林、阿聯酋、賽普勒斯，應提升防護等級

3.8 NPM 供應鏈感染（持續中）

有效期限：直到受感染套件全部清除並發布安全版本

重新評估時間：2026-03-19（一週後）

問題：NPM 生態系統大規模感染持續中。與先前的 event-stream（2018）和 ua-parser-js（2021）事件相比，本次感染規模更大。

暫時緩解措施：

立即執行 npm audit 檢查專案相依性
鎖定所有相依性版本，使用 package-lock.json 或 yarn.lock
啟用 npm 的 --ignore-scripts 選項限制安裝後腳本執行
部署 SCA 工具（如 Snyk、Dependabot）持續監控
釘選 GitHub Actions 至特定 commit hash

Qdrant 跨層關聯：語意查詢「supply chain attack npm package compromise」確認 NPM 供應鏈感染為 2026 年持續加劇的威脅，歷史關聯包括 SK-CERT NPM 感染警告、2026 年 1 月 PackageGate 報告、2026 年 2 月 OpenClaw 供應鏈攻擊。

3.9 惡意 AI 瀏覽器擴充功能（持續性威脅）

有效期限：持續性措施，應納入常規安全政策

重新評估時間：2026-03-31（季度安全政策審查）

問題：惡意 AI 助手瀏覽器擴充功能已影響超過 20,000 個企業租戶，可竊取 LLM 聊天記錄中的敏感資訊。

暫時緩解措施：

在企業環境中透過 Chrome Enterprise 或 Edge Group Policy 建立擴充功能白名單
封鎖未在白名單中的擴充功能安裝
對已安裝的擴充功能執行安全審計
教育使用者不在 AI 工具中輸入敏感資訊
考慮部署瀏覽器隔離解決方案用於存取 AI 工具

3.10 Salesforce 環境安全強化

有效期限：至完成安全審查

重新評估日期：2026-03-25

問題：ShinyHunters 宣稱透過 Salesforce Guest 帳號竊取約 100 家企業資料，涵蓋 Snowflake、Okta、LastPass、Sony、AMD 等知名企業。

暫時緩解措施：

立即審查並停用所有不必要的 Guest 帳號
檢查 Salesforce 共享設定（Sharing Settings），確認外部存取範圍最小化
啟用 Salesforce Shield 或 Event Monitoring（若可用）
審查所有第三方 API 整合的權限範圍
對管理員帳號強制啟用 MFA
啟用 Salesforce 登入歷史監控

3.11 Handala/Void Manticore 破壞性攻擊升級

有效期限：持續執行，直到伊朗-美國緊張局勢緩和

重新評估時間：每週評估（至少至 2026-04-15）

問題：Handala/Void Manticore（伊朗關聯破壞性攻擊組織）宣布將 7 家美國科技巨頭列為「合法目標」，標誌著從傳統 DDoS/資料竊取升級至破壞性 wiper 攻擊。此組織過去曾對以色列目標部署 wiper 惡意軟體，現擴大攻擊範圍至美國科技產業。Qdrant 語意查詢「defense mitigation remediation strategy」關聯到 Google Cloud 2026 年 3 月發布的「Proactive Preparation and Hardening Against Destructive Attacks: 2026 Edition」指導文件。

暫時緩解措施：

部署 MITRE T1485（資料銷毀）偵測規則 – 監控異常磁碟覆寫操作、MBR/VBR 修改、大量檔案刪除
加強離線備份策略 – 確保關鍵系統有可靠的離線備份，備份系統與生產環境實體隔離
部署防 wiper 端點保護 – 在 EDR 中啟用對磁碟直接存取（raw disk access）的偵測和阻擋
審查事件應變計畫 – 確認災難復原程序涵蓋 wiper 攻擊情境，包括完整系統重建能力
監控 Void Manticore IOC – 關注安全廠商發布的最新 IOC 和 YARA 規則
參閱 Google Cloud – Proactive Preparation and Hardening Against Destructive Attacks

3.12 供應鏈安全強化（Viking Line 事件）

有效期限：至完成供應商安全審查

重新評估日期：2026-03-27

問題：Viking Line 供應商資料外洩事件再次凸顯第三方供應商安全管理的重要性。結合本週 Ericsson 第三方供應商外洩和 ShinyHunters Salesforce 事件，供應鏈攻擊面持續擴大。Qdrant 語意查詢「supply chain third party breach」確認供應鏈外洩為 2023-2026 年持續升溫的威脅，歷史關聯包括 2023 年工業系統供應商外洩、3CX 供應鏈攻擊、dependency confusion 攻擊等。

