/
网络安全周报:电信潜伏威胁、大语言模型越狱攻击与苹果强制年龄验证
本周网络安全事件频发:中国红门深组织在全球电信基础设施部署BPF后门进行长期潜伏;FBI确认局长邮箱遭伊朗黑客入侵;Citrix NetScaler关键漏洞遭主动利用;GlassWorm恶意活动升级投放Chrome窃取扩展;苹果在英国推出强制年龄验证;多个高危漏洞需紧急修补,自动化流量增长速度是人类流量8倍。
思科Catalyst交换机发现漏洞链攻击风险,可引发拒绝服务攻击
思科广泛部署的Catalyst 9300系列企业交换机存在四个安全漏洞,其中两个可串联引发拒绝服务中断。基础设施安全公司Opswat发现,CVE-2026-20114和CVE-2026-20110这两个漏洞可被串联利用,实现危险的权限提升。攻击者可从基础的Lobby Ambassador账户开始,通过命令注入漏洞和输入验证不足漏洞,最终将交换机置于维护模式并停止流量传输。
黑客利用CVE-2025-32975漏洞(CVSS 10.0)劫持未修补的Quest KACE SMA系统
网络威胁行为者正在利用影响Quest KACE系统管理设备的最高严重性安全漏洞CVE-2025-32975进行攻击。该漏洞CVSS评分为10.0,允许攻击者在没有有效凭据的情况下绕过身份验证,冒充合法用户并完全接管管理员账户。攻击者通过该漏洞控制管理账户,执行远程命令下载恶意载荷,创建新的管理员账户,并进行凭据收集和系统侦察等活动。
Magento PolyShell漏洞引发严重安全威胁,可导致远程代码执行
Sansec发现Magento REST API存在严重安全漏洞,攻击者可在未经身份验证的情况下上传任意可执行文件,实现远程代码执行和账户劫持。该漏洞被命名为PolyShell,利用将恶意代码伪装成图像的方式进行攻击。漏洞影响Magento开源版和Adobe Commerce 2.4.9-alpha2之前的所有版本,源于REST API接受文件上传作为购物车项目自定义选项的机制缺陷。
CISA新增五个重大安全漏洞至已知被利用漏洞清单
美国网络安全和基础设施安全局周五将影响苹果、Craft CMS和Laravel Livewire的五个安全漏洞添加至已知被利用漏洞目录,要求联邦机构在2026年4月3日前完成修补。这些漏洞包括苹果WebKit和内核组件的内存损坏漏洞,以及CMS平台的代码注入漏洞,已被多个威胁组织在野外利用。
关键Langflow漏洞CVE-2026-33017在披露20小时内引发攻击
Langflow平台存在严重安全漏洞CVE-2026-33017(CVSS评分9.3),该漏洞结合了缺失身份验证和代码注入问题,可导致远程代码执行。漏洞影响1.8.1及之前版本,攻击者可通过单个HTTP请求获得服务器完整权限。云安全公司Sysdig发现,该漏洞在3月17日公开披露后20小时内就遭到野外利用,攻击者直接根据安全公告构建了可用的漏洞利用工具,并开始扫描互联网寻找易受攻击的实例。
GNU InetUtils Telnetd被发现严重漏洞CVE-2026-32746
网络安全研究人员披露了影响GNU InetUtils telnet守护程序的严重安全漏洞CVE-2026-32746,CVSS评分9.8分。未经身份验证的远程攻击者可通过23端口发送特制消息触发缓冲区溢出,在登录提示前即可获得root权限执行任意代码。该漏洞影响2.7版本及以下所有版本,修复程序预计4月1日前发布。
FortiGate设备遭攻击者利用入侵网络并窃取服务账户凭证
网络安全研究人员发现新型攻击活动,威胁行为者滥用FortiGate下一代防火墙作为入侵受害者网络的入口点。攻击者利用最近披露的安全漏洞或弱凭证来提取包含服务账户凭证和网络拓扑信息的配置文件。该攻击活动主要针对医疗保健、政府和托管服务提供商环境。攻击者通过已知漏洞或配置错误入侵FortiGate设备,创建管理员账户并设置防火墙策略,随后提取LDAP凭证进行横向移动。
思科警告两个新的SD-WAN漏洞遭恶意利用
思科确认攻击者正在利用Catalyst SD-WAN Manager中的两个新漏洞进行攻击。CVE-2026-20122漏洞(CVSS评分7.1)允许经过身份验证的远程攻击者覆写本地文件系统中的任意文件,CVE-2026-20128漏洞(CVSS评分5.5)可能让本地攻击者获得数据收集代理用户权限。思科强烈建议客户立即升级到修复版本。
Cisco确认两个Catalyst SD-WAN Manager漏洞遭到恶意利用
思科披露其Catalyst SD-WAN Manager存在两个正遭受野外积极攻击的安全漏洞。CVE-2026-20122漏洞允许经认证的远程攻击者覆写任意文件,CVE-2026-20128漏洞可让本地攻击者获取DCA用户权限。思科已在上月发布补丁修复这些漏洞,建议用户立即更新至修复版本,并采取限制网络访问、部署防火墙保护等安全措施。
Android芯片零日漏洞遭活跃攻击
