雲林縣政府教育處｜教育網路機房情資發布

[情資發布]HSOC分享跨機關攻擊來源IP

Thu, 30 Apr 2026 06:17:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000037

事件主旨:

HSOC分享跨機關攻擊來源IP

內容說明:

HSOC分享跨機關攻擊來源IP，供會員參考進行防禦，建議進行資安監控偵測並檢視有無其他異常行為。

172.232.232.179 Chile

事件名稱：[資訊蒐集] 單一來源IP觸發多種未阻擋IDS事件 [資訊蒐集] 外對內防火牆大量阻擋

118.163.18.20 Taiwan

事件名稱：[入侵嘗試] 外部主機嘗試SQL Injection攻擊 [入侵嘗試] 外部主機嘗試XSS攻擊 [資訊蒐集] 上傳可疑檔案或 Web Shell 攻擊 [資訊蒐集] 長週期持續性攻擊行為 [資訊蒐集] 高風險攻擊行為

103.85.72.140 Hong Kong

事件名稱：[資訊蒐集] 外對內防火牆大量阻擋 [資訊蒐集] 外部主機執行掃描探測攻擊

風險等級:

建議措施:

建議進行資安監控偵測並檢視有無其他異常行為

[情資發布]4/28 TSOC偵測到轄管機關有內對外部可疑IP異常連線行為

Thu, 30 Apr 2026 06:17:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000035

事件主旨:

4/28 TSOC偵測到轄管機關有內對外部可疑IP異常連線行為

內容說明:

來自CorrelationEvent，所觸發內對外部可疑IP有異常行為的疑似資安事件

現象描述

發現多個受監控單位於短時間內嘗試對相同可疑IP 104.16.62.16 進行連線，請一併提高該IP的注意程度並建議於相關設備Policy設定阻擋動作。

經轄管機關確認為非合法連線，導致觸發該筆通報，建議將該 IP 於防火牆設定阻擋。

風險等級:

建議措施:

N/A

[情資發布]會員分享：可疑IP針對對外服務網站進行惡意連線攻擊(260401)

Thu, 30 Apr 2026 06:16:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000025

事件主旨:

會員分享：可疑IP針對對外服務網站進行惡意連線攻擊(260401)

內容說明:

一、F-ISAC近期彙整會員分享之可疑 IP 針對會員對外提供服務的網頁進行惡意連線攻擊，經檢視攻擊手法包含 Injection 攻擊、XSS（Cross-Site Scripting）、目錄遍歷（Directory Traversal）、上傳惡意指令等以及嘗試利用開源弱點掃描等工具，針對多項已知漏洞進行掃描探測以取得網站系統相關資訊。相關攻擊行為經會員單位內資安防護設備阻擋故未影響相關服務。

二、本次案例入侵威脅指標依據MITRE ATT&CK資安框架說明的攻擊手法彙整於附件。

風險等級:

建議措施:

1.建議會員可透過單位內設備觀察是否曾有對這些（可疑）IP之連線紀錄，進行分析及風險評估（建議確認連線請求者是否為正常或合法的連線），並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形，如長時間未觸發，則可評估移除或調整處理方式（例如由封鎖轉為監控）。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率，例如IP位址、網域名稱、URL及E-mail等通常變動較快，可每1至3個月重新檢視一次；而檔案雜湊值（Hash）等檔案特徵型指標相對穩定，通常不易因時間經過而改變其惡意特性，故可適度延長保留期限。

2.建議會員應檢查單位內設備之存取及操作權限是否正確設定，包含應以最小授權為原則，及僅允許已知的應用程式（包含程式碼）執行，以防止執行未經授權的惡意程式碼。

3.建議會員應檢視單位內系統及設備是否有落實既有漏洞管理機制，針對已有攻擊行為之漏洞應盡速辦理修補等作業。

[情資發布]4/20 TSOC偵測到轄管機關有內對外部可疑IP異常連線行為

Thu, 30 Apr 2026 06:16:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000024

事件主旨:

4/20 TSOC偵測到轄管機關有內對外部可疑IP異常連線行為

內容說明:

來自CorrelationEvent，所觸發內對外部可疑IP有異常行為的疑似資安事件

現象描述

發現多個受監控單位於短時間內嘗試對相同可疑IP 142.250.196.195 、172.233.87.96進行連線，請一併提高該IP的注意程度並建議於相關設備Policy設定阻擋動作。

經轄管機關確認為使用者上網時點選到惡意連結或廣告，導致觸發該筆通報，建議將該 IP 於防火牆設定阻擋。

風險等級:

建議措施:

N/A

[情資發布]4/24 TSOC偵測到轄管機關有內對外部可疑IP異常連線行為

Thu, 30 Apr 2026 06:15:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000028

事件主旨:

4/24 TSOC偵測到轄管機關有內對外部可疑IP異常連線行為

內容說明:

來自CorrelationEvent，所觸發內對外部可疑IP有異常行為的疑似資安事件

現象描述

發現多個受監控單位於短時間內嘗試對相同可疑IP 36.238.143.98 進行連線，請一併提高該IP的注意程度並建議於相關設備Policy設定阻擋動作。

經轄管機關確認為非合法連線，導致觸發該筆通報，建議將該 IP 於防火牆設定阻擋。

風險等級:

建議措施:

N/A

[情資發布]D-Link DIR-823X系列路由器存在高風險漏洞（CVE-2025-29635），請評估辦理停用並汰換相關設備。

Thu, 30 Apr 2026 06:15:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000029

事件主旨:

D-Link DIR-823X系列路由器存在高風險漏洞（CVE-2025-29635），請評估辦理停用並汰換相關設備。

內容說明:

一、漏洞說明[1][2]

D-Link DIR-823X系列路由器存在一項命令注入漏洞（CVE-2025-29635）。該漏洞允許攻擊者透過向 /goform/set_prohibiting 端點發送特製POST請求，進而於遠端裝置執行任意指令。該系列路由器已於2025年停產，且已有攻擊者利用此漏洞進行攻擊，並部署名為tuxnokill的Mirai殭屍網路變種。另觀察到相同攻擊手法亦用於攻擊CVE-2023-1389（TP-Link 路由器）及ZTE ZXV10 H108L路由器的遠端程式碼執行漏洞，並載入Mirai惡意內容。

二、已揭露攻擊活動說明

1. CISA已納入漏洞利用清單。[3]

2. Akamai已發布技術分析報告。[2]

三、F-ISAC彙整Akamai所提供入侵威脅指標如附檔。

風險等級:

建議措施:

1. 建議會員停用並汰換所有已終止產品生命週期（End-of-Life, EoL）的設備。

2. 建議定期檢查設備韌體版本，並依原廠公告更新至最新版本，並持續監控設備設定與網路流量，留意是否出現異常變化或不明對外連線行為。

3. 建議會員可透過單位內設備觀察是否曾有對這些（可疑）IP、網域之連線紀錄，進行分析及風險評估（建議確認連線請求者是否為正常或合法的連線），並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形，如長時間未觸發，則可評估移除或調整處理方式（例如由封鎖轉為監控）。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率，例如IP位址、網域名稱、URL及E-mail等通常變動較快，可每1至3個月重新檢視一次；而檔案雜湊值（Hash）等檔案特徵型指標相對穩定，通常不易因時間經過而改變其惡意特性，故可適度延長保留期限。

[情資發布]Apache ActiveMQ Classic存在高風險安全漏洞(CVE-2026-34197)，請儘速確認並進行修補

Thu, 30 Apr 2026 06:14:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000022

事件主旨:

Apache ActiveMQ Classic存在高風險安全漏洞(CVE-2026-34197)，請儘速確認並進行修補

內容說明:

研究人員發現Apache ActiveMQ Classic存在不當輸入驗證(Improper Input Validation)與程式碼注入(Code Injection)漏洞(CVE-2026-34197)，因Web Console暴露之Jolokia JMX-HTTP介面允許執行特定操作且缺乏輸入驗證，使已通過身分鑑別之遠端攻擊者可傳入惡意參數，進而執行任意程式碼。此漏洞已遭駭客利用，請儘速確認並進行修補。