暫時緩解措施：

審查所有第三方供應商的資安合約條款 – 確認資料保護義務、事件通報時限、審計權
盤點供應商存取權限 – 對所有第三方供應商持有的存取權限進行最小化審查
要求供應商提供安全認證 – SOC 2 Type II、ISO 27001 或同等認證
建立供應商事件通報機制 – 確保供應商有義務在發現資安事件後及時通報
監控供應商網路連線 – 對供應商 VPN 和 API 連線建立異常行為偵測

3.13 n8n 自動化平台安全強化

有效期限：至完成修補和憑證輪換

重新評估日期：2026-03-20

問題：n8n 工作流程自動化平台 RCE 漏洞已被實際利用並列入 CISA KEV。自動化平台通常儲存大量 API 金鑰和認證憑證，攻擊者可利用這些憑證存取所有連接的服務。

暫時緩解措施：

立即升級 n8n 至最新修補版本
若無法立即升級，暫時停用 n8n 的外部存取
輪換所有儲存在 n8n 中的認證憑證和 API 金鑰
審查 n8n 工作流程執行日誌，搜尋異常執行
隔離 n8n 至專用管理網段

4. 注意事項

4.1 適用範圍與限制

優先修補清單適用於所有使用受影響產品的組織。聯邦機構另需遵循 BOD 22-01 和 CISA 緊急指令的強制期限。
安全控制建議為通用框架，各組織應依據自身暴露面、業務性質和風險偏好調整實施優先級。
BeyondTrust 勒索軟體利用主要影響使用 BeyondTrust RS/PRA 進行遠端管理的組織，但勒索軟體攻擊者通常會利用初始入侵擴展至整個網路，因此所有與受影響組織有網路連線的合作夥伴也應提高警覺。
伊朗相關威脅的緩解措施主要針對：在中東地區有業務的組織、與以色列有業務關聯的組織、美國政府機構及相關承包商、國防/航太產業供應鏈、金融和交通（機場）基礎設施。
FortiGate 持久性存取影響所有使用 FortiGate 設備的組織，即使已套用修補也需執行鑑識確認。
ICS/OT 環境的修補建議需要特別謹慎，必須遵循工業控制系統的修補管理程序。
ShinyHunters 資訊可信度：受害企業名單為 ShinyHunters 自行宣稱，尚未經第三方獨立驗證，但該組織過去有可信的大規模資料竊取紀錄。
NPM 供應鏈安全主要影響使用 JavaScript/Node.js 的開發團隊和 CI/CD pipeline。
行動裝置管理：Android 修補推送速度取決於裝置製造商與電信商，非 Google Pixel 裝置可能延遲數週。

4.2 修補副作用與測試建議

修補項目	潛在副作用	建議測試步驟
BeyondTrust RS/PRA 緩解措施（CVE-2026-1731）	遠端存取功能可能受限	1. 確認緩解措施影響範圍 2. 通知支援團隊 3. 準備替代遠端存取方案 4. 非生產環境先行測試
SolarWinds Web Help Desk 升級（CVE-2025-26399）	服務暫時中斷、自訂設定可能需調整	1. 備份資料庫和配置 2. 測試環境驗證升級 3. 確認工單資料完整性 4. 維護窗口執行
VMware Workspace ONE Access（CVE-2021-22054）	SSO 認證服務可能暫時中斷	1. 確認備援認證機制可用 2. 非尖峰時段執行 3. 驗證 SSO 流程
Cisco FMC/SCC（CVE-2026-20079/20131）	防火牆管理功能暫時中斷	1. 預先設定 VPN 存取路徑 2. 在維護窗口執行 3. 驗證防火牆規則完整
Fortinet FortiGate 更新	VPN 連線可能暫時中斷	1. 確認 HA 配對正常 2. 備份設定 3. 維護窗口執行 4. 驗證 VPN 和安全政策
Android 2026-03 安全更新	部分 OEM 裝置相容性問題	1. 少量測試裝置先行部署 2. 驗證核心應用程式 3. 確認後全面推送
Apple 裝置更新（3 個 KEV）	MDM profile 需重新驗證	1. 測試裝置群組先更新 2. 驗證 MDM 和企業 App 3. 全面推送
pac4j-jwt 升級（CVE-2026-29000）	認證邏輯可能需調整	1. 開發環境完整測試 JWT 流程 2. 驗證既有 token 相容性 3. 確認無認證中斷後部署
ICS/OT 修補（Rockwell、Hitachi Energy、Delta、Mitsubishi）	高風險 – 可能影響生產系統	1. 必須在隔離測試環境完整驗證 2. 確認備援系統可用 3. 停機維護窗口 4. 回退方案就緒
n8n 自動化平台升級	工作流程暫時中斷、需重新驗證憑證	1. 備份 n8n 設定和工作流程 2. 測試環境驗證升級 3. 確認所有工作流程正常運作 4. 輪換儲存的認證憑證
GitLab 安全更新（3/12 新增）	CI/CD 管線可能需要重新觸發	1. 非尖峰時段執行 2. 確認 runner 相容性 3. 驗證管線執行正常
Veeam Backup & Replication 更新（3/12 新增）	高風險 – 備份排程可能中斷	1. 確認近期備份完整 2. 測試環境先行驗證 3. 維護窗口執行 4. 驗證備份還原功能
GLPI 更新（3/12 新增）	IT 資產管理服務暫時中斷	1. 備份資料庫 2. 確認自訂外掛相容性 3. 驗證資產查詢功能

