Ivanti EPMM 零日漏洞被積極利用、Linux Dirty Frag 提權漏洞、TCLBanker 蠕蟲式木馬

Ivanti EPMM 零日漏洞被積極利用、Linux Dirty Frag 提權漏洞、TCLBanker 蠕蟲式木馬 — 五月資安威脅速報

今週資安快報：三大高危漏洞同新威脅值得關注五月開局，資安界一啲都唔平靜。今次同大家整理咗三單重磅安全新聞，全部都係最近幾日出爐嘅真實威脅，IT 管理員要即刻睇實。 1. Ivanti EPMM CVE-2026-6973 零日漏洞被積極利用 Ivanti 上星期四（5月7日）緊急公佈一個嚴重漏洞 CVE-2026-6973，影響 Endpoint Manager Mobile (EPMM) 12...

今週資安快報：三大高危漏洞同新威脅值得關注

五月開局，資安界一啲都唔平靜。今次同大家整理咗三單重磅安全新聞，全部都係最近幾日出爐嘅真實威脅，IT 管理員要即刻睇實。

👉 延伸閱讀：2026年5月行業資訊速報：Ollama記憶體洩漏、Linux Kernel Dirty Frag提權、Ivanti零日四日通牒

1. Ivanti EPMM CVE-2026-6973 零日漏洞被積極利用

Ivanti 上星期四（5月7日）緊急公佈一個嚴重漏洞 CVE-2026-6973，影響 Endpoint Manager Mobile (EPMM) 12.8.0.0 及之前版本。呢個漏洞允許具備管理員權限嘅攻擊者執行任意遠端程式碼（Remote Code Execution），而且已經有零日攻擊喺野外被發現。

漏洞詳情：

CVE 編號：CVE-2026-6973
影響產品：Ivanti EPMM（on-premises）12.8.0.0 及更早版本
CVSS 評分：高嚴重性（具體分數待 NVD 公佈）
攻擊條件：需要管理員認證（admin authentication required）
修復版本：EPMM 12.6.1.1、12.7.0.1、12.8.0.1

Ivanti 喺公告中強調，目前已知嘅攻擊範圍「非常有限」，而且只影響 on-prem EPMM 產品。Ivanti Neurons for MDM（雲端版本）及其他 Ivanti 產品不受影響。

但重點係：CISA 已經將呢個漏洞列入 Known Exploited Vulnerabilities（KEV）目錄，並要求美國聯邦機構喺 5 月 10 日午夜前完成修補 — 即係得 4 日時間！CISA 警告話：「呢類漏洞係惡意網絡攻擊者常用嘅攻擊向量，對聯邦企業構成重大風險。」

根據 Shadowserver 基金會嘅數據，目前全球大約有 超過 800 台 Ivanti EPMM 設備暴露喺互聯網上，暫時未知當中有幾多已經完成修補。

值得一提嘅係，今年 1 月底 Ivanti 先修補咗另外兩個 critical EPMM 漏洞（CVE-2026-1281 同 CVE-2026-1340），當時同樣被零日攻擊利用。Ivanti 表示：「如果客戶跟隨咗 1 月份嘅建議，喺遭受 CVE-2026-1281 和 CVE-2026-1340 攻擊後輪換咗憑證，咁對 CVE-2026-6973 被利用嘅風險就會大幅降低。」

管理員行動建議：即刻檢查你哋嘅 Ivanti EPMM 版本，盡快升級至修復版本，同時檢視所有管理員帳戶並輪換憑證。

2. Linux Kernel「Dirty Frag」零日漏洞：所有主流 Distro 受影響

另一個震撼 Linux 社群嘅消息：安全研究人員發現一個被稱為 「Dirty Frag」嘅 Linux Kernel Local Privilege Escalation（LPE）零日漏洞，影響所有主流 Linux 發行版，攻擊者可以喺本地取得 root 權限。

關鍵資訊：

漏洞類型：Local Privilege Escalation（本地提權）
影響範圍：所有主流 Linux distributions（Ubuntu、Debian、RHEL、Fedora、Arch 等）
攻擊結果：成功利用可獲取 root 權限
漏洞本質：與 kernel memory fragmentation 處理機制相關

呢個漏洞嘅危險性在於：一個低權限用戶（甚至係 compromised web application 嘅 www-data user）都可以利用呢個漏洞直接提權到 root，然後完全控制成部 server。結合 remote code execution 攻擊鏈，殺傷力極大。

目前各主要 Linux distribution 正在準備 kernel patch，IT 管理員應該密切留意所屬 distro 嘅 security advisory，一有 patch 即刻更新。

3. TCLBanker：新型銀行木馬透過 WhatsApp 同 Outlook 自我散播

Elastic Security Labs 最新發現一個名為 TCLBanker 嘅新型銀行木馬，目前針對 59 個銀行、金融科技同加密貨幣平台。呢隻木馬用咗一個偽裝成 Logitech AI Prompt Builder 嘅 MSI installer 嚟感染系統。

最令人擔心嘅係，TCLBanker 內置 自我散播嘅蠕蟲模組，可以透過 WhatsApp 同 Outlook 自動傳播俾新受害者 — 即係話一部機中招，全公司 contact list 嘅人都可能中。

技術特點：

利用 DLL Side-Loading 技術載入 legitimate Logitech 應用程式嘅 context 入面運行，避開安全軟件偵測
使用 Windows UI Automation API 每秒監控瀏覽器地址欄，等受害者打開目標銀行網站時即時觸發
建立 WebSocket 連接到 C2 伺服器，進行遠端控制操作
極強反分析保護：environment-dependent payload decryption、持續掃描分析工具（x64dbg、IDA、Ghidra、Frida 等）
代碼中有跡象顯示可能使用咗 AI 輔助開發

目前 TCLBanker 主要活躍喺巴西地區（檢查 timezone、keyboard layout、locale），但拉丁美洲惡意軟件過往經常擴大攻擊範圍，全球企業都要提高警覺。

小結：防禦建議

以上三單新聞有一個共同點：攻擊者越嚟越快，防守方嘅反應時間越嚟越短。CISA 要求 4 日內修補就係最佳例子。以下係即刻可以做嘅行動：

資產清點：確認你網絡入面有冇 Ivanti EPMM 設備，檢查版本
Linux patch management：訂閱所屬 distro security mailing list，準備好 rollout kernel update
Endpoint protection：確保 EDR/XDR 方案可以偵測 DLL side-loading 同異常 WebSocket 連線
User awareness：提醒同事唔好打開來歷不明嘅軟件 installer，尤其係透過 WhatsApp 收到嘅檔案
Network segmentation：限制內部橫向移動，減少單一主機被攻陷後嘅影響範圍

🔗 參考資料：CISA Known Exploited Vulnerabilities Catalog

記住：patch 得快，好世界！下次再同大家跟進最新資安動態 👋

#漏洞 #IT新聞 #AI #ai #更新