剣 KENSAI
← Back to archive

每日威胁简报

2026年3月18–19日(星期三)· 14篇报道,来自4个来源

⚡ 要点速览 — 您需要了解的5件事

  • "DarkSword" iOS漏洞利用套件 — 国家支持的攻击者利用6个漏洞链实现对iPhone的全面监控
  • Cisco FMC零日漏洞(CVE-2026-20131,CVSS 10.0) — Interlock勒索软件自1月起持续利用
  • GNU telnetd RCE(CVE-2026-32746,CVSS 9.8) — 未修补的无需认证root代码执行
  • Ubuntu root权限提升(CVE-2026-3888) — 24.04+默认安装因systemd时序漏洞而受影响
  • 欧盟制裁支持针对成员国的国家黑客行动的中国和伊朗企业

🔓 数据泄露与暴露

Aura确认数据泄露,90万营销联系人信息曝光

数据泄露 3月18日

身份保护公司Aura确认近90万条包含姓名和电子邮件地址的客户记录遭未经授权访问。身份保护公司自身被入侵的讽刺性表明,没有任何公司能够幸免。

Marquis:勒索软件团伙窃取67.2万人数据

数据泄露 勒索软件 3月18日

德州金融服务提供商Marquis披露,一个勒索软件团伙在2025年8月的攻击中窃取了超过67万人的数据,并扰乱了美国74家银行的运营。

UK Companies House暴露数百万企业详细信息

数据暴露 3月18日

英国政府机构确认存在一个漏洞,可被利用来获取数百万注册企业的信息并篡改记录。

来源: SecurityWeek

伊朗黑客在Stryker入侵中使用被盗凭证

数据泄露 国家行为体 3月18日

医疗技术巨头Stryker正在恢复系统,此前与伊朗有关的Handala黑客组织使用恶意软件窃取的凭证入侵了其网络。

来源: SecurityWeek

🛡️ 严重漏洞

Cisco FMC零日漏洞 — CVE-2026-20131(CVSS 10.0)

严重 正在被积极利用 3月18日

Cisco Secure Firewall Management Center中Java字节流的不安全反序列化允许未经身份验证的远程攻击者获取root访问权限。Interlock勒索软件团伙自2026年1月底以来一直将其作为零日漏洞利用。

KENSAI Impact: 运行Cisco FMC的任何组织都应立即打补丁。这是最高严重性评级,正在被积极武器化。

GNU Telnetd RCE — CVE-2026-32746(CVSS 9.8)

严重 未修补 3月18日

GNU InetUtils telnet守护进程LINEMODE Set处理中的越界写入允许未经认证的远程代码执行并获得提升权限。目前未修补——如果正在运行telnetd请立即禁用。

KENSAI Impact: 仍在运行telnetd的遗留基础设施完全暴露。即时缓解措施:禁用该服务或通过防火墙封锁端口23。

Ubuntu root权限提升 — CVE-2026-3888(CVSS 7.8)

默认安装受影响 3月18日

snap-confine和systemd-tmpfiles之间的时序漏洞允许非特权本地攻击者在Ubuntu Desktop 24.04+上提升至完整root权限。需要10-30天的时间窗口,但可导致主机完全被攻陷。

Apple WebKit同源策略绕过 — CVE-2026-20643

已修复 3月18日

WebKit Navigation API中的跨源问题绕过了iOS、iPadOS和macOS上的同源策略。Apple通过新的"Background Security Improvements"机制修复——这是该轻量级补丁分发方式的首次使用。

Zimbra XSS漏洞 — 正在被积极利用,CISA下令修补

正在被积极利用 3月18日

CISA已命令美国联邦机构修补Zimbra Collaboration Suite中一个正在被积极利用的XSS漏洞。使用ZCS的政府邮件服务器面临风险。

ConnectWise ScreenConnect签名验证漏洞

已修复 3月18日

ConnectWise警告ScreenConnect中存在加密签名验证漏洞,可能导致未经授权的访问和权限提升。补丁已发布。

9个严重IP KVM漏洞 — 无需认证的root访问

严重 4家供应商受影响 3月18日

GL-iNet、Angeet/Yeeso、Sipeed NanoKVM和JetKVM设备中存在9个漏洞。缺少固件验证、无暴力破解保护、访问控制失效以及暴露的调试接口使得BIOS级别的完全接管成为可能。

WhatsApp View Once绕过第4种方法 — Meta拒绝修复

隐私 不予修复 3月18日

研究人员披露了绕过WhatsApp"仅查看一次"功能的第四种方法。Meta确认不会修复,因为该方法需要修改的客户端应用程序。

来源: SecurityWeek

💀 勒索软件与活跃攻击

"DarkSword" iOS漏洞利用套件 — 国家级监控

严重 国家行为体 3月18日

一款针对六个iOS漏洞的新型漏洞利用套件可实现设备的完全攻陷以用于监控。被国家支持的黑客和商业间谍软件供应商使用。窃取加密货币钱包和其他应用的数据。这是一个完整的漏洞利用链——不是单一漏洞。