4.3 指標與偵測資源

本週可使用的威脅偵測資源：

資源	用途	連結
Feodo Tracker C2 IP 清單	封鎖勒索軟體 C2 基礎設施	Feodo Tracker
BeyondTrust 安全公告	CVE-2026-1731 修補指引	BeyondTrust Trust Center
SolarWinds 安全公告	CVE-2025-26399 修補指引	SolarWinds Trust Center
Fortinet PSIRT	FortiCloud SSO 繞過修補	Fortinet PSIRT
CERT.at FortiCloud 分析	FortiGate 持久性存取 IOC	CERT.at 分析
CISA KEV 目錄	所有已知遭利用漏洞	CISA KEV
CISA ICS Advisories	ICS/OT 漏洞修補指引	CISA ICS
CISA SD-WAN 獵捕指南	Cisco SD-WAN 威脅獵捕	CISA ED 26-03 補充指引
abuse.ch URLhaus	2,159 新惡意 URL	URLhaus
abuse.ch MalwareBazaar	Mozi、info stealer IOC	MalwareBazaar
JPCERT React2Shell 報告	多威脅行為者 TTPs	JPCERT/CC
AIVD/MIVD 俄羅斯通訊劫持警告	Signal/WhatsApp 帳號安全	報導
Google Cloud 破壞性攻擊防禦指南	Handala/Void Manticore wiper 防禦	Google Cloud
n8n 官方安全公告	n8n RCE 修補指引	n8n
SANS ISC Zombie ZIP 分析	CVE-2026-0866 技術細節	SANS ISC

4.4 全球威脅態勢升級提醒

本週多項指標反映全球網路威脅態勢正在升級：

NCSC-FI 確認 2026 年 2 月全球網路攻擊量達歷史新高 – 組織應提升整體安全警戒等級
Google 報告企業零日利用 2025 年達歷史新高 – 邊緣裝置和安全設備持續為國家級 APT 的主要目標
拉丁美洲網路攻擊率為美國的 2 倍 – 在拉美有業務的組織需特別加強防護
AI 被武器化 – 威脅行為者正利用 AI 提升攻擊效率，包括社交工程、惡意軟體生成、偵察自動化
四大國家級/準國家級威脅行為者同步活動 – APT28（俄羅斯）、Camaro Dragon（中國）、Seedworm（伊朗）、Handala/Void Manticore（伊朗，破壞性攻擊）同時啟動攻擊行動

建議：

審查事件應變計畫的完整性和時效性
確認備份和災難復原程序可正常運作
考慮提升 SOC 監控覆蓋率（特別是非工作時間）
評估是否需要額外的威脅情報訂閱

4.5 遠端存取工具安全特別提醒

本週 BeyondTrust CVE-2026-1731 遭勒索軟體利用凸顯遠端存取工具的高風險性。組織應全面檢視遠端存取安全態勢：

盤點所有遠端存取工具：包括 BeyondTrust、TeamViewer、AnyDesk、ConnectWise、GoToResolve 等
確認 MFA 已啟用：所有遠端存取工具必須強制啟用 MFA
限制存取來源：僅允許來自已知 IP 範圍的連線
監控使用情況：建立遠端存取活動的基線，偵測異常使用模式
最低權限原則：確認遠端存取帳號僅擁有執行工作所需的最低權限
即時修補：遠端存取工具的安全更新應視為最高優先級

