剣 KENSAI
← Back to archive

🛡️ KENSAI 安全情报

2026年3月10日(星期二)· 每日威胁简报

执行摘要

  • Ericsson美国公司遭入侵 — 服务提供商被黑客攻击,员工和客户数据被窃取
  • Cisco SD-WAN零日漏洞(CVE-2026-20127)公开PoC发布后遭大规模利用
  • CISA将iOS漏洞利用工具包缺陷纳入目录 — Coruna工具包针对iOS 13至17.2.1的23个漏洞
  • 俄罗斯国家黑客瞄准政府官员的Signal和WhatsApp账户
  • ShinyHunters正在积极利用Salesforce Aura漏洞进行数据窃取
  • FBI正在调查敏感监控系统上的可疑活动
  • OpenAI发布Codex Security — AI代理扫描了120万次提交,发现10,500余个高严重性问题

🔓 数据泄露与安全事件

HIGH IMPACT

Ericsson美国公司在服务提供商遭入侵后披露数据泄露

Ericsson Inc.(美国子公司)确认,其一家第三方服务提供商遭到入侵后,攻击者窃取了员工和客户数据。泄露范围尚未披露。这是又一起凸显供应商风险管理缺陷的供应链攻击事件。

CRITICAL

ShinyHunters利用Salesforce Aura漏洞积极窃取数据

Salesforce警告客户,Experience Cloud平台的配置错误导致访客用户获得了过多的数据访问权限。ShinyHunters勒索团伙声称正在利用一个超出配置错误问题的新漏洞,积极从Salesforce实例中窃取数据。

HIGH IMPACT

FBI正在调查敏感监控系统遭入侵事件

FBI正在调查一个存储敏感监控信息系统上的"可疑"网络活动。该局已通知国会,正在确定事件范围和影响。详细信息仍属机密。

来源: SecurityWeek
HIGH IMPACT

UNC4899(朝鲜)通过AirDrop木马入侵加密货币公司

朝鲜威胁行为者UNC4899(又名Jade Sleet/TraderTraitor)通过社会工程手段诱骗开发人员将木马化文件AirDrop至其工作设备,从而入侵了一家加密货币机构。攻击者利用离地攻击(living-off-the-cloud)技术横向移动至云基础设施,窃取了数百万美元的加密货币。

🚨 关键CVE与漏洞信息

CVSS 10.0 CVE-2026-20127

Cisco Catalyst SD-WAN — 正在被积极利用的零日漏洞

Cisco Catalyst SD-WAN Controller和SD-WAN Manager中存在最高严重性漏洞。公开PoC漏洞利用代码已发布。WatchTowr报告来自大量独立IP的广泛利用活动。可实现认证绕过和root权限获取。请立即修补。

CRITICAL CVE-2026-27944

Nginx UI — 未授权备份下载与解密

Nginx UI中的严重漏洞允许未授权攻击者下载并解密完整的系统备份,导致配置文件、凭据和敏感数据暴露。

CRITICAL CVE-2026-29058

AVideo Platform — 零点击命令注入

开源视频托管平台AVideo中存在最高严重性的零点击漏洞,攻击者无需任何用户交互即可在流媒体服务器上执行任意命令。

HIGH CVE-2026-25611

MongoDB — 未授权服务器崩溃

CVSS 7.5漏洞允许未授权攻击者使用极低带宽使暴露的MongoDB服务器崩溃。由Cato CTRL研究人员发现。

CRITICAL CVE-2026-1492

WordPress会员插件 — 管理员账户创建

WordPress的User Registration & Membership插件允许未授权攻击者绕过安全控制并创建管理员账户。

CRITICAL iOS EXPLOIT KIT

CISA将Coruna iOS漏洞利用工具包缺陷纳入KEV

国家级iOS漏洞利用工具包"Coruna"针对影响iOS 13至17.2.1的23个漏洞。CISA于3月5日将这些漏洞添加至已知被利用漏洞(KEV)目录。已确认存在活跃利用。

来源: SecurityWeek
HIGH

Cisco Secure Firewall Management Center — RCE与认证绕过

针对Cisco FMC的两个独立严重公告:一个可实现远程代码执行(最高严重性),另一个允许未授权认证绕过。

HIGH

ExifTool漏洞 — 恶意图片可在macOS上触发代码执行

Kaspersky研究人员发现一个漏洞,恶意图片可通过ExifTool在macOS上触发代码执行,挑战了macOS对恶意软件具有免疫力的传统认知。

MEDIUM

Google Chrome紧急更新 — 修复10个安全漏洞

Google将Chrome Stable更新至145.0.7632.159,修复了包括严重问题在内的10个安全漏洞。

🕵️ 威胁行为者与攻击活动

RUSSIA APT

俄罗斯国家黑客劫持Signal和WhatsApp账户

荷兰政府发布警告:俄罗斯国家支持的黑客正针对政府官员、军事人员和记者发起钓鱼攻击活动,旨在劫持其Signal和WhatsApp账户并获取加密消息。

CHINA APT

CL-UNK-1068 — 针对亚洲关键基础设施的中国网络间谍活动

Palo Alto Unit 42揭露了一项持续数年的中国网络间谍活动(CL-UNK-1068),目标涵盖南亚、东南亚和东亚的航空、能源、政府、制药和电信行业。使用定制恶意软件、修改后的开源工具和LOLBINs实现持久化。

