本文预计阅读时间29分钟
政策法规方面,英国国家网络安全中心发布关基单位严重威胁应对指南; 美国战争部发布《数字标准战略》,推进数字化标准化支撑国防现代化。
漏洞预警方面,Fortinet修复了FortiCloud单点登录身份验证绕过漏洞,防止未授权访问;Ivanti针对EPMM严重零日漏洞发布更新,阻止远程利用;n8n自动化平台修复两处高危沙箱逃逸漏洞,可导致远程代码执行;VMware vCenter Server关键RCE漏洞被CISA列入已知被利用目录,用户需紧急修补;NVIDIA发布GPU驱动高危更新,修复权限提升及代码执行缺陷;TP-Link Archer MR600路由器命令注入漏洞允许攻击者完全控制设备;Wireshark 4.6.3则修复多项解析器及平台漏洞,提高稳定性。
安全事件方面,俄罗斯APT组织入侵波兰电力系统,导致ICS设备瘫痪,严重影响能源基础设施运行;美国明尼苏达州Winona县遭勒索软件攻击,被迫宣布地方紧急状态,行政系统受影响但关键公共安全服务未中断;巴基斯坦关联APT组织发起“Gopher Strike”和“Sheet Attack”网络间谍行动,针对印度政府机构窃取敏感信息,显示区域性国家级网络威胁持续升级。
风险预警方面,超过17.5万台Ollama主机暴露可能被用于大语言模型(LLM)滥用,增加AI安全风险;针对100多个能源系统OT网络的调查揭示关键漏洞,暴露工业控制和关键基础设施安全隐患;一场多阶段钓鱼攻击在俄境内活跃,Amnesia RAT与勒索软件并发,提高企业网络被攻破概率;Konni黑客利用AI生成后门恶意软件,针对区块链开发者窃取凭证及敏感资产;能源行业还遭受复杂中间人(AiTM)网络钓鱼攻击,通过SharePoint等服务捕获凭证;代号UAT‑8099组织针对易受攻击的IIS服务器发动多阶段入侵,植入Web Shell及后门工具。
政策法规
1、英国国家网络安全中心发布关基单位严重威胁应对指南
2026年1月29日,英国国家网络安全中心(NCSC)近日发布《关基单位严重网络威胁应对指南》,旨在帮助关键基础设施组织在面临高能力攻击者发起的“严重网络威胁”时维持运营并实现恢复。该类威胁被定义为可能长期中断关键服务、擦除或篡改数据、破坏工控系统甚至引发社会连锁反应的针对性攻击。指南提出四大核心建议:一是在平时即制定清晰的防御与响应计划,包括资产清查和情境规划;二是强化基于攻击者战术、技术与程序(TTPs)的态势感知,推动主动威胁狩猎与情报共享;三是实施极端加固措施,如网络分段、“岛屿化”隔离及手动替代流程演练;四是构建“威胁持续存在”条件下的恢复能力,强调可信备份与人员心理韧性。指南明确指出,安全目标应从“完全防御”转向“运行韧性”。
资料来源:
2、美国战争部发布《数字标准战略》,推进数字化标准化支撑国防现代化
2026年1月26日报道,美国战争部(DoW)下属国防标准化项目办公室(DSPO)于2026年1月12日发布《战争部数字标准战略》,明确以数字原生化标准体系为核心,推动国防体系在数字化转型背景下建立现代化标准化框架,该战略强调在大规模应用人工智能、数字孪生、模型驱动设计及自动化工具的情况下,传统以文档为中心的标准模式已不再适用,需转向可集成的结构化数据标准与机器可读规范;战略提出的重点行动包括构建数字标准基础设施、强化数字工程与标准协同、推动与外部标准组织合作、打造数字生态系统及提升用户能力,以保障跨系统、跨域作战体系的一致性和互操作性。文件强调通过模型与数据驱动能力提升标准应用效率,通过统一数据协议实现不同平台间标准的兼容性,并构建自动化验证与合规工具链以提升标准执行质量与实时合规监测能力。此外,美国战争部负责人指出,数字标准将贯穿武器系统设计、测试、制造、部署及维护全生命周期,这一转型有助于提升系统互操作性、加速先进技术应用并增强跨域联合作战能力,从而提升整体技术可持续发展和全球作战优势。
资料来源:
漏洞预警
3、Fortinet发布补丁修复被利用的身份验证绕过漏洞
