剣 KENSAI
← Back to archive
🛡️ 每日情报简报

安全研究

2026年3月23日 星期一 — 04:00 CET

⚡ 摘要 — 今日要点

  • Trivy供应链攻击升级: CanisterWorm自传播恶意软件通过被入侵的GitHub Actions感染47+个npm包
  • Oracle紧急补丁: CVE-2026-21992(CVSS 9.8)— Identity Manager未认证RCE,请立即修补
  • 美国司法部摧毁创纪录DDoS僵尸网络: 4个IoT僵尸网络中超过300万台设备被瓦解(峰值攻击31.4 Tbps)
  • FBI警告俄罗斯Signal/WhatsApp钓鱼攻击: 针对政府/军方人员,数千账户已被入侵
  • Langflow CVE-2026-33017在20小时内被利用: AI管道工具中CVSS 9.3的未认证RCE
  • Navia数据泄露暴露270万条记录: 2025年12月至2026年1月间个人信息和健康计划数据被窃
3
严重CVE
2.7M
泄露记录数
3M+
查获僵尸网络设备
47
受影响npm包
🔗
供应链攻击

Trivy扫描器遭入侵催生CanisterWorm — 47个npm包被感染

严重

威胁组织TeamPCP对Trivy漏洞扫描器的供应链攻击急剧升级。攻击者入侵了GitHub Actions的aquasecurity/trivy-actionaquasecurity/setup-trivy,劫持了75个标签以窃取CI/CD密钥。后续攻击部署了CanisterWorm,这是一种使用ICP Canister(防篡改智能合约)的自传播蠕虫,目前已扩散至47个npm包,使得遏制极为困难。

supply-chain npm github-actions CI/CD → The Hacker News

VoidStealer通过调试器技巧绕过Chrome应用程序绑定加密

高危

一款名为VoidStealer的新型信息窃取程序使用新颖技术绕过Chrome的Application-Bound Encryption(ABE)并提取浏览器主密钥。这使得攻击者能够解密所有存储的密码、Cookie和敏感数据。基于调试器的方法代表了凭据窃取技术的演进,能够绕过Chrome的最新保护措施。

infostealer chrome credential-theft → BleepingComputer
🐛
严重漏洞

CVE-2026-21992 — Oracle Identity Manager 未认证RCE(CVSS 9.8)

严重

Oracle针对Identity Manager和Web Services Manager中的严重未认证远程代码执行漏洞发布了紧急带外补丁。该漏洞无需认证即可远程利用。运行Oracle Identity Manager的组织应立即修补 — 这是在常规季度更新周期之外的紧急发布。

CVE-2026-21992 CVSS 9.8 RCE oracle → The Hacker News

CVE-2026-33017 — Langflow未认证RCE,公开后20小时内即遭利用

严重

热门AI管道工具Langflow的一个严重漏洞(CVSS 9.3)在公开披露后仅20小时内就在野外被利用。该漏洞将缺失认证与代码注入相结合,通过POST /api/v1端点实现远程代码执行。已确认存在活跃利用 — 请立即修补或下线。

CVE-2026-33017 CVSS 9.3 RCE AI-tools → The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center(最高严重级别)

严重

CISA要求联邦机构在3月22日前修补Cisco Secure Firewall Management Center(FMC)中的最高严重级别漏洞。该漏洞已被添加至KEV目录,表明已确认遭到利用。运行Cisco FMC的组织应立即验证补丁状态。

CVE-2026-20131 cisco firewall CISA-KEV → BleepingComputer

CISA将Apple、Craft CMS、Laravel Livewire漏洞加入KEV

高危

CISA将五个已被积极利用的漏洞添加至已知被利用漏洞目录:CVE-2025-31277(Apple,CVSS 8.8)以及Craft CMS和Laravel Livewire的漏洞。联邦机构必须在2026年4月3日前完成修补。这些漏洞均已确认处于活跃利用状态。

CISA-KEV apple craftcms laravel → The Hacker News

Magento PolyShell — 通过REST API图片上传实现未认证RCE

严重

Sansec披露了"PolyShell",这是Magento REST API中的一个严重漏洞,允许未认证攻击者上传伪装成图片的任意可执行文件,实现代码执行和账户接管。自2月27日以来,数千个Magento网站已在一场针对电商平台和全球品牌的持续篡改活动中遭到攻击。

magento ecommerce RCE file-upload → The Hacker News

Quest KACE漏洞被用于针对教育行业的攻击

高危

Quest KACE的一个严重漏洞(CVE-2025-32975)可能正在被用于针对教育行业的攻击。Quest KACE广泛用于学校和大学的系统管理和终端安全。

CVE-2025-32975 education quest-kace → SecurityWeek
💾
数据泄露

Navia数据泄露 — 270万条记录被窃

高危

福利管理公司Navia披露了一起影响270万人的数据泄露事件。2025年12月下旬至2026年1月中旬期间,黑客窃取了个人信息和健康计划数据。这是2026年第一季度报告的最大医疗相关数据泄露事件之一。

