每日安全研究
2026-03-22 · 3月21日(周六)→ 3月22日(周日)· CET 04:00 自动生成
⚡ TL;DR — 今日要点
- Trivy供应链攻击升级 — 新型自传播"CanisterWorm"利用基于区块链的C2感染47个npm包
- Oracle紧急补丁 — CVE-2026-21992(CVSS 9.8)允许在Identity Manager中进行未认证RCE
- FBI警告俄罗斯Signal/WhatsApp钓鱼攻击 — 数千账户已被入侵
- DoJ摧毁创纪录DDoS僵尸网络 — 300万+设备、31.4 Tbps攻击被阻止
- CISA截止日期是今天 — 最高严重性Cisco FMC漏洞CVE-2026-20131必须在3月22日前修补
- Langflow RCE在20小时内被利用 — CVE-2026-33017(CVSS 9.3)被积极攻击
- Navia数据泄露影响270万人 — 个人信息和健康计划数据被盗
Trivy扫描器被入侵 — CanisterWorm传播至47个npm包
供应链 严重Aqua Security的Trivy漏洞扫描器在一个月内第二次被入侵。威胁组织TeamPCP劫持了aquasecurity/trivy-action和aquasecurity/setup-trivy中的75个GitHub Action标签,向CI/CD流水线注入凭证窃取恶意软件。后续攻击部署了CanisterWorm——一种自传播蠕虫,感染了@EmilGroup、@opengov等范围内的47个npm包。该蠕虫使用Internet Computer Protocol(ICP)区块链容器作为死信投递C2解析器——这是该技术的首个记录案例——使得清除极其困难。通过伪装为PostgreSQL工具的systemd服务实现持久化。
Magento PolyShell — 通过REST API进行未认证上传和RCE
严重Sansec发现Magento REST API中存在严重漏洞,允许未认证攻击者上传伪装为图片的任意可执行文件,实现远程代码执行和账户接管。该攻击被命名为PolyShell,利用图片文件处理机制。尚未观察到公开利用,但自2月27日起已有数千个Magento网站遭受另一波持续的篡改攻击。
来源: The Hacker News · SecurityWeek
CVE-2026-21992 — Oracle Identity Manager未认证RCE
严重 CVSS 9.8Oracle针对Identity Manager和Web Services Manager中的严重未认证远程代码执行漏洞发布了带外紧急补丁。利用无需认证。Oracle敦促立即修补。
来源: The Hacker News
CVE-2026-20131 — Cisco Secure Firewall Management Center(最高严重性)
严重 CVSS 10.0CISA命令所有联邦机构在今天(3月22日)之前修补这一最高严重性的Cisco FMC漏洞。详细信息表明该漏洞可导致完全系统入侵。已被纳入CISA已知被利用漏洞目录。
来源: BleepingComputer
CVE-2026-33017 — Langflow未认证RCE(20小时内被利用)
严重 CVSS 9.3Langflow(流行的AI工作流构建器)中存在严重的缺失认证+代码注入漏洞。威胁行为者在公开披露后20小时内通过POST /api/v1端点将该漏洞武器化。凸显了补丁部署时间窗口的急剧缩小。
来源: The Hacker News
CISA将Apple、Craft CMS、Laravel Livewire纳入KEV目录
活跃利用中CISA KEV目录新增5个漏洞,修补截止日期为2026年4月3日。包括CVE-2025-31277(Apple,CVSS 8.8)以及Craft CMS和Laravel Livewire中的漏洞。均已确认被积极利用。
来源: The Hacker News
CVE-2025-32975 — Quest KACE在教育领域被利用
严重Quest KACE系统管理设备中的严重漏洞可能已被用于攻击教育领域目标。使用Quest KACE的组织应立即修补。
来源: SecurityWeek
FBI/CISA:俄罗斯情报机构大规模针对Signal和WhatsApp
国家级 高影响FBI和CISA发布联合公告,警告俄罗斯情报机构正在对Signal和WhatsApp用户开展大规模钓鱼攻击活动。目标包括现任/前任美国政府官员、军事人员、政治人物和记者。数千账户已被入侵。获得访问权限后,攻击者查看消息、窃取联系人、冒充受害者,并利用受信任身份进行链式钓鱼攻击。FBI局长Kash Patel在X上确认了该活动。
