← 返回安全博客
安全简报 2026年2月19日 7 分钟阅读

霍尼韦尔 CCTV 身份验证绕过 + Figure 百万账户泄露

CISA 警告霍尼韦尔 CCTV 严重漏洞(CVSS 9.8)允许未经授权的访问。Figure 金融科技公司数据泄露通过社会工程攻击暴露近 100 万账户。四个 VS Code 扩展下载量超 1.25 亿次存在严重缺陷。Microsoft Copilot 漏洞自 1 月起绕过 DLP 策略


严重:霍尼韦尔 CCTV 身份验证绕过

CISA 公告:CVE-2026-1670 — CVSS 9.8

CISA 警告多个用于关键基础设施的霍尼韦尔 CCTV 产品存在严重漏洞。攻击者可在无需身份验证的情况下劫持账户并访问摄像头画面。

由研究人员 Souvik Kanda 发现的 CVE-2026-1670 被归类为"关键功能缺少身份验证"。该缺陷允许未经身份验证的攻击者更改与设备账户关联的恢复电子邮件地址,从而实现完全的账户接管。

受影响的型号

型号 固件版本
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

这些符合 NDAA 标准的摄像头部署在美国政府机构、联邦承包商和关键设施中。CISA 建议:


Figure 金融科技:96.7 万账户泄露

ShinyHunters 声称对社会工程攻击负责

区块链原生金融科技公司 Figure Technology Solutions 遭受数据泄露,影响近 100 万账户。攻击通过社会工程手段实施。

Figure 与 250 多家合作伙伴(包括银行、信用合作社和金融科技公司)一起释放了超过 220 亿美元的房屋净值,该公司向 TechCrunch 确认了此次事件。攻击者使用语音钓鱼(vishing)诱骗员工提供访问权限。

泄露数据

ShinyHunters 勒索团伙在其暗网站点上泄露了来自数千名贷款申请人的 2.5GB 数据。这是针对 Okta、Microsoft 和 Google 的 SSO 账户的大规模攻击活动的一部分,涉及100 多个高知名度组织

🎯 攻击模式

攻击者冒充 IT 支持人员,致电员工,诱骗他们在模仿公司登录门户的钓鱼网站上输入凭据和 MFA 代码。一旦进入,他们就可以访问连接的企业应用程序,包括 Salesforce、Microsoft 365、Google Workspace、Slack 和 Dropbox。


VS Code 扩展:超 1.25 亿次下载受影响

严重缺陷可导致文件窃取和远程代码执行

OX Security 研究人员在四个流行的 VS Code 扩展中发现了多个漏洞。三个 CVE 仍未修补

研究人员警告说:"黑客只需要一个恶意扩展,或一个扩展中的单个漏洞,就可以进行横向移动并危及整个组织。"

CVE 扩展 CVSS 影响
CVE-2025-65717 Live Server 9.1 通过恶意网站窃取本地文件
CVE-2025-65716 Markdown Preview Enhanced 8.8 通过 .md 文件执行任意 JavaScript
CVE-2025-65715 Code Runner 7.8 通过 settings.json 执行任意代码
Microsoft Live Preview 敏感文件窃取(已在 v0.4.16 中修复)

立即行动


Microsoft Copilot 绕过 DLP 策略

漏洞自 1 月 21 日起活跃 — 摘要机密电子邮件

Microsoft 365 Copilot 漏洞导致 AI 助手摘要机密电子邮件,绕过保护敏感信息的数据丢失防护(DLP)策略。

该漏洞跟踪编号为 CW1226324,影响 Copilot"工作标签"聊天功能。它错误地读取并摘要已发送邮件和草稿文件夹中的电子邮件 — 包括具有明确设计用于限制自动化工具访问的机密标签的邮件。

时间线

Microsoft 声明:"这并未向任何人提供他们未被授权查看的信息访问权限……已在全球为企业客户部署配置更新。"

企业建议

审查自 1 月 21 日以来的 Copilot 活动日志。验证敏感标签内容是否未被无意地包含在与预期接收者之外共享的 Copilot 摘要中。


其他头条

德克萨斯州起诉 TP-Link 涉中国黑客风险

德克萨斯州起诉 TP-Link Systems,指控该公司欺骗性地将路由器宣传为安全产品,同时允许中国政府支持的黑客利用固件漏洞。

国际刑警组织红卡行动 2.0

在 16 个非洲国家进行651 次逮捕。追回超过430 万美元。该行动针对投资欺诈、移动支付诈骗和与 4500 万美元损失相关的欺诈性贷款应用。

PromptSpy:首个滥用 Gemini AI 的恶意软件

ESET 发现使用 Google Gemini AI 保持持久性的 Android 恶意软件。该恶意软件利用生成式 AI 分析屏幕并生成逐步说明,以将自身固定在最近的应用中。

尼日利亚黑客因税务欺诈获刑 8 年

因入侵马萨诸塞州多家税务准备公司并提交欺诈性申报表,寻求超过 810 万美元退款而被判刑。


今日数据

指标 数值
Figure 泄露账户数量 967,200
霍尼韦尔 CVE 严重性 (CVSS) 9.8
VS Code 扩展风险下载量 1.25 亿+
Copilot DLP 绕过持续时间 约 30 天
国际刑警组织逮捕(红卡行动 2.0) 651
ShinyHunters 针对的组织 100+

今日优先事项

  1. 隔离:霍尼韦尔 CCTV 系统 — 立即应用网络分段
  2. 审计:VS Code 扩展 — 禁用 Live Server、Markdown Preview Enhanced、Code Runner 直至修补
  3. 培训:关于语音钓鱼攻击的安全意识(ShinyHunters 攻击手法)
  4. 验证:Microsoft Copilot DLP 合规性 — 审查自 1 月 21 日以来的活动
  5. 审查:SSO 安全控制 — MFA 绕过抵抗能力

使用 KENSAI 保护您的组织

AI 驱动的漏洞管理,索引超过 333,000 个 CVE。

开始免费扫描

保持安全。保持警惕。

🗡️ KENSAI 安全团队

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home