2026年1月28日,Fortinet周二紧急发布补丁,修复了一个已经在野外被利用的FortiCloud单点登录(SSO)身份验证绕过漏洞(CVE-2026-24858),该漏洞被评为严重性9.4分,并且已被用于针对FortiGate防火墙的自动化攻击,攻击者利用该漏洞创建管理员账号并窃取配置文件。此前Fortinet于去年12月修补了两个相关的FortiCloudSSO登录漏洞(CVE-2025-59718/CVE-2025-59719),但研究人员发现攻击者通过新的攻击路径绕过了这些补丁。CVE-2026-24858允许拥有FortiCloud账号且设备已注册的攻击者在目标开启FortiCloud SSO的情况下,未经授权登录其他账户注册的设备,从而造成安全风险。Fortinet已经封锁了用于这些攻击的恶意FortiCloud账号,并在1月26日至27日期间暂时在云端禁用FortiCloud SSO功能。目前新补丁已加入FortiOS 7.4.11、FortiManager 7.4.10和FortiAnalyzer 7.4.10版本,并将陆续纳入更多FortiOS、FortiManager、FortiAnalyzer及FortiProxy版本。Fortinet建议用户尽快升级以确保安全。
资料来源:
http://uma.d11k.top/w/NOMkRM
4、Ivanti发布补丁修复已被利用的EPMM严重零日漏洞
2026年1月29日,Ivanti于周四紧急发布补丁,修复其移动终端管理产品Endpoint Manager Mobile(EPMM)中两个严重级别的零日漏洞(CVE-2026-1281、CVE-2026-1340),这两个漏洞均被评为CVSS 9.8高危,并已在野外被利用。漏洞属于代码注入问题,未经过身份验证的攻击者可远程执行任意代码,实现对受影响系统的控制,进而横向移动并访问EPMM中存储的敏感数据,包括管理员与用户信息、移动设备详情等。受影响版本包括EPMM所有12.5.0.0及之前的12.x主版本;Ivanti已提供基于RPM的临时补丁,用户需根据自身版本应用对应补丁,并在未来发布的12.8.0.0正式版本中获得永久修复。Ivanti指出,目前只有极少数客户在漏洞公开时被确认遭到利用,但公司缺乏足够的检测指标以提供详细攻击者技术细节。成功利用漏洞后,攻击者可能部署Web shell或反向Shell维持访问,并能更改EPMM配置、添加管理员账号、推送应用、修改网络配置等,尽管尚无证据表明此类后续更改已发生。针对已成功受侵的环境,Ivanti建议从已知良好备份恢复或重建环境,并应用补丁及加强凭据与证书管理。
资料来源:
5、n8n自动化平台发现两处高危沙箱逃逸漏洞可导致远程代码执行
2026年1月30日,安全研究人员近日披露,在流行的工作流自动化平台n8n中发现两个高严重性漏洞(CVE-2026-1470和CVE-2026-0863),这两个漏洞都涉及评估(eval)注入问题,可使经过身份验证的用户突破平台原有的表达式沙箱保护并在主节点或任务执行器中远程执行任意代码,从而完全控制受影响的n8n实例。其中国际通用漏洞评分系统(CVSS)中,CVE-2026-1470评分高达9.9,被认为极具危害性;CVE-2026-0863评分8.5。攻击者一旦利用这些缺陷,不仅可以接管整个工作流基础设施,还能访问和操控内部数据、关键系统功能和敏感凭据,给企业的自动化流程、身份管理、销售及AI系统带来重大风险。研究指出,这类漏洞突显了为JavaScript和Python动态语言构建安全沙箱的极高难度,即使采用了多重验证与限制列表,仍可能被语言特性或运行时行为绕过。n8n官方已发布修补版本以解决这些安全问题,包括针对CVE-2026-1470的1.123.17、2.4.5、2.5.1版,以及针对CVE-2026-0863的1.123.14、2.3.5、2.4.2版,用户应立即升级以防止企业自动化系统被完全控制。同时,在生态中尚有相当数量实例暴露于先前披露的高危漏洞之下,及时打补丁是有效的防护措施。