4.6 APT 活動態勢與防禦優先級

本週觀察到四大國家級/準國家級威脅行為者同步活動，建議依組織屬性調整防禦優先級：

威脅行為者	國家歸屬	本週活動	高風險目標產業
Sednit / APT28	俄羅斯	BeardShell + Covenant 攻擊烏克蘭軍方；Signal/WhatsApp 帳號劫持	政府、軍事、媒體
Camaro Dragon	中國	PlugX + Cobalt Strike 攻擊卡達，24 小時內利用中東衝突升級	政府、戰略產業
Seedworm / MuddyWater	伊朗	Dindoor 後門入侵美國關鍵基礎設施；149 次 DDoS 攻擊 16 國	金融、航空、軟體
Handala / Void Manticore	伊朗	破壞性 wiper 攻擊升級；宣布 7 家美國科技巨頭為「合法目標」	科技、IT 基礎設施

4.7 供應鏈安全持續提醒

本週觀察到的供應鏈攻擊向量形成多向量同步攻擊態勢：

攻擊向量	事件	影響規模
套件管理器感染	NPM 大規模供應鏈感染	持續中
偽造開源專案	假 GitHub 存儲庫（OpenClaw → GhostSocks, BoryptGrab 100+ repos）	大規模散布
瀏覽器擴充功能	惡意 AI 助手擴充功能	20,000+ 企業租戶
社交工程	假求職申請 → EDR-Killer + 資料竊取	定向攻擊
雲端平台	ShinyHunters 利用 Salesforce Guest 帳號	100+ 企業
第三方供應商	Viking Line 供應商資料外洩 + Ericsson 服務供應商入侵	供應鏈上下游企業
即時通訊	俄羅斯 Signal/WhatsApp 帳號劫持	全球政府官員
自動化平台	n8n RCE（CISA KEV）	使用 n8n 的 DevOps 團隊

4.8 本週威脅情報數據

本週新增威脅指標統計（更新至 2026-03-13）：

類型	數量
W11 Critical/High 漏洞	73 筆（3/12-3/13 新增 28 筆）
累計 Critical/High	8,246
活躍利用	59 筆
PoC 可用	2,347 筆
新惡意 URL（URLhaus）	2,159+
活躍 Mozi 殭屍網路下載 URL	持續活躍
Info stealer C2 伺服器	多個
Feodo Tracker C2 指標	持續更新

建議將上述威脅指標匯入組織的 SIEM/TIP 平台，加強即時偵測。

5. 優先行動時間表

時間框架	行動項目	對應威脅
立即（24 小時內）	套用 BeyondTrust 緩解措施或停止使用	CVE-2026-1731（勒索軟體）
立即（24 小時內）	修補 n8n 工作流程自動化平台	n8n RCE（CISA KEV 新增）
立即（截止已過）	升級 SolarWinds Web Help Desk 至 12.8.7 Hotfix 1+	CVE-2025-26399（CISA KEV 截止 2026-03-12 已過）
立即（24 小時內）	修補 VMware Workspace ONE Access	CVE-2021-22054
立即（24 小時內）	套用 Cisco FMC/SCC 修補	CVE-2026-20079/20131（CVSS 10.0）
立即（24 小時內）	更新所有 Apple 裝置	CISA KEV + AV26-233
立即（24 小時內）	套用 Fortinet 多產品安全更新	Fortinet 多漏洞（3/12 新增）
立即（24 小時內）	更新 Chrome 和 Firefox	多漏洞（3/12 新增）
立即（24 小時內）	封鎖 Feodo Tracker C2 IP	勒索軟體/C2 基礎設施
立即（24 小時內）	推送 Android 2026-03 安全更新	CVE-2026-21385
緊急（72 小時內）	部署 Handala/Void Manticore 破壞性攻擊偵測規則	伊朗 wiper 攻擊升級（MITRE T1485）
緊急（72 小時內）	套用 GitLab、Cisco IOS XR、Erlang/OTP、GLPI、Palo Alto、Splunk、Veeam、F5OS 安全更新	多產品漏洞群（3/12-3/13 新增）
緊急（72 小時內）	限制 Microsoft Teams 外部存取	Teams 釣魚 + React 釣魚攻擊
緊急（72 小時內）	審查 FortiGate 設備配置、輪換 LDAP 憑證	FortiCloud SSO 繞過
緊急（72 小時內）	審計 Salesforce 帳號配置、停用 Guest 帳號	ShinyHunters 資料竊取
緊急（72 小時內）	檢查/更新 ASUS 路由器韌體	Kadnap + Operation Lightning/SocksEscort
緊急（72 小時內）	審查供應商安全管理	Viking Line 供應鏈外洩
緊急（72 小時內）	審計瀏覽器擴充功能	惡意 AI 助手擴充功能
緊急（72 小時內）	執行 NPM 供應鏈安全審計	NPM 大規模感染
緊急（72 小時內）	升級 pac4j-jwt（若使用）	CVE-2026-29000（CVSS 10.0）
本週內	套用 VMware Aria Operations 修補	CVE-2026-22719
本週內	更新 Zoom 至最新版本	AV26-231 多漏洞
本週內	套用 HPE 安全更新	AV26-234 多漏洞
本週內	部署 DDoS 緩解措施	伊朗駭客主義 DDoS
本週內	盤點遠端存取工具並強化安全配置	BeyondTrust 勒索軟體利用趨勢
本週內	部署 Seedworm/Dindoor 偵測規則	伊朗 APT 威脅
本週內	審計 GitHub 專案相依性與開發者工作站安全	BoryptGrab 竊密程式
本週內	強化 IP 攝影機和 IoT 安全	伊朗攝影機攻擊 + Hikvision KEV
本週內	套用 ICS/OT 修補（測試後）	Delta、Mitsubishi、Hitachi Energy、Rockwell
2026-03-24 前	完成所有 CISA KEV 2026-03-03 項目修補	BOD 22-01
持續	監控 Cisco PSIRT 公告（SD-WAN 持續追蹤）	CISA ED 26-03
持續	監控 Feodo Tracker、abuse.ch 更新 C2 指標	勒索軟體/C2
持續	監控中東地緣政治態勢及相關威脅情報	伊朗衝突升級
持續	追蹤 FortiGate 持久性存取情報更新	FortiCloud SSO 繞過

