🛡️ KENSAI 每日安全研究
🔓 重大数据泄露事件
HackerOne 员工数据在 Navia 泄露事件中曝光
HackerOne 确认,在针对福利服务提供商 Navia 的数据泄露事件中,数百名员工的个人信息被窃取。泄露的敏感个人身份信息包括姓名、地址和福利数据。一个漏洞赏金平台的员工在第三方数据泄露中受害,这一讽刺事件凸显了供应链风险的严重性。
即使是安全优先的公司也会通过其供应商链暴露在风险之中。NIS2 第21条明确要求进行供应链安全评估。KENSAI 的第三方风险扫描可以发现这些安全缺口。
LeakBase 管理员在俄罗斯被捕——14.7万用户,数亿条记录
俄罗斯执法机构在塔甘罗格逮捕了网络犯罪论坛 LeakBase 的管理员。该平台托管了数亿条被窃取的用户账户、银行信息、用户名、密码和企业文件。自2021年以来,超过14.7万注册用户在该平台上买卖这些数据。
荷兰财政部正在调查网络入侵事件
荷兰财政部正在调查影响内部系统的网络入侵事件。详情有限,但入侵波及关键政府基础设施。同时,Crunchyroll(动漫流媒体)披露客服工单数据被盗,Kaplan(教育机构)报告了一起影响超过23万人的数据泄露事件。
欧盟政府机构的数据泄露正在加速 NIS2 的执行时间表。DACH 地区的组织应将此视为2026年监管审查加强的预兆。
🚨 严重漏洞
Citrix NetScaler — CitrixBleed3 即将到来
Citrix 紧急修补了 NetScaler ADC 和 NetScaler Gateway 中的两个漏洞。其中一个漏洞与曾被用作零日漏洞利用的 CitrixBleed 和 CitrixBleed2"非常相似"。Citrix 敦促立即修补——预计数天内将出现 PoC 利用代码。
CitrixBleed 导致了2023-2024年一些最大规模的数据泄露。运行 NetScaler 的组织必须立即修补。KENSAI 的外部扫描可以检测暴露的 NetScaler 实例和版本指纹。
TP-Link Archer NX — 严重认证绕过漏洞
TP-Link 修补了 Archer NX 路由器系列中一个严重的认证绕过漏洞,该漏洞可能允许攻击者完全绕过认证并上传恶意固件。结合 FCC 对外国制造路由器的新禁令,路由器供应链安全问题进一步加剧。
PolyShell — Magento/Adobe Commerce 大规模利用
"PolyShell"漏洞正在被积极利用,影响了56%的存在漏洞的 Magento Open Source 和 Adobe Commerce 商店。攻击者正在大规模部署 Web Shell。运行 Magento 2 的电商企业必须立即修补,否则面临整站沦陷和支付数据被盗的风险。
Apple iOS/macOS 26.4 — 全生态系统安全补丁
Apple 发布了涵盖 iOS、macOS 和 iPadOS 的安全修复,包括旧设备补丁(iOS 18.7.7、macOS Sequoia 15.7.5、macOS Sonoma 14.8.5)。修复了多个 WebKit 和内核漏洞。
💀 勒索软件攻击
维戈港(西班牙)——港口运营中断
一起勒索软件攻击迫使西班牙维戈港断开系统连接,转为手动货物管理。攻击于周二凌晨被发现,服务器被锁定并被勒索赎金。港务局主席表示:"在获得绝对安全保障之前,我们不会恢复连接。"目前没有任何组织声称对此负责。船舶仍在运行,但物流协调陷入瘫痪。
针对港口的攻击正在加速——名古屋(2023年),现在是维戈(2026年)。根据 NIS2,港口被归类为"关键实体",必须在24小时内进行强制事件报告。欧盟港务部门需要持续的安全监控。
Stryker(医疗设备)——恶意软件攻击后生产线恢复运营
医疗设备制造商 Stryker 确认,近期导致生产线停工的网络攻击涉及恶意软件。目前运营正在恢复。此次攻击凸显了医疗保健/医疗设备制造供应链持续面临的攻击威胁。
俄罗斯勒索软件运营者在美国被判刑
Ilya Angelov(TA551/Shathak)——因管理用于勒索软件活动的僵尸网络(2017-2021年)被判处2年监禁并处10万美元罚款。Aleksei Volkov——因在 Yanluowang 勒索软件攻击中担任初始访问代理被判处81个月(6.75年)监禁。美国司法部继续以域外管辖权追诉俄罗斯网络犯罪分子。
