【資安日報】5月20日,CISA驚傳暴露AWS GovCloud金鑰與內部系統憑證
iThome 每日資安日報彙整,2026年5月20日。
重大事件
CISA GitHub儲存庫洩露機密
- GitGuardian 發現名為「Private-CISA」的公開GitHub儲存庫含有:
- AWS GovCloud高權限帳號金鑰
- CISA/DHS內部憑證、雲端金鑰、token、明文密碼、事件記錄
- 疑為承包商維護;可能是「近年來美國政府最嚴重的資料外洩事故」
- CISA已知悉並著手調查
GitHub內部儲存庫遭未授權存取
- 官方確認調查中,尚未公布入侵途徑、時間、受影響範圍
- 稱「無證據顯示客戶資料受影響」
威脅與攻擊
| 事件 | 說明 |
|---|
| Fox Tempest MSaaS平臺瓦解 | 微軟擊潰惡意軟體簽章服務平臺,Rhysida、INC、Qilin、Akira等勒索軟體組織曾使用 |
| Operation Ramz | Interpol於中東及北非13國執法,逮捕201人、查扣53臺伺服器、確認382名涉嫌者、受害者3,867人(2025/10~2026/2) |
漏洞與修補
| 產品 | CVE | CVSS | 說明 |
|---|
| Firefox 151 | CVE-2026-8973、CVE-2026-8975 | 9.8 | 記憶體安全漏洞,共修補31個漏洞 |
| Wazuh | CVE-2026-30893 | 9.9 | RCE漏洞,仍有3,416臺未修補(臺灣19臺),需更新至4.14.4 |
| Ivanti EPM | CVE-2026-8111(SQL注入) | 8.8 | 通過驗證即可RCE |
| PostgreSQL | CVE-2026-6637等4個 | 8.8 | 修補11漏洞+60項錯誤,涵蓋14.x~18.x |
| VMware Fusion | CVE-2026-41702(TOCTOU) | 7.8 | 權限提升至root,25H2受影響,26H1修補 |
| Microsoft Edge | — | — | 修改密碼管理機制,不再於啟動時以明文載入所有密碼 |
趨勢觀察
- CVE揭露量攀升:Chrome CVE年增 +563.2%,與AI輔助漏洞發掘工具成熟相關
- AI資安威脅:臺灣資安署強調從「預防被打」轉向「迅速復原」
- Pwn2Own Berlin 2026:史上首次因報名額滿提早截止(5/7),部分未獲參賽資格研究員報復性公開漏洞
產業動態
- IBM:擴大AI資安布局(Concert平臺、IBM Autonomous Security),參與Anthropic Project Glasswing
- Dell:發表PowerProtect One資料保護平臺,新增Cyber Detect威脅偵測
- NVMe:啟動後量子密碼學(PQC)規格更新
- Azure Linux 4.0:微軟預覽雲端伺服器Linux發行版
- Redis Iris:推出AI代理情境引擎
- 遠傳 × Amazon Leo:引進低軌衛星網路,鎖定政府/企業客戶
- Meta MBBRC:首度於臺灣舉辦,最高獎金30萬美元,鎖定AI代理安全
衍生頁面