资料来源:
6、CISA警告VMware vCenter Server关键RCE漏洞已被利用
2026年1月26日,美国网络安全与基础设施安全局(CISA)近日发布紧急通告,警告Broadcom旗下VMware vCenter Server中一个严重的远程代码执行(RCE)漏洞CVE-2024-37079已在野外被攻击者主动利用,并将其加入CISA的“已知被利用漏洞(KEV)目录”,要求联邦机构在2月13日前完成修补以避免风险。该漏洞源于vCenter Server在DCERPC协议实现中的堆溢出缺陷,攻击者只需具备网络访问权限,通过构造特制的数据包即可在未授权情况下触发越界写入,进而执行任意代码,导致受影响系统被完全控制。由于vCenter Server用于集中管理虚拟化环境中的ESXi主机和虚拟机,其被攻破后可对整个虚拟化基础设施造成严重危害,包括横向渗透、数据泄露等。官方指出,该漏洞复杂度低、不依赖用户交互,且无有效临时缓解措施,因此唯一可靠的防护手段是立即应用官方安全补丁;Broadcom和CISA的联合声明证实,漏洞自2024年中旬发布补丁后仍被利用。
资料来源:
7、NVIDIA发布GPU驱动高危安全更新 :漏洞可致权限提升与代码执行
2026年1月30日,NVIDIA近日发布重要安全公告,针对其GPU显示驱动及虚拟GPU(vGPU)管理组件中发现的多处高严重性漏洞发布了安全更新。官方发布于1月27日的安全公告中列出了五个严重漏洞(CVE-2025-33217、CVE-2025-33218、CVE-2025-33219、CVE-2025-33220 和 CVE-2025-33237),其中前四个均为Use-After-Free或整数溢出缺陷,CVSS 基础分均为7.8的高危级别,可使本地低权限用户在Windows、Linux及虚拟化平台上执行恶意代码、提升权限、篡改数据或导致拒绝服务等后果;另一个漏洞为中等风险,可通过空指针解引用导致服务中断。受影响的软件涵盖多个主要驱动版本分支(R590、R580、R570 和 R535)以及涉及GeForce、RTX、Quadro、NVS 和 Tesla等产品线。NVIDIA已针对不同分支发布对应驱动更新版本,例如Windows平台用户可升级至591.59、582.16、573.76或539.64等版本,Linux用户则需安装590.48.01、580.126.09、570.211.01或535.288.01等更新,以修补这些高危漏洞。研究指出,漏洞利用需要本地访问权限,但一旦利用成功,攻击者可获得对系统机密性、完整性与可用性的高等级控制。厂商强烈建议用户尽快安装更新驱动版本以降低潜在风险。
资料来源:
2026年1月28日,安全研究人员近日在TP-Link Archer MR600 v5路由器固件中发现一个严重的命令注入漏洞(CVE-2025-14756),该漏洞存在于设备的管理界面组件中,允许具备管理员凭证的攻击者通过浏览器开发者控制台注入恶意系统命令,绕过界面保护措施,从而在本地网络环境下实现任意系统命令执行和完整设备控制,风险评级为高危,CVSS v4.0评分为8.5。受影响的版本包括1.1.0之前的固件(例如v0.9.1及v0001.0 Build 250930 Rel.63611n),该漏洞虽需认证,但攻击复杂度低,一旦成功利用可导致路由器及其网络环境的完全妥协,带来横向渗透、流量劫持或其他恶意行为。TP-Link已于2026年1月26日发布补丁固件1.1.0及更高版本修复该缺陷,建议用户立即检查当前固件版本并从官方支持门户下载适配更新,同时更改管理凭证并监控异常管理界面访问活动。此外,该问题凸显了维护网络基础设施最新固件的重要性,未打补丁的设备可能使整个内部网络暴露于被完全掌控的风险之下。
资料来源:
2026年1月30日,Wireshark基金会正式发布了Wireshark 4.6.3版本更新,这是备受网络管理员、开发者和安全分析师关注的协议分析工具最新维护版本,主要针对此前版本中存在的多项安全漏洞和稳定性问题进行了修复与优化。该版本修补了四个与解析器(dissector)和解析器模块相关的严重安全缺陷(wnpa‑sec‑2026‑01至wnpa‑sec‑2026‑04),包括BLF文件解析器崩溃、IEEE 802.11和SOME/IP‑SD解析器崩溃以及HTTP3解析器的无限循环问题,这些漏洞可能在处理恶意构造的数据包时导致服务拒绝(DoS)或应用程序崩溃,影响网络流量分析的可用性与安全性。除了安全修补外,4.6.3还修复了影响不同平台使用体验的功能性错误,例如Solaris系统上的构建问题、RTP流播放器无法停止的问题、HomePlug与IEEE 802.11数据解析错误,以及配置文件启用/禁用切换崩溃等。该更新还扩展和改进了多种协议解码与捕获文件支持,包括DHCP、SSH、HTTP3、QUIC、LTE RRC及3GPP TS 32.423等,进一步提升对现代网络流量的分析能力。官方强烈建议所有Wireshark用户尽快升级至4.6.3版本以规避上述漏洞带来的潜在风险并获得更可靠的协议分析体验。
资料来源:
安全事件
2026年1月28日,网络安全公司Dragos披露,2025年12月下旬,与俄罗斯有关联的Electrum威胁组织对波兰约30个分布式能源(DER)站点发动了协调性网络攻击,这是全球首次针对风能、太阳能及热电联产等分布式能源资源的大规模网络攻击。攻击导致部分站点出现“失视、失控”和拒绝服务状态,虽未造成停电,但攻击者成功入侵远程终端单元(RTU)及通信基础设施,并可能永久损坏部分设备。Dragos指出,所有受袭站点均未达到强制性网络安全监管门槛,凸显小规模资产聚合后带来的系统性风险。此次行动标志Electrum从以往攻击集中式电网控制中心(如2015年、2016年乌克兰事件),转向更具机会主义色彩的分布式边缘目标。若类似攻击在高比例可再生能源、低惯量电网中复制,或引发频率失稳甚至级联故障。
资料来源:
2026年1月28日,美国明尼苏达州的Winona县官员近期发现其计算机网络遭受勒索软件攻击,导致内部系统受到影响,为了应对安全事件并协调资源,该县县委员会主席签署了地方紧急状态声明以便动用应急响应计划。尽管具体入侵时间和攻击细节尚未公开,县信息技术部门已与第三方网络安全与数据取证专家以及地方、州和联邦执法机构紧密合作,评估攻击范围并隔离受影响的网络区域,同时调查责任方。官方强调,关键公共安全系统未受此次攻击影响,包括911调度、消防及紧急响应服务仍然正常运行,确保居民的紧急服务不受干扰。网络攻击主要影响的是行政和内部数字服务,Winona县正专注于恢复这些服务并保护现有数据安全,这一事件也反映出近年来美国本地政府机关面对网络威胁时日益增长的脆弱性。官员表示,将在调查取得更多进展时向公众公布后续情况,而紧急状态将持续有效以支持全面的响应和恢复工作。
资料来源:
2026年1月29日,安全研究人员最新分析揭示,自2025年9月起,一股疑似巴基斯坦关联的网络威胁组织发起了两起并行的高度复杂的网络攻击与间谍活动行动——分别被命名为Gopher Strike与Sheet Attack,主要针对印度政府机构的网络环境实施长期渗透与控制。两者均属于定向网络攻击(Cyber Espionage)行动,展示出创新的战术、工具与基础设施使用。Gopher Strike行动以钓鱼邮件和恶意PDF文件为初始渗透手段,诱骗目标下载伪造的Adobe更新ISO镜像,并在仅对印度IP与Windows环境触发条件下投放恶意载荷,随后部署Golang编写的下载器GOGITTER、持久化脚本及利用私有GitHub仓库作为命令与控制(C2)信道的GITSHELLPAD后门,最终可进一步载入如Cobalt Strike等高级工具执行进一步控制与渗透。与此并行的Sheet Attack则滥用Google Sheets、Firebase及Microsoft Graph等可信云服务作为C2通道,通过如SHEETCREEP、FIREPOWER、MAILCREEP等多种后门与云平台通信,隐匿攻击流量并规避监测,同时实现命令执行与敏感信息外泄。