6. Qdrant 跨層關聯分析摘要

本報告產出過程中執行了 9 次 Qdrant 語意查詢，用於跨 Layer 關聯分析：

「active exploitation ransomware critical vulnerability」 – 確認 BeyondTrust CVE-2026-1731 與近期勒索軟體攻擊活動高度關聯。歷史關聯包括 LockBit 5.0 跨平台勒索軟體（2025-10-28）、社交工程利用雲端服務和短期證書的新型攻擊模式（2025-10-29）。勒索軟體利用遠端存取工具的趨勢持續上升。
「APT campaigns state-sponsored espionage」 – 關聯到三個活躍的 APT 活動：APT28（俄羅斯）持續針對烏克蘭利用 BeardShell/Covenant 工具、Camaro Dragon/CL-UNK-1068（中國關聯）利用 PlugX 針對卡達、Seedworm/MuddyWater（伊朗）持續針對美國關鍵基礎設施。多國國家級 APT 同時活躍反映地緣政治驅動的網路威脅正在加劇。
「phishing social engineering credential theft」 – 關聯到多起社交工程攻擊：Microsoft Teams 釣魚（A0Backdoor）、假 LastPass 支援（密碼庫竊取）、芬蘭稅務機構釣魚、Signal/WhatsApp 釣魚針對政府官員。社交工程攻擊正從傳統電子郵件擴展至即時通訊平台和協作工具。
「supply chain attack npm package compromise software ecosystem」 – 確認 NPM 供應鏈感染為持續加劇的威脅。歷史關聯包括 SK-CERT NPM 感染警告、2026 年 1 月 PackageGate 報告、2026 年 2 月 OpenClaw 供應鏈攻擊。多個供應鏈向量同時被攻擊。
「defense mitigation patch remediation zero-day」 – 關聯到各國 CERT 的修補指引和防禦最佳實踐。確認核心防禦原則（修補、MFA、網路分段、端點保護、備份）長期有效，但攻擊面的擴大需要持續更新防禦策略。
「IoC C2 infrastructure botnet router」 – 關聯到 Kadnap 殭屍網路（14,000 台 ASUS 路由器）、Mozi 殭屍網路活躍下載 URL、Operation WrtHug（ASUS 路由器針對性攻擊，2025-11-25）、Phantom Stealer C2 伺服器。路由器和邊緣裝置持續為殭屍網路基礎設施的主要目標。
「patch priority critical vulnerability March 2026」（2026-03-13 新增）– 確認 2026 年 3 月為漏洞高峰月份，Microsoft Patch Tuesday 修補 93 個漏洞含 8 個 Critical、CERT-FR 同步發布 Cisco/Microsoft/Trend Micro 多產品漏洞警告。n8n、GLPI、Erlang/OTP 等非傳統目標亦出現 Critical 漏洞。
「defense mitigation remediation strategy」（2026-03-13 新增）– 關聯到 Google Cloud 2026 年 3 月發布的「Proactive Preparation and Hardening Against Destructive Attacks: 2026 Edition」指導文件，NCSC UK「forgivable vs unforgivable vulnerabilities」評估方法，及加拿大 CCCS「Modern Defensible Architecture」聯合指導。破壞性攻擊防禦需要結合偵測（T1485）、備份驗證及災難復原演練。
「supply chain third party breach」（2026-03-13 新增）– 關聯到 Viking Line 供應商外洩、Ericsson 第三方服務供應商入侵（2026-03-10）、2023 年工業系統供應商外洩影響下游客戶、3CX 供應鏈攻擊（2023）、dependency confusion 攻擊。第三方供應商安全管理為 2023-2026 年持續升溫的攻擊面。

