【資安日報】5月20日,CISA驚傳暴露AWS GovCloud金鑰與內部系統憑證

iThome 每日資安日報彙整,2026年5月20日。

重大事件

CISA GitHub儲存庫洩露機密

  • GitGuardian 發現名為「Private-CISA」的公開GitHub儲存庫含有:
    • AWS GovCloud高權限帳號金鑰
    • CISA/DHS內部憑證、雲端金鑰、token、明文密碼、事件記錄
  • 疑為承包商維護;可能是「近年來美國政府最嚴重的資料外洩事故」
  • CISA已知悉並著手調查

GitHub內部儲存庫遭未授權存取

  • 官方確認調查中,尚未公布入侵途徑、時間、受影響範圍
  • 稱「無證據顯示客戶資料受影響」

威脅與攻擊

事件說明
Fox Tempest MSaaS平臺瓦解微軟擊潰惡意軟體簽章服務平臺,Rhysida、INC、Qilin、Akira等勒索軟體組織曾使用
Operation RamzInterpol於中東及北非13國執法,逮捕201人、查扣53臺伺服器、確認382名涉嫌者、受害者3,867人(2025/10~2026/2)

漏洞與修補

產品CVECVSS說明
Firefox 151CVE-2026-8973、CVE-2026-89759.8記憶體安全漏洞,共修補31個漏洞
WazuhCVE-2026-308939.9RCE漏洞,仍有3,416臺未修補(臺灣19臺),需更新至4.14.4
Ivanti EPMCVE-2026-8111(SQL注入)8.8通過驗證即可RCE
PostgreSQLCVE-2026-6637等4個8.8修補11漏洞+60項錯誤,涵蓋14.x~18.x
VMware FusionCVE-2026-41702(TOCTOU)7.8權限提升至root,25H2受影響,26H1修補
Microsoft Edge修改密碼管理機制,不再於啟動時以明文載入所有密碼

趨勢觀察

  • CVE揭露量攀升:Chrome CVE年增 +563.2%,與AI輔助漏洞發掘工具成熟相關
  • AI資安威脅:臺灣資安署強調從「預防被打」轉向「迅速復原」
  • Pwn2Own Berlin 2026:史上首次因報名額滿提早截止(5/7),部分未獲參賽資格研究員報復性公開漏洞

產業動態

  • IBM:擴大AI資安布局(Concert平臺、IBM Autonomous Security),參與Anthropic Project Glasswing
  • Dell:發表PowerProtect One資料保護平臺,新增Cyber Detect威脅偵測
  • NVMe:啟動後量子密碼學(PQC)規格更新
  • Azure Linux 4.0:微軟預覽雲端伺服器Linux發行版
  • Redis Iris:推出AI代理情境引擎
  • 遠傳 × Amazon Leo:引進低軌衛星網路,鎖定政府/企業客戶
  • Meta MBBRC:首度於臺灣舉辦,最高獎金30萬美元,鎖定AI代理安全

衍生頁面