谷歌警告,高通芯片组中的零日漏洞CVE-2026-21385正遭到野外主动利用。该漏洞影响超过200种芯片组,可导致内存损坏和系统控制权被夺取。虽然已有修复程序,但设备制造商和运营商的更新延迟使企业面临风险。同时,谷歌发现针对苹果iOS设备的Coruna攻击套件,包含23个漏洞利用程序,被用于乌克兰水坑攻击等活动。
900多个Sangoma FreePBX实例遭Web Shell攻击感染
影子服务器基金会披露,超过900个Sangoma FreePBX实例仍被Web Shell感染,攻击者利用命令注入漏洞CVE-2025-64328发起攻击。受感染实例中401个位于美国,其余分布在巴西、加拿大、德国和法国等国。该高危漏洞影响17.0.2.36及以上版本,已在17.0.3版本中修复。美国网络安全机构已将此漏洞列入已知被利用漏洞目录,建议用户尽快更新至最新版本。
软件漏洞武器化速度创历史新高
VulnCheck报告显示,尽管去年仅不到1%的软件漏洞在实际环境中被利用,但这些漏洞的武器化速度和规模达到前所未有的水平。研究人员追踪到超过14400个与约10500个独特CVE相关的攻击,同比增长16.5%。大部分增长与AI生成的概念验证代码有关,但研究人员警告许多AI生成代码无法正常运行。超过50%与勒索软件相关的CVE首先被识别为零日漏洞。
思科SD-WAN零日漏洞CVE-2026-20127自2023年起被利用获取管理员权限
思科Catalyst SD-WAN控制器和管理器中发现最高严重级别安全漏洞CVE-2026-20127,CVSS评分10.0分,自2023年起遭恶意利用。该漏洞允许未认证远程攻击者绕过身份验证获取管理员权限。澳大利亚网络安全中心发现威胁行为者UAT-8616利用此零日漏洞入侵SD-WAN系统,创建恶意对等设备加入网络管理平面。攻击者还利用CVE-2022-20775提升至root权限。CISA已将两个漏洞加入已知被利用漏洞目录,要求联邦机构24小时内修复。
GitHub Codespaces存在RoguePilot漏洞,可致GitHub令牌泄露
研究人员发现GitHub Codespaces存在名为RoguePilot的AI驱动型安全漏洞,攻击者可在GitHub问题中注入恶意Copilot指令来控制代码仓库。该漏洞属于被动提示注入攻击,当用户从恶意问题启动Codespace时,隐藏在HTML注释中的恶意指令会被AI助手自动执行,导致敏感的GITHUB_TOKEN泄露到攻击者控制的服务器。微软已修复此漏洞。
四个热门VS Code扩展存在漏洞,1.28亿安装量面临攻击风险
应用安全公司OX Security发现,四个广泛使用的VS Code扩展存在严重安全漏洞,累计下载量达1.28亿次,可能导致文件窃取、远程代码执行和本地网络侦察。这些漏洞包括Live Server的关键级漏洞、Code Runner的高危漏洞等,攻击者可通过恶意链接或文件触发攻击,威胁开发者工作站安全。
SSHStalker僵尸网络通过暴力破解攻陷7000台Linux服务器
新发现的SSHStalker僵尸网络通过暴力破解弱SSH密码认证,已入侵至少七千台Linux服务器,其中一半位于美国。该僵尸网络使用可追溯至2009年的未修补Linux漏洞进行攻击,融合了IRC战术与现代自动化技术。研究人员建议禁用SSH密码认证,改用密钥认证或VPN保护,并实施暴力破解限制和监控措施来防范此类攻击。
荷兰数据保护局遭遇Ivanti零日攻击后主动报告数据泄露
荷兰数据保护局确认在1月29日遭受攻击,黑客利用Ivanti终端管理器移动版漏洞进行攻击。此次攻击影响了数据保护局和司法委员会的员工,可能泄露的个人数据包括姓名、商务邮箱地址和电话号码。所有受影响人员已被直接通知。荷兰网络安全机构正在监控相关漏洞,政府首席信息官办公室也在评估对中央政府的潜在风险。专家警告这类面向互联网的边缘设备极易成为攻击目标。
SSHStalker僵尸网络利用IRC控制服务器攻击Linux系统
网络安全研究人员披露了名为SSHStalker的新型僵尸网络,该网络使用IRC协议进行命令控制。该工具集结合了隐蔽助手和Linux遗留漏洞利用,包含日志清理器和rootkit组件,维护着大量2009-2010年Linux 2.6.x时代的漏洞库。SSHStalker通过SSH扫描器自动批量入侵系统并加入IRC频道,但与其他僵尸网络不同,它保持休眠状态而非立即进行后续攻击,可能用于未来的战略访问。威胁行为者疑似来自罗马尼亚。
SolarWinds Web Help Desk遭利用:攻击者实施远程代码执行多阶段入侵
微软发现攻击者利用互联网暴露的SolarWinds Web Help Desk实例进行多阶段入侵,获得初始访问权限并在组织网络中横向移动。攻击可能利用了最新披露的漏洞或之前已修补的漏洞进行远程代码执行。攻击者成功利用漏洞后,下载Zoho ManageEngine组件建立持久远程控制,枚举敏感域用户,通过DLL侧加载技术窃取凭据,甚至进行DCSync攻击获取密码哈希。
京公网安备 11010802021500号
