安全研究
⚡ 摘要 — 今日要点
- Trivy供应链攻击升级: CanisterWorm自传播恶意软件通过被入侵的GitHub Actions感染47+个npm包
- Oracle紧急补丁: CVE-2026-21992(CVSS 9.8)— Identity Manager未认证RCE,请立即修补
- 美国司法部摧毁创纪录DDoS僵尸网络: 4个IoT僵尸网络中超过300万台设备被瓦解(峰值攻击31.4 Tbps)
- FBI警告俄罗斯Signal/WhatsApp钓鱼攻击: 针对政府/军方人员,数千账户已被入侵
- Langflow CVE-2026-33017在20小时内被利用: AI管道工具中CVSS 9.3的未认证RCE
- Navia数据泄露暴露270万条记录: 2025年12月至2026年1月间个人信息和健康计划数据被窃
Trivy扫描器遭入侵催生CanisterWorm — 47个npm包被感染
严重威胁组织TeamPCP对Trivy漏洞扫描器的供应链攻击急剧升级。攻击者入侵了GitHub Actions的aquasecurity/trivy-action和aquasecurity/setup-trivy,劫持了75个标签以窃取CI/CD密钥。后续攻击部署了CanisterWorm,这是一种使用ICP Canister(防篡改智能合约)的自传播蠕虫,目前已扩散至47个npm包,使得遏制极为困难。
VoidStealer通过调试器技巧绕过Chrome应用程序绑定加密
高危一款名为VoidStealer的新型信息窃取程序使用新颖技术绕过Chrome的Application-Bound Encryption(ABE)并提取浏览器主密钥。这使得攻击者能够解密所有存储的密码、Cookie和敏感数据。基于调试器的方法代表了凭据窃取技术的演进,能够绕过Chrome的最新保护措施。
CVE-2026-21992 — Oracle Identity Manager 未认证RCE(CVSS 9.8)
严重Oracle针对Identity Manager和Web Services Manager中的严重未认证远程代码执行漏洞发布了紧急带外补丁。该漏洞无需认证即可远程利用。运行Oracle Identity Manager的组织应立即修补 — 这是在常规季度更新周期之外的紧急发布。
CVE-2026-33017 — Langflow未认证RCE,公开后20小时内即遭利用
严重热门AI管道工具Langflow的一个严重漏洞(CVSS 9.3)在公开披露后仅20小时内就在野外被利用。该漏洞将缺失认证与代码注入相结合,通过POST /api/v1端点实现远程代码执行。已确认存在活跃利用 — 请立即修补或下线。
CVE-2026-20131 — Cisco Secure Firewall Management Center(最高严重级别)
严重CISA要求联邦机构在3月22日前修补Cisco Secure Firewall Management Center(FMC)中的最高严重级别漏洞。该漏洞已被添加至KEV目录,表明已确认遭到利用。运行Cisco FMC的组织应立即验证补丁状态。
CISA将Apple、Craft CMS、Laravel Livewire漏洞加入KEV
高危CISA将五个已被积极利用的漏洞添加至已知被利用漏洞目录:CVE-2025-31277(Apple,CVSS 8.8)以及Craft CMS和Laravel Livewire的漏洞。联邦机构必须在2026年4月3日前完成修补。这些漏洞均已确认处于活跃利用状态。
Magento PolyShell — 通过REST API图片上传实现未认证RCE
严重Sansec披露了"PolyShell",这是Magento REST API中的一个严重漏洞,允许未认证攻击者上传伪装成图片的任意可执行文件,实现代码执行和账户接管。自2月27日以来,数千个Magento网站已在一场针对电商平台和全球品牌的持续篡改活动中遭到攻击。
Quest KACE漏洞被用于针对教育行业的攻击
高危Quest KACE的一个严重漏洞(CVE-2025-32975)可能正在被用于针对教育行业的攻击。Quest KACE广泛用于学校和大学的系统管理和终端安全。
Navia数据泄露 — 270万条记录被窃
