今天的安全简报聚焦三个明确信号:Cisco 的 Webex SSO 修复仍需要客户动作,Talos 披露的 PowMix 僵尸网络以隐蔽 C2 行为攻击捷克劳动力群体,以及 ZionSiphon 针对水务领域氯与压力控制的 OT 破坏逻辑。
Top line: 今天早上的模式是在三个层面同时滥用信任:身份基础设施、面向员工的投递链,以及工业控制逻辑。防守方不该把它们当成彼此独立的队列。
Cisco 修复了 Webex Services 中的 CVE-2026-20184,这是一个出现在 Control Hub SSO 集成中的证书校验缺陷,可能让未认证攻击者冒充用户。服务端修补并不是全部,使用 SSO 的组织还必须为自己的身份提供商上传新的 SAML 证书,才能避免中断并真正关掉这个缺口。
Cisco Talos 披露了此前未公开记录的 PowMix 僵尸网络,它至少从 2025 年 12 月起活跃,面向捷克劳动力群体展开攻击。该恶意程序使用随机信标间隔,把加密心跳数据藏进看起来像 REST API 流量的 URL 路径中,还能动态更新自己的 C2 域名。Talos 还观察到它与更早的 ZipLine 活动以及基于 Heroku 的基础设施存在战术重叠。
研究人员表示,当前 ZionSiphon 样本因校验错误而无法正常运行,但其意图已经非常清楚且相当危险。该恶意程序会检查以色列 IP 范围和水处理软件,然后尝试修改加氯剂量、阀门状态、泵状态以及反渗透压力。它还具备 USB 传播能力,这在仍依赖可移动介质的工业环境中尤其值得警惕。
Bottom line: 今天最强的教训很简单:攻击者并不在乎弱点存在于身份、用户工作流还是物理过程控制里。只要那里承载着信任,它就是目标。
保持警觉。
🗡️ KENSAI Security Team