🔧 安全工具发布
Kali Linux 2026.1 — 8款新工具 + BackTrack 模式
今年首个版本带来8款新安全工具、视觉主题焕新以及 Kali-Undercover 的新"BackTrack 模式"。怀旧情怀与实用渗透测试工具更新的完美结合。
GitHub — AI驱动的代码安全扫描
GitHub 正在将其代码安全工具扩展到 CodeQL 之外,引入基于AI的漏洞检测。新扫描覆盖更多语言和框架,降低了安全感知开发的门槛。这使得 SAST 更加接近主流开发者工作流。
AI驱动的 SAST 正在成为标配。KENSAI 的竞争优势在于:将 SAST 与 DAST、外部扫描和 NIS2 合规整合在单一平台中——不仅仅是代码级别的检测。
Onit Security — 融资1100万美元用于暴露面管理
Onit Security 融资1100万美元用于构建其暴露面管理平台。投资将用于产品开发和向新领域的市场拓展。这表明尽管市场整合持续,风险投资对攻击面管理的兴趣依然不减。
⚡ 新兴威胁模式
供应链攻击升级——TeamPCP 攻击 LiteLLM、Docker Hub、VS Code、PyPI
TeamPCP 威胁行为者(Trivy/KICS 入侵事件的幕后黑手)通过 CI/CD 流水线入侵,在 LiteLLM 1.82.7-1.82.8 版本中植入后门。攻击载荷分三个阶段:凭据收集(SSH 密钥、云凭据、K8s Secrets)、横向移动工具包和持久性后门。他们还入侵了 Docker Hub、VS Code 扩展市场和 NPM——据报道目前正与 Lapsus$ 合作。
这是2026年迄今最重大的开源软件供应链攻击。CI/CD 流水线入侵 → 大规模软件包投毒。组织必须验证软件包完整性并锁定版本。SBOM 扫描已不再是可选项。
设备代码钓鱼——340多家 Microsoft 365 组织遭入侵
一场大规模设备代码钓鱼攻击活动正在针对美国、加拿大、澳大利亚、新西兰和德国的340多家组织的 M365 身份认证。使用 Cloudflare Workers + Railway PaaS 进行凭据收集。利用 OAuth 设备授权流窃取即使密码重置后仍然有效的令牌。受影响行业:建筑、医疗保健、法律、政府、金融服务。
德国被明确列为目标国家。运行 M365 的 DACH 组织应立即审计 OAuth 设备代码策略。条件访问策略应在不需要时阻止设备代码流。
GlassWorm——利用 Solana 区块链作为 C2 死信箱
GlassWorm 攻击活动现在使用 Solana 区块链备注作为 C2 通信的死信箱解析器。部署伪装成 Google Docs Offline 的 Chrome 扩展程序,记录键盘输入、转储 Cookie/会话、截取屏幕截图,并针对728种以上加密钱包。通过 npm、PyPI、GitHub 和 VS Code 扩展市场上的投毒软件包传播。
AI智能体成为攻击面——"杀伤链已过时"
安全研究人员警告,拥有系统访问权限的AI智能体代表着一种全新的威胁模型。与攻击者需要逐步获取访问权限的传统杀伤链不同,被入侵的AI智能体已经拥有权限、访问能力以及跨系统操作的合法理由。PwC 和 SANS 均确认AI正在加速攻击的速度和规模,身份盗窃正演变为"网络犯罪供应链"。被盗的高级AI账户已成为地下市场的抢手货。
SecurityWeek 发表了引用 OpenClaw 的智能体AI治理文章。AI作为攻击面的叙事是 KENSAI 的内容机遇——我们应在 DACH 市场主导这一议题。
📋 重要政策与监管动态
FCC 禁止外国制造的消费级路由器
FCC 以国家安全风险为由,禁止所有非美国制造的新消费级路由器。此举与白宫关于所有外国制造路由器构成不可接受威胁的判定一致。对 TP-Link、华为及其他外国制造商产生重大影响。
CISA 代理局长:政府停摆加剧网络安全风险,导致人才流失
CISA 代理局长警告称,持续的政府停摆正在加剧网络安全风险并导致人才留存问题。随着经验丰富的人员离职,美国政府的网络安全态势持续恶化。
英国 NCSC:"氛围编程"可能为 SaaS 行业带来安全风险
英国国家网络安全中心警告称,使用AI生成整个应用程序的"氛围编程"趋势可能在重塑 SaaS 行业的同时引入重大安全风险。AI生成的代码通常缺乏适当的输入验证、认证检查和安全默认配置。