资料来源:
http://moc.d11k.top/w/FNqTjp
风险预警
2026年1月30日,安全公司SentinelOne联手Censys历时293天的扫描发现全球约有175,000台Ollama框架托管的开放式大语言模型(LLM)主机在互联网上暴露,并缺乏正常的访问控制、监控和防护措施,这一庞大的“影子AI”基础设施横跨130个国家、4 ,032个自治系统号(ASN)并产生了723万余次观测数据,其中约23,000台主机贡献了绝大多数的活动。约一半的暴露主机具备执行代码、访问API或与外部系统交互的能力;这些主机多分布在固定接入的电信网络和消费者ISP中,地理分布上中国占比约30%、美国约20%,美国境内以弗吉尼亚州最为集中。研究还发现至少201台主机运行去除安全防护的提示模板,使其更易遭滥用。由于这些Ollama实例无需授权、监控或计费控制,攻击者可以零成本滥用受害者的资源执行高量恶意任务(如垃圾邮件、网络钓鱼、虚假信息传播等),并通过提示注入等手段获取敏感信息或执行未授权操作。此外,暴露的计算资源可能被用于恶意流量清洗或利用具备视觉能力的模型进行间接提示注入。报告指出,这种分布式、管理不善的AI生态正在形成一个可测量但风险极高的公用计算层,亟需加强认证、监测和治理以防止滥用。
资料来源:
http://r5c.d11k.top/w/AeOt5M
2026年1月29日,一项由能源安全公司OMICRON基于其在全球100多个变电站、电厂和控制中心部署入侵检测系统(IDS)多年数据的分析显示,关键能源基础设施在运营技术(OT)网络层面存在广泛且严重的网络安全缺陷,暴露出技术、组织和功能方面的系统性风险。技术层面上,很多保护、自动化与控制(PAC)系统设备固件长期未更新,仍存在可被利用的已知漏洞,如自2015年起就有补丁的CVE-2015-5374拒绝服务漏洞仍普遍存在;此外,还发现不安全的外部连接、无用且风险高的服务、弱网络分段以及未记录的设备接入等问题;这些问题在连接IDS后30分钟内就可被识别。组织层面则反映出OT安全职责不明确、资源匮乏及IT/OT团队分隔等问题,影响应对复杂威胁的能力。功能层面调查还揭示了VLAN配置错误、时间同步误差和网络冗余故障等操作性缺陷,这些问题不仅影响系统稳定性,也会加剧潜在网络攻击的后果。研究指出,随着能源行业IT/OT融合加速、老旧基础设施与复杂网络架构共存,迫切需要专为OT环境设计的安全解决方案,以提高可见性、实现资产清单管理并实时检测异常行为,从而强化能源系统抵御网络威胁的能力。
资料来源:
http://5tc.d11k.top/w/fFRzT7
2026年1月24日,安全研究人员发现一场针对俄罗斯用户的多阶段钓鱼活动利用复杂社会工程与云端基础设施分发恶意载荷,威胁持续升级。该攻击以看似正常且带有商务主题的压缩档案邮件为诱饵,内含双扩展名的Windows快捷方式文件(如“…txt.lnk”),诱使受害者执行后续恶意代码;首阶段PowerShell脚本从GitHub提取载入器并在背景悄然运行,同时生成假文档以掩盖行为。攻击链设计精巧,通过多家公有云服务(GitHub用于脚本、Dropbox用于二进制文件)分发组件,增加了清除难度。下一阶段恶意Visual Basic脚本在内存中构建载荷,并不断尝试提权与抑制安全告警,最终部署包括Amnesia RAT远程访问木马与Hakuna Matata家族勒索软件在内的主要载荷;Amnesia RAT可远程控制系统、窃取浏览器数据、加密货币钱包、截图、摄像头/麦克风数据等敏感信息,并支持命令执行与后续恶意模块部署。此外,攻击还禁用Microsoft Defender、调整防护排除规则、破坏系统恢复功能,并通过Telegram机器人发送执行成功通知。此次行动凸显社会工程结合分布式云服务的钓鱼攻击正变得更为隐蔽与高效,防御上需加强终端保护、用户警觉与多层次检测手段。
资料来源:
http://zub.d11k.top/w/0dDBS0
2026年1月26日,据安全情报显示,活跃多年的朝鲜网络黑客组织Konni近期将其攻击目标扩展至区块链和加密开发者,采用人工智能(AI)辅助生成的PowerShell后门恶意软件发动精心设计的攻击活动。该组织通过社会工程钓鱼邮件和伪装成可信内容的恶意链接引诱目标下载ZIP压缩包,压缩包内含可触发恶意脚本的Windows快捷方式文件,从而启动多阶段感染链;此链首先执行合法外观的诱饵文档以降低怀疑,同时在后台通过PowerShell加载器安装后门并建立持久性。研究人员指出,这些AI生成的恶意代码结构模块化、注释清晰、布局专业,与传统手工编写的恶意脚本明显不同,体现了AI在恶意代码开发中的应用趋势。攻击过程中还利用合法服务和广告生态进行基础设施掩护,以规避安全检测,并使用权限提升及防分析检测等技术增强隐蔽性。成功入侵后,攻击者可借助远程访问工具和持久化机制深入受害者开发环境,窃取敏感凭证、访问云控制台或代码仓库等高价值资产,从而对区块链生态及软件供应链安全构成重大威胁。
资料来源:
http://fcc.d11k.top/w/AX3jqU
2026年1月24日,微软 Defender 研究人员发现了一起针对能源行业组织的复杂中间人攻击 (AiTM) 网络钓鱼活动,该活动利用 SharePoint 文件共享服务绕过传统的电子邮件安全控制,并入侵多个用户帐户。攻击首先借助受信任供应商邮箱地址发送的钓鱼邮件,包含精心伪装的SharePoint链接,让受害者误以为是正常的文档共享流程,从而点击链接并被重定向到假冒的登陆页面捕获凭证与会话Cookie。凭证被盗后,攻击者从不同IP地址登录受害账户,创建恶意收件箱规则以删除并标记所有邮件为已读,在受害者不知情的情况下保持持久访问。随后,攻击者利用被攻破的邮箱广泛发送超过600封钓鱼邮件给组织内部及外部联系人,并通过监听邮件回复进行伪装,使钓鱼活动显得更可信。当内部其他收件人点击恶意链接后,又成为新的AiTM攻击目标,进一步扩大入侵范围。微软强调,仅重置密码并不足以缓解此类攻击,必须撤销活动会话Cookie、删除攻击者设置的收件箱规则并还原多因素认证(MFA)更改,并建议采用基于风险的条件访问策略来增强防护能力。
资料来源:
https://gbhackers.com/aitm-attack-using-sharepoint-bypass/
2026年1月30日,安全研究机构Cisco Talos发现一个代号为UAT-8099的威胁组织从2025年底持续至2026年初,在亚洲范围内针对Internet Information Services(IIS)易受攻击的服务器发动多阶段攻击活动,重点集中在泰国和越南的目标上。攻击者首先利用未打补丁或配置不当的IIS服务器进行Web Shell注入,建立初步访问点,接着通过PowerShell脚本部署恶意工具如GotoHTTP远程访问工具以维持长久控制,并在成功入侵后执行持久化操作和横向渗透等行为。乌云组织还部署了定制化的BadIIS恶意软件变种,这些变种内嵌国家/区域标识(如“TH”“VN”)并针对不同语言环境优化,如根据“Accept-Language”头过滤请求,向搜索引擎爬虫呈现SEO欺诈内容、向普通访问者注入恶意JavaScript重定向,从而执行搜索引擎优化欺诈或恶意流量诱导等操作。攻击者通过创建隐藏管理员账户(如“admin$”“mysql$”等)获得持久访问权限,并使用反取证工具删除日志或终止安全防护进程以逃避检测。此外,该行动显示出与此前WEBJACK活动在恶意特征及基础设施上的重叠,表明UAT-8099正在演进其攻击策略并针对特定区域展开更精细化的入侵行动,因此易受攻击IIS服务器管理者应尽快修补漏洞、加强访问控制与监控以降低风险。
资料来源:
http://ryc.d11k.top/w/I6gLoQ
安帝科技丨ANDISEC
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...