免責聲明

本防禦建議基於國際 CERT/安全機構公開資料彙整，請注意：

非保證：實施建議不保證完全防禦所有威脅
環境差異：建議為通用性質，可能不適用於所有環境
請先測試：在正式環境部署前，請先於測試環境驗證
非法律建議：本報告不構成法律或合規建議
資料限制：基於公開資料，不涵蓋非公開威脅情報
翻譯風險：部分非英文來源經 AI 翻譯，修補建議請以官方原文為準
ICS/OT 修補風險：工業控制系統修補可能影響生產運行。在套用 ICS/OT 修補前，必須在隔離的測試環境完整驗證，並準備回退方案
漏洞資訊時效性：本報告反映截至 2026-03-13 的已公開資訊。部分漏洞的具體技術細節可能在報告產出後才獲得完整揭露
威脅行為者歸因：APT 歸因（APT28/Fancy Bear、Seedworm/MuddyWater、Camaro Dragon 等）基於各安全廠商的評估，歸因結論可能隨後續調查而調整
勒索軟體態勢快速變化：勒索軟體利用鏈可能在短時間內切換至新的入口點，建議持續關注威脅情報更新
ShinyHunters 聲明未經獨立驗證：ShinyHunters 宣稱的受害企業名單為其自行公布，建議各組織獨立評估自身曝露風險

重大安全決策請諮詢專業資安顧問，並結合組織實際環境評估。

自我審核 Checklist

包含完整免責聲明（11 項，含固定模板 6 項及補充 5 項）
修補建議全部來自官方來源（CISA、BeyondTrust、SolarWinds、VMware/Broadcom、Cisco、Fortinet、HPE/Aruba、Microsoft、Apple、Rockwell、n8n、GitLab、Mozilla、Palo Alto、Splunk、Veeam、F5、Erlang/OTP、GLPI、各國 CERT）
清楚區分「通用建議」與「針對本週威脅」（每個安全控制層面均有標註）
緩解策略標註有效期限和重新評估時間（13 項緩解策略均已標註）
無「保證安全」措辭（免責聲明第 1 項明確說明）
標註適用範圍與限制（注意事項第 4.1 節）
CVE 編號正確（CVE-2026-1731、CVE-2025-26399、CVE-2021-22054、CVE-2026-20079、CVE-2026-20131、CVE-2026-21385、CVE-2026-22719、CVE-2026-29000、CVE-2025-59718、CVE-2025-59597、CVE-2026-20045、CVE-2026-20127、CVE-2026-20700、CVE-2017-7921、CVE-2021-22681、CVE-2021-30952、CVE-2023-41974、CVE-2023-43000、CVE-2026-3094、CVE-2026-1874/1875/1876、CVE-2026-0866）
格式適合 IT/資安管理人員快速閱讀（分級排序、表格、行動時間表）
無 [REVIEW_NEEDED] 標記

附錄：本週重要參考連結

漏洞公告

攻擊事件

CISA 持續追蹤

本報告由資訊安全產業智慧分析系統自動產出，資料來源涵蓋 CISA、NCSC-FI、CERT-FR、CERT-SE、SK-CERT、CERT-RO、CERT.hr、CERT.at、JPCERT/CC、CCCS、NSM-NCSC、SANS ISC、abuse.ch 等國際安全機構與開源情報饋送。Qdrant 語意查詢用於跨 Layer 關聯分析，共執行 9 次查詢。最後更新：2026-03-13 | 下次更新：2026-03-19（第 12 週）