每日威胁简报
2026年3月18–19日(星期三)· 14篇报道,来自4个来源
⚡ 要点速览 — 您需要了解的5件事
- "DarkSword" iOS漏洞利用套件 — 国家支持的攻击者利用6个漏洞链实现对iPhone的全面监控
- Cisco FMC零日漏洞(CVE-2026-20131,CVSS 10.0) — Interlock勒索软件自1月起持续利用
- GNU telnetd RCE(CVE-2026-32746,CVSS 9.8) — 未修补的无需认证root代码执行
- Ubuntu root权限提升(CVE-2026-3888) — 24.04+默认安装因systemd时序漏洞而受影响
- 欧盟制裁支持针对成员国的国家黑客行动的中国和伊朗企业
🔓 数据泄露与暴露
Aura确认数据泄露,90万营销联系人信息曝光
身份保护公司Aura确认近90万条包含姓名和电子邮件地址的客户记录遭未经授权访问。身份保护公司自身被入侵的讽刺性表明,没有任何公司能够幸免。
Marquis:勒索软件团伙窃取67.2万人数据
德州金融服务提供商Marquis披露,一个勒索软件团伙在2025年8月的攻击中窃取了超过67万人的数据,并扰乱了美国74家银行的运营。
🛡️ 严重漏洞
Cisco FMC零日漏洞 — CVE-2026-20131(CVSS 10.0)
Cisco Secure Firewall Management Center中Java字节流的不安全反序列化允许未经身份验证的远程攻击者获取root访问权限。Interlock勒索软件团伙自2026年1月底以来一直将其作为零日漏洞利用。
KENSAI Impact: 运行Cisco FMC的任何组织都应立即打补丁。这是最高严重性评级,正在被积极武器化。
GNU Telnetd RCE — CVE-2026-32746(CVSS 9.8)
GNU InetUtils telnet守护进程LINEMODE Set处理中的越界写入允许未经认证的远程代码执行并获得提升权限。目前未修补——如果正在运行telnetd请立即禁用。
KENSAI Impact: 仍在运行telnetd的遗留基础设施完全暴露。即时缓解措施:禁用该服务或通过防火墙封锁端口23。
Ubuntu root权限提升 — CVE-2026-3888(CVSS 7.8)
snap-confine和systemd-tmpfiles之间的时序漏洞允许非特权本地攻击者在Ubuntu Desktop 24.04+上提升至完整root权限。需要10-30天的时间窗口,但可导致主机完全被攻陷。
Apple WebKit同源策略绕过 — CVE-2026-20643
WebKit Navigation API中的跨源问题绕过了iOS、iPadOS和macOS上的同源策略。Apple通过新的"Background Security Improvements"机制修复——这是该轻量级补丁分发方式的首次使用。
Zimbra XSS漏洞 — 正在被积极利用,CISA下令修补
CISA已命令美国联邦机构修补Zimbra Collaboration Suite中一个正在被积极利用的XSS漏洞。使用ZCS的政府邮件服务器面临风险。
ConnectWise ScreenConnect签名验证漏洞
ConnectWise警告ScreenConnect中存在加密签名验证漏洞,可能导致未经授权的访问和权限提升。补丁已发布。
9个严重IP KVM漏洞 — 无需认证的root访问
GL-iNet、Angeet/Yeeso、Sipeed NanoKVM和JetKVM设备中存在9个漏洞。缺少固件验证、无暴力破解保护、访问控制失效以及暴露的调试接口使得BIOS级别的完全接管成为可能。
WhatsApp View Once绕过第4种方法 — Meta拒绝修复
研究人员披露了绕过WhatsApp"仅查看一次"功能的第四种方法。Meta确认不会修复,因为该方法需要修改的客户端应用程序。
💀 勒索软件与活跃攻击
"DarkSword" iOS漏洞利用套件 — 国家级监控
一款针对六个iOS漏洞的新型漏洞利用套件可实现设备的完全攻陷以用于监控。被国家支持的黑客和商业间谍软件供应商使用。窃取加密货币钱包和其他应用的数据。这是一个完整的漏洞利用链——不是单一漏洞。
KENSAI Impact: 拥有高价值目标(高管、政府官员)的组织应确保所有iOS设备立即更新至最新版本。
欧盟因黑客行动制裁中国和伊朗企业
欧盟制裁了两名中国个人、两家中国企业和一家伊朗企业,原因是其支持针对欧盟成员国的黑客行动。这对NIS2合规背景具有重要意义。
KENSAI Impact: 受NIS2约束的欧盟组织应更新其威胁情报源。这些制裁验证了NIS2旨在应对的国家支持威胁模型。
Nordstrom电子邮件系统被劫持用于加密货币诈骗
攻击者滥用Nordstrom的合法电子邮件基础设施向客户发送伪装成圣帕特里克节促销的加密货币诈骗信息。由于邮件来自真实的Nordstrom地址,绕过了邮件认证。
🔧 行业与工具
XBOW以10亿美元+估值融资1.2亿美元 — 自主攻击性安全
自主攻击性安全公司XBOW以1.2亿美元融资达到独角兽地位。其AI平台自主发现和验证软件漏洞——直接与KENSAI的自动化渗透测试形成竞争。
KENSAI Impact: 验证了AI驱动安全测试的市场。XBOW 10亿美元+的估值证明了投资者的兴趣。KENSAI的关键差异化因素:多语言NIS2合规聚焦 vs. XBOW的纯漏洞发现路线。
云安全初创公司"Native"走出隐身模式 — 融资4200万美元
云安全初创公司Native融资4200万美元,前Google Cloud CISO Phil Venables加入董事会。专注于云原生安全。
科技巨头向开源安全投资1250万美元
Anthropic、AWS、Google、Microsoft和OpenAI正在资助Linux Foundation专注于开源软件安全的长期安全倡议。
📡 新兴威胁趋势
AI基础设施遭受攻击 — Amazon Bedrock、LangSmith、SGLang
新研究表明,AI代码执行环境可以通过DNS查询被利用进行数据外泄。Amazon Bedrock AgentCore的沙箱允许出站DNS,攻击者利用此获取交互式shell。LangSmith和SGLang也受到影响。AI技术栈正在成为一级攻击面。
KENSAI Impact: AI安全不再是理论性的——它是一个活跃的攻击面。这验证了KENSAI在AI安全测试方面的定位。部署AI代理的企业需要安全扫描。
67%的CISO对AI使用的可见性有限
Pentera的2026年基准报告发现,67%的CISO对组织内AI的使用可见性有限。没有任何受访者报告完全可见性。AI的采用速度超过了安全控制——保护AI系统的工具和技能属于过去的时代。
SaaS应用中的影子AI引发大规模泄露
隐藏在SaaS应用程序中的影子AI正在创建不受控制的数据通道。在员工已经使用的工具中自动启用的代理AI功能意味着安全团队对正在处理的数据及其去向毫无可见性。
基于浏览器的攻击绕过安全控制
Push Security的报告指出,AITM钓鱼、ClickFix、恶意OAuth应用和会话劫持是驱动当今最大泄露事件的攻击向量——所有这些都在浏览器内运行,传统安全工具在该领域的可见性有限。
Magecart进化:将载荷隐藏在动态网站图标的EXIF数据中
新的Magecart技术将恶意载荷隐藏在动态加载的第三方网站图标的EXIF数据中。由于恶意代码从未接触代码库,任何静态代码扫描器——包括AI驱动的——都无法检测到。只有客户端运行时监控才能发现。