KENSAI Impact: 拥有高价值目标(高管、政府官员)的组织应确保所有iOS设备立即更新至最新版本。

DPRK IT工人网络被OFAC制裁

国家行为体 制裁 3月18日

美国财政部制裁了参与朝鲜虚假远程工作者计划的六名个人和两个实体。DPRK特工以虚假身份渗透企业,为武器计划创造收入。

欧盟因黑客行动制裁中国和伊朗企业

地缘政治 NIS2相关 3月18日

欧盟制裁了两名中国个人、两家中国企业和一家伊朗企业,原因是其支持针对欧盟成员国的黑客行动。这对NIS2合规背景具有重要意义。

KENSAI Impact: 受NIS2约束的欧盟组织应更新其威胁情报源。这些制裁验证了NIS2旨在应对的国家支持威胁模型。

来源: SecurityWeek

Nordstrom电子邮件系统被劫持用于加密货币诈骗

邮件滥用 3月18日

攻击者滥用Nordstrom的合法电子邮件基础设施向客户发送伪装成圣帕特里克节促销的加密货币诈骗信息。由于邮件来自真实的Nordstrom地址,绕过了邮件认证。

🔧 行业与工具

XBOW以10亿美元+估值融资1.2亿美元 — 自主攻击性安全

融资 竞争动态 3月18日

自主攻击性安全公司XBOW以1.2亿美元融资达到独角兽地位。其AI平台自主发现和验证软件漏洞——直接与KENSAI的自动化渗透测试形成竞争。

KENSAI Impact: 验证了AI驱动安全测试的市场。XBOW 10亿美元+的估值证明了投资者的兴趣。KENSAI的关键差异化因素:多语言NIS2合规聚焦 vs. XBOW的纯漏洞发现路线。

来源: SecurityWeek

云安全初创公司"Native"走出隐身模式 — 融资4200万美元

融资 3月18日

云安全初创公司Native融资4200万美元,前Google Cloud CISO Phil Venables加入董事会。专注于云原生安全。

来源: SecurityWeek

Manifold为AI检测与响应融资800万美元

融资 3月18日

专注于保护端点上的自主AI,Manifold融资800万美元用于投资AI特定威胁检测产品的开发。

来源: SecurityWeek

科技巨头向开源安全投资1250万美元

Open Source 3月18日

Anthropic、AWS、Google、Microsoft和OpenAI正在资助Linux Foundation专注于开源软件安全的长期安全倡议。

来源: SecurityWeek

📡 新兴威胁趋势

AI基础设施遭受攻击 — Amazon Bedrock、LangSmith、SGLang

AI安全 新兴 3月17–18日

新研究表明,AI代码执行环境可以通过DNS查询被利用进行数据外泄。Amazon Bedrock AgentCore的沙箱允许出站DNS,攻击者利用此获取交互式shell。LangSmith和SGLang也受到影响。AI技术栈正在成为一级攻击面。

KENSAI Impact: AI安全不再是理论性的——它是一个活跃的攻击面。这验证了KENSAI在AI安全测试方面的定位。部署AI代理的企业需要安全扫描。

67%的CISO对AI使用的可见性有限

AI安全 研究 3月17日

Pentera的2026年基准报告发现,67%的CISO对组织内AI的使用可见性有限。没有任何受访者报告完全可见性。AI的采用速度超过了安全控制——保护AI系统的工具和技能属于过去的时代。

SaaS应用中的影子AI引发大规模泄露

影子AI SaaS风险 3月18日

隐藏在SaaS应用程序中的影子AI正在创建不受控制的数据通道。在员工已经使用的工具中自动启用的代理AI功能意味着安全团队对正在处理的数据及其去向毫无可见性。

来源: SecurityWeek

基于浏览器的攻击绕过安全控制

浏览器安全 3月18日

Push Security的报告指出,AITM钓鱼、ClickFix、恶意OAuth应用和会话劫持是驱动当今最大泄露事件的攻击向量——所有这些都在浏览器内运行,传统安全工具在该领域的可见性有限。

Magecart进化:将载荷隐藏在动态网站图标的EXIF数据中

供应链 规避 3月18日

新的Magecart技术将恶意载荷隐藏在动态加载的第三方网站图标的EXIF数据中。由于恶意代码从未接触代码库,任何静态代码扫描器——包括AI驱动的——都无法检测到。只有客户端运行时监控才能发现。