| NIST | CISA | NIST IR 8587 | 身分識別與存取管理 | IAM | 身分權杖 | 身分聲明防護 | 憑證安全 | 雲端安全 | 雲端服務 | CSP | 設計即安全 | Secure by Design

白宮推動雲端身分安全強化,NIST與CISA發布身分權杖防護指引草案

在美國白宮要求強化雲端身分識別與存取管理(IAM)安全的背景下,NIST與CISA發布IR 8587草案,提出身分權杖與身分聲明防護實作建議,協助聯邦機關與雲端服務供應商強化IAM治理

2026-01-20

| 資安 | ICS | 工控系統 | OT安全 | 漏洞修補 | 工業軟體 | Aveva | Honeywell | CISA | 西門子 | 施耐德電機 | Schneider Electric | 菲尼克斯電氣 | Phoenix Contact

西門子、施耐德、菲尼克斯電氣等工控大廠修補高風險漏洞,工業邊緣與製程系統受影響

西門子、施耐德電機、Aveva與菲尼克斯電氣等工控系統大廠,近期陸續針對旗下ICS產品發布多則安全修補公告,提醒用戶儘速評估並部署更新,以降低工業邊緣與製程系統的曝險風險

2026-01-19

| CISA | CVE-2009-0556 | PowerPoint | RCE漏洞 | CVE-2025-37164 | HPEOneView

CISA警告15年前的PowerPoint舊漏洞、HPE近期修補的OneView滿分漏洞已遭濫用

美國網路安全暨基礎設施安全管理署(CISA)將微軟2009年修補的PowerPoint漏洞,以及HPE去年12月修補的基礎架構管理軟體OneView漏洞,列入已知濫用名單

2026-01-09

| CISA | Whill | 電動輪椅 | 藍牙漏洞 | CVE-2025-14346

CISA針對Whill電動輪椅重大漏洞提出警告,攻擊者恐透過藍牙裝置接管

CISA警告Whill電動輪椅Model C2與Model F存在藍牙弱點,達CVSS 9.8,攻擊者在藍牙有效範圍內可能未經授權接管裝置,廠商已於2025年12月29日發布緩解措施

2026-01-06

| CISA | KEV | MongoDB | MongoBleed | CVE-2025-14847

MongoBleed漏洞已遭實際濫用,CISA要求聯邦民事行政部門機關三周內修補

CISA將MongoDB漏洞CVE-2025-14847納入KEV,表示已遭實際濫用,要求聯邦民事行政部門機關2026年1月19日前更新,以免未驗證觸發記憶體資訊洩漏

2025-12-31

| CVE-2025-59374 | CISA | Asus Live Update

CISA警告華碩更新工具舊漏洞遭到攻擊

CISA將影響Asus Live Update工具的資安漏洞CVE-2025-59374,加入已知遭濫用漏洞目錄,警告聯邦政府機構強化安全防護

2025-12-19

| 工控系統 | ICS | oT | 安全更新 | 西門子 | Siemens | 洛克威爾自動化 | Rockwell Automation | 施耐德電機 | Schneider Electric | 菲尼克斯電氣 | Phoenix Contact | CISA

西門子、洛克威爾、施耐德等4家業者12月修補ICS多項重大及高風險漏洞

在12月9日,西門子、洛克威爾自動化以及施耐德電機,皆各自針對旗下產品發布一系列安全修補,提醒用戶部署更新與防護措施,美國CISA也在同一天,發布3則與工控系統(ICS)設備有關的漏洞修補資訊

2025-12-15

| CISA | NSA | Brickstorm | VMware | 中國駭客 | Warp Panda | Ivanti Connect Secure | CVE-2023-46805 | CVE-2024-21887 | CVE-2023-46747 | CVE-2021-22005 | CVE-2023-34048 | CVE-2024-38812 | DCERPC

中國駭客利用Brickstorm對VMware虛擬化平臺下手,從事網路間諜活動

美國與加拿大針對中國駭客利用後門程式Brickstorm從事網路間諜活動提出警告,指出這些駭客將其用於攻擊VMware虛擬化平臺,複製虛擬機器(VM)的快照,然後從中挖掘憑證資料,以便從事後續活動

2025-12-05

| CISA | 勒索軟體 | Akira | Nutanix AHV | RMM | Veeam | CLFS | MobaXterm

勒索軟體Akira將加密資料的範圍延伸到Nutanix虛擬機器

本週美國網路安全暨基礎設施安全局(CISA)對於勒索軟體Akira的威脅態勢提出最新說明,其中最引起外界關注的地方在於,這些駭客已開始加密Nutanix虛擬化平臺AHV的虛擬機器(VM),這也是國家級資安機構首度揭露勒索軟體將魔掌伸向Nutanix虛擬化環境的實例

2025-11-14

| Oracle | SSRF | CISA | KEV | CVE-2025-61884 | Oracle E-Business Suite

Oracle公布的EBS漏洞CVE-2025-61884,CISA證實已被用於攻擊行動

針對Oracle修補E-Business Suite(EBS)的資安漏洞CVE-2025-61884,本週美國網路安全暨基礎設施安全局(CISA)將其列入已遭到利用的漏洞列表(KEV),證實被用於實際攻擊

2025-10-22

| Sudo | Linux | MacOS | CVE-2025-32463 | KEV | CISA

今年6月修補的Sudo重大漏洞,美國指出已被用於實際攻擊

3個月前Sudo團隊修補的重大層級漏洞CVE-2025-32463,本週美國網路安全暨基礎設施安全局(CISA)表示已出現遭到利用的跡象,要求聯邦機構必須在20天內完成

2025-10-01

| CISA | KEV | TP-Link | CVE-2025-9377 | CVE-2023-50224

CISA示警TP-Link Archer C7、TL-WR841N兩漏洞已遭利用

CISA警告TP-Link兩路由器漏洞CVE-2023-50224與CVE-2025-9377遭利用,FCEB須9月24日前修補或停用,同時也建議企業比照辦理

2025-09-05