healthcare PII 2.7M records → SecurityWeek
🎯
威胁情报

FBI:俄罗斯情报机构大规模钓鱼攻击瞄准Signal和WhatsApp

高危

FBI和CISA发布联合警告,称与俄罗斯情报机构相关的威胁行为者正在针对Signal和WhatsApp用户开展钓鱼活动。目标包括现任和前任美国政府官员、军事人员、政治人物和记者。数千个账户已遭入侵。攻击者获取完整的消息和联系人访问权限,并利用被入侵账户的可信身份进行进一步钓鱼。

russia phishing signal whatsapp espionage → The Hacker News

Azure Monitor警报被滥用于回调钓鱼

中危

Microsoft Azure Monitor的警报功能正被武器化,用于发送冒充Microsoft安全团队的看似合法的回调钓鱼邮件。这些邮件警告"未授权收费",并利用Azure基础设施的可信度绕过邮件安全过滤器。

phishing azure microsoft → BleepingComputer

美国确认Handala与伊朗政府的关联,查封相关域名

中危

美国已正式确认黑客组织Handala代表伊朗政府行动,并查封了其用于网络心理战的多个域名。

iran APT psyops → SecurityWeek

3人因向中国走私AI硬件被起诉

资讯

三人因涉嫌违反美国出口管制法、策划将大量高性能AI服务器从美国转运至中国而被起诉,凸显了围绕AI技术转让的持续紧张局势。

export-controls china AI-hardware → SecurityWeek
⚖️
执法行动

美国司法部摧毁4个IoT僵尸网络 — 300万台设备,创纪录31.4 Tbps DDoS

资讯

美国司法部联合加拿大和德国,瓦解了AISURU、Kimwolf、JackSkid和Mossad僵尸网络的C2基础设施。这些僵尸网络控制了300多万台IoT设备(DVR、摄像头、路由器、智能电视),并发动了峰值达31.4 Tbps的创纪录DDoS攻击。私营部门合作伙伴包括Akamai、AWS、Cloudflare、Google等。Kimwolf的操控者疑为渥太华一名23岁青年;德国一名15岁少年也涉嫌参与。目前尚未宣布逮捕消息。

botnet DDoS IoT law-enforcement → The Hacker News

爱丽丝行动 — 关闭373,000个暗网站点

资讯

国际执法机构开展的"爱丽丝行动"关闭了超过373,000个暗网站点。这是迄今为止规模最大的非法暗网基础设施协调打击行动之一。

dark-web takedown international → BleepingComputer
💰
行业与融资

安全初创企业本周融资超2.82亿美元

资讯

本周主要安全融资轮次:

  • Oasis Security — 1.2亿美元,用于智能体访问管理
  • Cape — 1亿美元,用于蜂窝安全/注重隐私的MVNO
  • Eclypsium — 2500万美元,用于设备供应链安全
  • 1stProtect — 2000万美元(隐形模式),用于终端行为监控
  • Allure Security — 1700万美元,用于在线品牌保护
funding startups $282M+
📊
新兴威胁趋势

本周关键趋势

分析

1. 供应链攻击加速: Trivy入侵 + CanisterWorm代表了一种新范式 — 利用基于区块链的C2在包生态系统中自传播的蠕虫。CI/CD管道现已成为主要攻击面。

2. 漏洞利用时间缩短: Langflow CVE-2026-33017在披露后20小时内即被武器化。防御方对严重漏洞披露的响应时间不足一天 — 自动补丁已不再是可选项。

3. AI工具攻击面扩大: Langflow(AI管道工具)和AI硬件走私起诉案均表明,AI基础设施 — 工具和硬件 — 现已成为主要目标。

4. 国家级消息应用攻击: 俄罗斯情报机构大规模瞄准Signal/WhatsApp标志着攻击目标从电子邮件转向加密消息应用,削弱了"用Signal就安全"的安全建议的可信度。

5. 智能体安全兴起: Oasis Security为"智能体访问管理"获得1.2亿美元融资,以及AI驱动安全工具的广泛趋势,反映出行业正大力押注自主防御能力。

trends analysis KENSAI-relevant
🔮
KENSAI 业务相关性

本周KENSAI业务机会

  • Magento PolyShell: 数千电商网站受影响 → KENSAI可通过DAST扫描检测此漏洞。DACH电商市场的内容机会。
  • 供应链攻击: Trivy/CanisterWorm验证了KENSAI的SBOM/依赖扫描价值主张。NIS2要求供应链风险管理。
  • 20小时利用窗口: KENSAI持续扫描的完美宣传点 —"您的安全团队能在20小时内完成修补吗?"
  • Oasis 1.2亿美元融资: 验证了市场对自主安全工具的需求 — KENSAI的自主渗透测试定位契合趋势。
  • Oracle/Cisco严重补丁: 在NIS2合规内容中重点强调 — 指令下的强制修补要求。