風險等級:

建議措施:

官方已針對漏洞釋出修復更新，請參考官方說明進行更新，網址如下：

https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

[情資發布]Microsoft Defender存在高風險漏洞(CVE-2026-33825)，目前已有Exploit Code，請評估進行相關應處作為。

Thu, 30 Apr 2026 06:13:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000019

事件主旨:

Microsoft Defender存在高風險漏洞(CVE-2026-33825)，目前已有Exploit Code，請評估進行相關應處作為。

內容說明:

一、漏洞說明 [1]

Microsoft 近期發布一項存在於 Defender的權限提升漏洞(CVE-2026-33825)，擁有本機基本存取權限的攻擊者，成功利用此漏洞時，可以將權限提升至 SYSTEM。

二、已揭露攻擊程式碼說明

Microsoft 說明已觀察到PoC程式碼。

風險等級:

建議措施:

1.Microsoft 已發布安全性更新[2]，建議會員參考官網資訊後依照單位內既有漏洞管理機制，評估後執行相關作業。

[情資發布]微軟釋出115年4月份安全性更新

Thu, 30 Apr 2026 06:12:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000018

事件主旨:

微軟釋出115年4月份安全性更新

內容說明:

微軟釋出115年4月份安全性更新，共修補165個漏洞，其中包含8個高風險漏洞與1個已遭利用之漏洞，請儘速確認並進行修補。

風險等級:

建議措施:

目前微軟官方已針對弱點釋出修復版本，請各機關可聯絡系統維護廠商或參考以下連結：

https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr

[情資發布]Adobe Acrobat Reader存在高風險漏洞遭利用（CVE-2026-34621），請評估進行修補作業。

Thu, 30 Apr 2026 06:11:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000013

事件主旨:

Adobe Acrobat Reader存在高風險漏洞遭利用（CVE-2026-34621），請評估進行修補作業。

內容說明:

一、漏洞說明[1][2]

Adobe Acrobat Reader存在原型汙染漏洞（CVE-2026-34621，CWE-1321），攻擊者可誘使受害者開啟特製PDF檔案，進而於當前使用者權限下執行任意程式碼。

二、已揭露攻擊活動說明

1. Adobe表示已觀察此漏洞被利用於攻擊行為。

三、F-ISAC彙整FS-ISAC所提供入侵威脅指標如附檔。

風險等級:

建議措施:

1. 官方已發布修補程式，建議會員依據單位內漏洞管理機制進行相關作業。

2. 建議會員可透過單位內設備觀察是否曾有對這些（可疑）IP、網域之連線紀錄，進行分析及風險評估（建議確認連線請求者是否為正常或合法的連線），並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形，如長時間未觸發，則可評估移除或調整處理方式（例如由封鎖轉為監控）。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率，例如IP位址、網域名稱、URL及E-mail等通常變動較快，可每1至3個月重新檢視一次；而檔案雜湊值（Hash）等檔案特徵型指標相對穩定，通常不易因時間經過而改變其惡意特性，故可適度延長保留期限。

[情資發布]4/14 TSOC偵測到轄管機關內對外部可疑連線行為

Thu, 30 Apr 2026 06:11:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000009

事件主旨:

4/14 TSOC偵測到轄管機關內對外部可疑連線行為

內容說明:

來自CorrelationEvent，所觸發單一來源對單一目標持續攻擊行為_短時間的疑似資安事件

現象描述

該惡意DN觸發SOC廠商自動聯防規則，該惡意DN雖有使用者查詢DNS軌跡，但無成功回應給使用者，惡意DN皆為阻擋

備註: pki-tool.com------->為惡意DN，請一併提高該IP的注意程度並建議於相關設備Policy設定阻擋動作。

風險等級:

建議措施:

N/A

[情資發布]TSOC偵測到轄管機關有內對外部可疑IP208.91.112.55異常連線行為

Thu, 30 Apr 2026 06:10:00 GMT

情資卡編號:

TCCY-RCDC-400-202604-0000011

事件主旨:

TSOC偵測到轄管機關有內對外部可疑IP208.91.112.55異常連線行為

內容說明:

來自CorrelationEvent，所觸發內對外部可疑IP有異常行為的疑似資安事件

發現多個受監控單位於短時間內嘗試對相同可疑IP 208.91.112.55 進行連線。

經轄管機關判斷為惡意P2P連線，可能使用者上網無意間點選惡意廣告，觸發惡意連線。

請評估將IP列為阻擋。

風險等級:

建議措施:

N/A

[情資發布]Fortinet 發佈 FortiClient EMS 平台的安全公告，建議請管理者儘速評估更新！

Thu, 30 Apr 2026 06:10:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000015

事件主旨:

Fortinet 發佈 FortiClient EMS 平台的安全公告，建議請管理者儘速評估更新！

內容說明:

CVE-2026-21643 : CVSS 9.8

CVE-2026-21643 是一個不當存取控制弱點。其中 SQL 指令「SQL 注入」弱點的特殊元素未正確處理驗證輸入資料，可能允許未經驗證的攻擊者透過偽造 HTTP 請求執行未經授權的程式碼。

風險等級:

建議措施:

建議請管理者評估更新到最新版本 :

FortiClientEMS 7.4.5 (含)之後版本

[情資發布]Cisco Smart Software Manager On-Prem存在高風險安全漏洞(CVE-2026-20160)，請儘速確認並進行修補

Thu, 30 Apr 2026 06:09:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000009

事件主旨:

Cisco Smart Software Manager On-Prem存在高風險安全漏洞(CVE-2026-20160)，請儘速確認並進行修補

內容說明:

研究人員發現Cisco Smart Software Manager On-Prem存在執行任意程式碼(RCE)漏洞(CVE-2026-20160)，未經身分鑑別之遠端攻擊者可透過發送特製請求，以root權限於受影響主機上執行任意指令。請儘速確認並進行修補。

風險等級:

建議措施:

更新Cisco Smart Software Manager On-Prem至9-202601(含)以後版本

[情資發布]以Chromium為基礎之瀏覽器存在60個高風險安全漏洞，請儘速確認並進行修補

Thu, 30 Apr 2026 06:09:00 GMT

情資卡編號:

TCCY-RCDC-200-202604-0000017

事件主旨:

以Chromium為基礎之瀏覽器存在60個高風險安全漏洞，請儘速確認並進行修補

內容說明:

研究人員發現Google Chrome、Microsoft Edge、Vivaldi及Brave等以Chromium為基礎之瀏覽器存在60個高風險安全漏洞(CVE-2026-5858至CVE-2026-5915、CVE-2026-5918及CVE-2026-5919)，類型包含堆積型緩衝區溢位(Heap-based Buffer Overflow)與使用釋放後記憶體(Use After Free)等，最嚴重可使未經身分鑑別之遠端攻擊者透過特製HTML頁面造成記憶體損毀或執行任意程式碼。請儘速確認並進行修補。

風險等級:

建議措施:

1. 請更新Google Chrome瀏覽器至147.0.7727.55(含)以後版本

https://support.google.com/chrome/answer/95414?hl=zh-Hant

2. 請更新Microsoft Edge瀏覽器至147.0.3912.60(含)以後版本

https://support.microsoft.com/zh-tw/topic/microsoft-edge-%E6%9B%B4%E6%96%B0%E8%A8%AD%E5%AE%9A-af8aaca2-1b69-4870-94fe-18822dbb7ef1

3. 請更新Vivaldi瀏覽器至7.9.3970.50(含)以後版本

https://help.vivaldi.com/desktop/install-update/update-vivaldi/

4. 請更新Brave瀏覽器至1.89.132(含)以後版本

https://community.brave.com/t/how-to-update-brave/384780