SOCIAL ENGINEERING

Microsoft Teams钓鱼攻击投递A0Backdoor恶意软件

攻击者通过Microsoft Teams联系金融和医疗机构的员工,诱骗他们通过Quick Assist授予远程访问权限,从而部署名为"A0Backdoor"的新型恶意软件。

PHISHING

ClickFix攻击利用Windows Terminal规避检测

伪造验证码钓鱼页面的新变种现在诱导受害者在Windows Terminal(而非"运行"对话框)中粘贴恶意命令,以规避传统检测方法。

来源: SecurityWeek
MALWARE

100多个GitHub仓库分发BoryptGrab窃取器

超过100个GitHub仓库正在分发BoryptGrab信息窃取器,目标包括浏览器数据、加密货币钱包、系统信息和用户文件。

来源: SecurityWeek
SUPPLY CHAIN

Chrome扩展程序在所有权转移后变为恶意程序

两个Chrome扩展程序(QuickLens、ShotBird)在所有权转移后变为恶意程序,对约7,800名用户实施代码注入和数据窃取。凸显了浏览器扩展生态系统中持续存在的供应链风险。

SUPPLY CHAIN

恶意npm包部署RAT(凭据窃取工具)

JFrog发现一个恶意npm包,窃取系统凭据、浏览器数据、加密货币钱包、SSH密钥、Apple Keychain和iMessage历史记录。安装带有SOCKS5代理和实时浏览器会话克隆功能的持久化RAT。发现前已被下载178次。

ZERO-CLICK

Mail2Shell — FreeScout帮助台零点击RCE

开源帮助台软件FreeScout中存在严重的零点击漏洞,攻击者只需发送一封精心构造的邮件即可劫持邮件服务器——无需任何用户交互。

🔧 安全工具与行业动态

AI SECURITY

OpenAI发布Codex Security代理

OpenAI推出Codex Security — 一款AI驱动的安全代理,能够发现、验证漏洞并提出修复建议。在预览阶段,该工具扫描了120万次提交,发现10,561个高严重性问题。ChatGPT Pro/Enterprise/Business/Edu用户可使用,首月免费。

CLOUD SECURITY

Google:云攻击从弱凭据转向漏洞利用

Google 2026年上半年云威胁展望报告显示,攻击者越来越多地利用新披露的第三方软件漏洞(而不仅仅是弱凭据)来入侵云环境。漏洞利用窗口已从数周缩短至数天。

M&A

网络安全并购:2026年2月达成42笔交易

Check Point、Booz Allen、Proofpoint、Sophos、Palo Alto Networks和Zscaler宣布了重大交易。网络安全市场整合继续以激进的步伐推进。

来源: SecurityWeek
FUNDING

ArmorCode为暴露面管理融资1600万美元

ArmorCode获得1600万美元融资,用于加速应用安全态势管理和暴露面管理平台的开发。

来源: SecurityWeek
POLICY

特朗普网络战略:对手、关键基础设施与新兴技术

美国新网络战略呼吁加强对网络对手的威慑力、推进联邦网络现代化、保护关键基础设施,以及加大对AI和后量子密码学的投资。

来源: SecurityWeek
LEGAL

欧盟法院:银行必须立即退还钓鱼受害者损失

欧盟法院法律总顾问发表正式意见,建议银行必须立即退还与钓鱼相关的未授权交易的受害者损失。该意见可能成为对所有欧盟成员国具有约束力的判例。

📊 新兴威胁趋势

本周关键趋势

1. 供应链攻击加速:恶意npm包、Chrome扩展所有权转移以及服务提供商入侵(Ericsson)— 24小时内出现三种不同的供应链攻击向量。信任链正成为新的攻击面。

2. 云漏洞利用窗口缩短:Google的报告证实攻击者正在数天内(而非数周)利用新披露的漏洞。面向云的服务的补丁SLA需要以小时为单位衡量。

3. 国家行为体针对即时通讯应用:俄罗斯APT组织专门针对Signal和WhatsApp进行账户劫持。加密即时通讯工具是间谍活动的高价值目标,而非安全港。

4. AI安全工具走向主流:OpenAI Codex Security的发布(扫描120万次提交)表明AI驱动的漏洞检测正从小众走向DevSecOps标准工具。这是KENSAI市场的直接竞争。

5. Cisco基础设施遭受集中攻击:SD-WAN零日漏洞、Firewall Management RCE和认证绕过 — Cisco产品正经历关键漏洞集中爆发。使用Cisco基础设施的组织需要启动紧急补丁周期。