美國網路安全暨基礎設施安全局（CISA）長期透過「已知被利用漏洞」（Known Exploited Vulnerabilities，KEV）目錄協助全球組織優先修補高風險漏洞，然而資安研究人員發現，CISA在2025年全年默默更新了59個條目的勒索軟體利用狀態，卻未對外公告。此舉讓許多依賴KEV進行風險排序的企業，可能錯過威脅態勢的重大變化。GreyNoise資深安全研究總監Glenn Thorpe警告：「勒索軟體營運者正在圍繞你的網路邊緣建構攻擊腳本。」這項發現對台灣高度依賴邊緣設備的科技、金融與製造業敲響警鐘。

 

Thorpe透過每日快照KEV目錄並比對差異，發現2025年有59個CVE的「Known To Be Used in Ransomware Campaigns?」欄位從「Unknown」悄悄翻轉為「Known」。這些變更代表CISA已掌握證據，證實勒索軟體集團正在積極利用這些漏洞進行攻擊。然而，CISA並未透過警報、公告或變更紀錄通知公眾，僅在JSON檔案中更新欄位。

 

Thorpe在部落格指出：「當欄位從『Unknown』翻轉為『Known』，等同CISA在說：『我們有證據，勒索軟體營運者已將此漏洞納入攻擊鏈。』這會實質改變你的風險態勢，修補優先順序應立即調整。但沒有任何通知，僅一欄位變化。」若企業原本將「非勒索軟體利用」的KEV漏洞排在較低優先級，現在這些翻轉條目就必須重新評估風險。然而，除非每天比對目錄，否則根本無從得知變化。

 

GreyNoise分析顯示，這59個翻轉漏洞涵蓋多家主流廠商：微軟16個、Ivanti 6個、Fortinet 5個、Palo Alto Networks 3個、Zimbra 3個。其中19個（約三分之一）影響網路邊緣設備，包括防火牆、VPN閘道、遠端存取服務等。Thorpe直言：「勒索軟體營運者正在圍繞你的網路邊緣建構攻擊腳本。」最常見漏洞類型為遠端程式碼執行（RCE）與認證繞過，符合勒索軟體追求「快速進門、快速擴散」的攻擊鏈特徵。

 

翻轉時間差異極大。有些漏洞在加入KEV隔天即被確認勒索利用，例如CVE-2025-61882（Oracle E-Business Suite嚴重漏洞）於2025年10月6日加入KEV，隔天即翻轉為「Known」。其他案例則拖延數月甚至數年，例如微軟BlueKeep漏洞（CVE-2019-0708）2019年揭露、2021年底加入KEV，直到2025年夏季才確認勒索利用。Thorpe對此表示驚訝：「KEV自2023年10月啟動以來，我原本預期許多舊漏洞會被回填勒索狀態，但圖表顯示，有些漏洞等待極長時間才更新。」

 

自2024年起，僅7個CVE在加入KEV時即標記「Known」，另有88個後續翻轉。Thorpe認為，這反映勒索軟體活動的證據蒐集與通報需要時間，通常先將漏洞列入KEV，再陸續收到勒索利用證據。

 

此「靜默翻轉」問題暴露威脅情報消費的痛點。Thorpe表示：「我們擅長反應新漏洞、追蹤主動利用，但對於既有威脅特徵的演進，卻缺乏敏感度。」企業若僅關注新加入KEV或頭條新聞，可能錯過風險升級。KEV本已是落後指標（trailing indicator），再等待勒索旗標更慢一步。

 

為解決此盲點，Thorpe開發了一個RSS訂閱源，每小時檢查CISA KEV目錄變更，專門偵測勒索軟體旗標翻轉，提供即時通知。他呼籲資安團隊使用此工具，並持續關注威脅態勢的「差異變化」（delta），而非僅看靜態清單。「CISA已在追蹤這些勒索活動、關聯TTP並更新評估，但情報只有在防禦者關注變化時才真正有用。」

 

對台灣影響深遠。台灣企業廣泛使用微軟、Fortinet、Palo Alto、Ivanti等邊緣設備，這些廠商的漏洞翻轉意味著勒索軟體可能針對VPN、防火牆、遠端存取發動攻擊。近期台灣製造業與金融業頻傳勒索事件，若未即時察覺KEV欄位變化，可能延誤修補，導致生產停擺或資料外洩。資安專家建議：

 

 

Dark Reading已向CISA詢問評論，截至截稿尚未回應。Thorpe的發現提醒全球資安社群：威脅情報不僅要看「新增」，更要看「演進」。在勒索軟體日益精進的2026年，靜默變化可能成為最致命的盲點。

 

 

出處： 基於Dark Reading文章《CISA Makes Unpublicized Ransomware Updates to KEV Catalog》，作者Rob Wright，發布日期2026年2月5日；並參考GreyNoise資深研究總監Glenn Thorpe部落格分析、KEV目錄變更追蹤數據，以及相關資安媒體交叉報導。