美国确认Handala与伊朗政府有关联
国家级美国政府已查封了Handala使用的多个域名,确认其与伊朗政府存在关联。该组织开展了网络赋能的心理战行动。域名在协调行动中被关闭。
来源: SecurityWeek
DoJ摧毁300万设备IoT僵尸网络 — 创纪录31.4 Tbps DDoS
严重美国DoJ联合加拿大和德国当局,摧毁了AISURU、Kimwolf、JackSkid和Mossad僵尸网络的C2基础设施——这些网络共控制超过300万台受感染的IoT设备(DVR、智能电视、机顶盒)。这些僵尸网络发起了高达31.4 Tbps的创纪录DDoS攻击。大量私营部门组织参与协助(Akamai、AWS、Cloudflare、Google、Oracle、PayPal等)。嫌疑人包括加拿大一名23岁青年和德国一名15岁少年。尚未宣布逮捕。
来源: The Hacker News
Navia数据泄露 — 270万人受影响
大规模2025年12月底至2026年1月中旬期间,黑客从Navia环境中窃取了个人信息和健康计划数据,影响270万人。医疗保健和福利数据被泄露。
来源: SecurityWeek
数千个Magento网站遭受持续篡改攻击
网络攻击自2月27日开始的大规模篡改攻击已影响数千个基于Magento的电商网站,目标包括全球品牌甚至政府服务。加上新的PolyShell漏洞,Magento运营者面临严峻的威胁态势。
来源: SecurityWeek
Microsoft Azure Monitor告警被滥用于回调钓鱼
钓鱼攻击者正在滥用Microsoft Azure Monitor告警发送冒充Microsoft Security Team的回调钓鱼邮件。邮件警告存在未授权收费,诱骗受害者拨打攻击者控制的电话号码。
来源: BleepingComputer
Google Android"Advanced Flow" — 24小时侧载冷却期
androidGoogle宣布Android新的侧载机制:来自未验证开发者的应用在安装前需要24小时强制等待期。这是其开发者验证要求的一部分,旨在减少恶意软件和诈骗应用的分发。
来源: The Hacker News
Oasis Security — 1.2亿美元用于代理访问管理
AI框架访问管理和市场拓展的研发扩张。
Cape — 1亿美元用于蜂窝安全
面向消费者、企业和政府的隐私优先MVNO。
Eclypsium — 2500万美元用于设备供应链安全
扩展固件和供应链安全平台能力。
1stProtect — 2000万美元(隐身退出)用于端点安全
行为监控和用户意图验证,实时阻止攻击。
Allure Security — 1700万美元用于在线品牌保护
数字品牌保护平台扩展。
本周关键趋势
1. 供应链攻击加速:Trivy/CanisterWorm表明攻击者正在链式利用供应链入侵——一次入侵导致自传播蠕虫扩散至整个生态系统。基于区块链的C2(ICP canisters)使清除几乎不可能。
2. 利用时间窗口崩塌:Langflow CVE-2026-33017在披露后20小时内被利用。面向互联网的服务的补丁窗口实际上为零。
3. AI驱动的钓鱼攻击日益精密:随着AI生成可绕过传统检测的个性化钓鱼内容,行为分析变得至关重要。基于浏览器的AITM攻击和ClickFix技术正在导致重大入侵。
4. 国家级攻击瞄准即时通讯应用:俄罗斯情报机构针对加密通讯(Signal、WhatsApp)开展工业规模的攻击活动。信任链被利用——被入侵的账户被用于钓鱼联系人。
5. IoT僵尸网络规模达到基础设施级别:来自受感染消费设备的31.4 Tbps DDoS能力。即使在被摧毁后,受感染设备群体仍然存在。
6. 监管持续收紧:英国加入NIS2式报告义务。欧盟/英国组织的合规负担增加。
这对KENSAI客户意味着什么
供应链监控:Trivy/npm入侵事件再次强调了持续依赖项扫描的重要性。KENSAI的SBOM分析和依赖项检查正是检测这些模式的工具。
补丁管理紧迫性:随着CVE利用窗口缩短至数小时(Langflow)以及CISA要求当天修补(Cisco),自动化漏洞扫描不再是可选项——而是生存必需。
NIS2报告:英国加强的报告规则反映了NIS2第23条。DACH地区的组织面临同样的义务。KENSAI的合规报告功能直接满足这一需求。
即时通讯安全:俄罗斯的Signal/WhatsApp攻击活动是对所有依赖消费者级通讯工具进行敏感通信的组织的警钟。