← 返回博客
Security Briefing4 分钟阅读2026-04-25

安全简报,2026年4月25日:Firestarter 持久化、Zimbra 暴露面,以及 BlackFile 语音钓鱼勒索

今天的共同模式很难看但很清楚,边界设备、邮箱和帮助台信任流程都在被攻击者利用,而且不是靠一次表面修复就能收场。


要点: 今天早上有三件事必须立即关注:能够跨越补丁周期存活的防火墙恶意软件、仍有数千台暴露脆弱服务器的邮件平台,以及把正常支持流程变成入侵路径的语音钓鱼勒索团伙。


1. Firestarter 让 Cisco 防火墙打补丁变成了虚假的终点

CISA 与英国 NCSC 警告称,Firestarter 后门可以在 Cisco Firepower 和 Secure Firewall 设备上跨越重启、固件升级和安全补丁继续存在。该恶意程序与 Cisco 跟踪的间谍活动有关,会挂钩 LINA 进程,在被终止后重新安装,并可通过构造的 WebVPN 流量触发。Cisco 的建议非常直接,修复版本很重要,但推荐的清理路径是重新镜像设备。


2. 超过一万台暴露的 Zimbra 服务器仍处于风险半径内

Shadowserver 表示,超过 10,500 台暴露在互联网上的 Zimbra Collaboration Suite 服务器仍然易受 CVE-2025-48700 影响,这是一处已被 CISA 列为正在被积极利用的 XSS 漏洞。该问题影响多个 ZCS 分支,攻击者无需认证即可在受害者使用 Classic UI 查看恶意邮件时,在其 Webmail 会话中执行 JavaScript。Zimbra 长期以来一直是邮件窃取和国家级目标攻击的跳板,这就是为什么这件事不能轻视。


3. BlackFile 再次证明,假帮助台电话依然足以击穿现代企业

BlackFile 被认为与一波针对零售和酒店业的语音钓鱼勒索攻击有关。攻击者冒充 IT 支持,通过伪造登录页面窃取员工凭证和一次性验证码,然后注册自己的设备来绕过 MFA。之后他们通过标准 API 洗劫 Salesforce 和 SharePoint,窃取敏感文件,并用勒索要求甚至 swatting 进一步施压。


安全团队今天该做什么

  1. 运行 Cisco 防火墙失陷检查,并在出现指标时安排重新镜像。
  2. 完成 Zimbra 修补,并排查通过恶意邮件触发的会话滥用。
  3. 收紧帮助台身份验证,尤其是远程支持和 MFA 重置流程。
  4. 审查 SaaS 导出活动和设备注册事件,寻找 BlackFile 风格入侵迹象。

来源


结论: 今天的共同模式很难看但很清楚,边界设备、邮箱和帮助台信任流程都在被攻击者利用,而且不是靠一次表面修复就能收场。

在信任断裂变成事故之前先把它找出来

KENSAI 帮助团队提前识别边界设备、邮件系统、身份流程和云工具中的暴露攻击路径,避免攻击者把日常工作流变成入侵基础设施。

免费扫描 →

保持警觉。

🗡️ KENSAI 安全团队