高危福利管理公司Navia披露了一起影响270万人的数据泄露事件。2025年12月下旬至2026年1月中旬期间,黑客窃取了个人信息和健康计划数据。这是2026年第一季度报告的最大医疗相关数据泄露事件之一。
FBI:俄罗斯情报机构大规模钓鱼攻击瞄准Signal和WhatsApp
高危FBI和CISA发布联合警告,称与俄罗斯情报机构相关的威胁行为者正在针对Signal和WhatsApp用户开展钓鱼活动。目标包括现任和前任美国政府官员、军事人员、政治人物和记者。数千个账户已遭入侵。攻击者获取完整的消息和联系人访问权限,并利用被入侵账户的可信身份进行进一步钓鱼。
Azure Monitor警报被滥用于回调钓鱼
中危Microsoft Azure Monitor的警报功能正被武器化,用于发送冒充Microsoft安全团队的看似合法的回调钓鱼邮件。这些邮件警告"未授权收费",并利用Azure基础设施的可信度绕过邮件安全过滤器。
美国确认Handala与伊朗政府的关联,查封相关域名
中危美国已正式确认黑客组织Handala代表伊朗政府行动,并查封了其用于网络心理战的多个域名。
3人因向中国走私AI硬件被起诉
资讯三人因涉嫌违反美国出口管制法、策划将大量高性能AI服务器从美国转运至中国而被起诉,凸显了围绕AI技术转让的持续紧张局势。
美国司法部摧毁4个IoT僵尸网络 — 300万台设备,创纪录31.4 Tbps DDoS
资讯美国司法部联合加拿大和德国,瓦解了AISURU、Kimwolf、JackSkid和Mossad僵尸网络的C2基础设施。这些僵尸网络控制了300多万台IoT设备(DVR、摄像头、路由器、智能电视),并发动了峰值达31.4 Tbps的创纪录DDoS攻击。私营部门合作伙伴包括Akamai、AWS、Cloudflare、Google等。Kimwolf的操控者疑为渥太华一名23岁青年;德国一名15岁少年也涉嫌参与。目前尚未宣布逮捕消息。
爱丽丝行动 — 关闭373,000个暗网站点
资讯国际执法机构开展的"爱丽丝行动"关闭了超过373,000个暗网站点。这是迄今为止规模最大的非法暗网基础设施协调打击行动之一。
安全初创企业本周融资超2.82亿美元
资讯本周主要安全融资轮次:
- Oasis Security — 1.2亿美元,用于智能体访问管理
- Cape — 1亿美元,用于蜂窝安全/注重隐私的MVNO
- Eclypsium — 2500万美元,用于设备供应链安全
- 1stProtect — 2000万美元(隐形模式),用于终端行为监控
- Allure Security — 1700万美元,用于在线品牌保护
本周关键趋势
分析1. 供应链攻击加速: Trivy入侵 + CanisterWorm代表了一种新范式 — 利用基于区块链的C2在包生态系统中自传播的蠕虫。CI/CD管道现已成为主要攻击面。
2. 漏洞利用时间缩短: Langflow CVE-2026-33017在披露后20小时内即被武器化。防御方对严重漏洞披露的响应时间不足一天 — 自动补丁已不再是可选项。
3. AI工具攻击面扩大: Langflow(AI管道工具)和AI硬件走私起诉案均表明,AI基础设施 — 工具和硬件 — 现已成为主要目标。
4. 国家级消息应用攻击: 俄罗斯情报机构大规模瞄准Signal/WhatsApp标志着攻击目标从电子邮件转向加密消息应用,削弱了"用Signal就安全"的安全建议的可信度。
5. 智能体安全兴起: Oasis Security为"智能体访问管理"获得1.2亿美元融资,以及AI驱动安全工具的广泛趋势,反映出行业正大力押注自主防御能力。
本周KENSAI业务机会
- Magento PolyShell: 数千电商网站受影响 → KENSAI可通过DAST扫描检测此漏洞。DACH电商市场的内容机会。
- 供应链攻击: Trivy/CanisterWorm验证了KENSAI的SBOM/依赖扫描价值主张。NIS2要求供应链风险管理。
- 20小时利用窗口: KENSAI持续扫描的完美宣传点 —"您的安全团队能在20小时内完成修补吗?"
- Oasis 1.2亿美元融资: 验证了市场对自主安全工具的需求 — KENSAI的自主渗透测试定位契合趋势。
- Oracle/Cisco严重补丁: 在NIS2合规内容中重点强调 — 指令下的强制修补要求。