每日安全情报报告 · 2026-03-29 · 2026-03-29
每日安全情报报告 · 2026-03-29
📅 发布日期:2026 年 03 月 29 日(周日)
🔍 数据来源:NVD、CISA KEV、GitHub Advisory、HelpNetSecurity、SecurityAffairs、CSA Labs 等权威渠道
⚠️ 本报告仅供安全研究与防御参考,请勿用于违法用途。
一、高危漏洞速报
1. CVE-2026-20963 — Microsoft SharePoint Server 未授权 RCE
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 不受信任数据反序列化(CWE-502)→ 远程代码执行 |
| 受影响组件 | SharePoint Enterprise Server 2016(< 16.0.5535.1001) SharePoint Server 2019(< 16.0.10417.20083) SharePoint Server Subscription Edition(< 16.0.19127.20442) |
| CVSS 评分 | 9.8 Critical |
| 利用状态 | ⚡ 已被 CISA 列入 KEV(已知被利用漏洞目录),存在在野利用 |
| 攻击前提 | 无需身份验证,仅需访问目标 SharePoint 服务器的 HTTP/HTTPS 端口 |
漏洞原理:
攻击者向 /_layouts/ 或 /_api/ 端点发送特制未认证 HTTP POST 请求,触发 ASP.NET ViewState 反序列化漏洞,以 SharePoint 应用程序池服务账号身份执行任意命令(通常具备高域权限),可写入 WebShell 并完成横向移动。
修复建议:
- 立即应用 2026 年 1 月/3 月 Patch Tuesday 累积更新,并运行 SharePoint 产品配置向导
- 轮换 SharePoint Server ASP.NET 计算机密钥,重启 IIS 服务
- 启用 AMSI 完整模式;在防火墙/WAF 层过滤异常 POST 请求
- 监控 w3wp.exe 进程异常子进程(如 cmd.exe、powershell.exe)
参考链接:
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-20963
- CERT-EU 公告:https://cert.europa.eu/publications/security-advisories/2026-004/
- 技术分析(PurpleOps):https://www.purple-ops.io/resources-hottest-cves/cve-2026-20963-sharepoint-rce/
- 阿里云 AVD:https://avd.aliyun.com/detail?id=AVD-2026-20963
2. CVE-2026-21992 — Oracle Identity Manager 未授权 RCE
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 关键功能缺少身份验证(CWE-306)→ 远程代码执行 |
| 受影响组件 | Oracle Identity Manager 12.2.1.4.0 Oracle Identity Manager 14.1.2.1.0 Oracle Web Services Manager(相同版本) |
| CVSS 评分 | 9.8 Critical(CVSS 3.1 向量:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) |
| 利用状态 | 带外紧急补丁(3 月 20 日发布),前身 CVE-2025-61757 已在野利用 |
| 攻击前提 | 无需身份验证,HTTP 可达即可利用 |
漏洞原理:
Oracle Identity Manager 的一个 REST WebServices 端点未强制执行身份验证,攻击者可通过 HTTP 直接调用该端点执行任意代码。由于 OIM 通常作为企业 IAM 权威数据源,沦陷后可进一步攻击 Active Directory、LDAP、云服务身份提供商等全链路组件,形成连锁崩溃。
修复建议:
- 立即应用 Oracle 2026 年 3 月 20 日带外安全警报补丁(KB878741)
- 在网络层隔离 OIM 管理接口,禁止互联网直接访问
- 审查日志,排查 REST 端点的历史未授权访问记录
- 参考零信任原则强化身份管理基础设施
参考链接:
- Oracle 官方安全公告:https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
- SecurityAffairs 报道:https://securityaffairs.com/189796/security/oracle-fixes-critical-rce-flaw-cve-2026-21992-in-identity-manager.html
- CSA 技术分析:https://labs.cloudsecurityalliance.org/research/csa-research-note-oracle-idm-cve-2026-21992-iam-rce-20260322/
- Tenable 博客:https://www.tenablecloud.cn/blog/cve-2026-21992-critical-out-of-band-oracle-identity-manager-and-oracle-web-services-manager
3. CVE-2026-32746 — GNU InetUtils telnetd 预认证 RCE(CVSS 9.8)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 堆缓冲区溢出(CWE-122)→ 预认证远程代码执行 |
| 受影响组件 | GNU InetUtils telnetd 所有版本(≤ 2.7) 所有基于 BSD SLC 代码库的 telnetd 实现 |
| CVSS 评分 | 9.8 Critical |
| 利用状态 | PoC 已公开(GitHub),官方补丁预计 2026 年 4 月 1 日发布 |
| 攻击前提 | 无需身份验证,攻击发生在认证流程启动之前 |
漏洞原理:
漏洞位于 telnetd/slc.c 的 add_slc() 函数,该函数将 LINEMODE SLC 三元组写入固定 108 字节缓冲区(slcbuf)时缺少边界检查。发送 40+ 个三元组即可触发溢出,破坏 slcptr 指针及相邻 BSS 段数据,最终实现任意代码执行,获得服务器 root 权限。
修复建议:
- 官方补丁发布前,立即禁用 Telnet 服务(端口 23)
- 使用 SSH 替代 Telnet 进行远程管理
- 防火墙层面封锁端口 23 的外部访问
- 避免以 root 权限运行 telnetd
参考链接:
- GitHub PoC:https://github.com/jeffaf/cve-2026-32746
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32746
- 阿里云 AVD:https://avd.aliyun.com/detail?id=AVD-2026-32746
- 技术分析(WatchTowr):https://labs.watchtowr.com/a-32-year-old-bug-walks-into-a-telnet-server-gnu-inetutils-telnetd-cve-2026-32746/
4. CVE-2026-33634 — Trivy 供应链投毒(GitHub Actions / CI/CD 凭证窃取)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 嵌入恶意代码(CWE-506)→ 供应链攻击 |
| 受影响组件 | aquasec/trivy v0.69.4aquasecurity/trivy-action v0.0.1–v0.34.2(76/77 标签受影响)aquasecurity/setup-trivy v0.2.0–v0.2.6 |
| CVSS 评分 | 9.4 Critical(CVSS 4.0),8.8 High(CVSS 3.1) |
| 利用状态 | 已于 3 月 19 日在野攻击,凭证外泄风险极高 |
| 安全版本 | trivy-action@v0.35.0 / commit 57a97c7;setup-trivy@v0.2.6 / commit 3fb12ec |
漏洞原理:
攻击者在 2026 年 2 月底入侵 Trivy 维护者账号,3 月 1 日凭证轮换不彻底,导致攻击者 3 月 19 日重新发起攻击:强制推送(force-push)篡改 76 个 GitHub Action 标签、发布恶意 Trivy v0.69.4,并从仿冒域名 scan.aquasecurtiy.org(注意拼写)下载恶意 Go 文件。Payload 读取 Runner 进程内存(/proc/<pid>/mem)、扫描 50+ 凭证路径、AES-256-CBC + RSA-4096 加密后外传,或通过 tpcp-docs 仓库上传至 GitHub Public。
修复建议:
- 立即升级到安全版本(trivy-action@v0.35.0 或 setup-trivy@v0.2.6)
- 轮换所有 CI/CD 流水线中的机密信息(GitHub Token、云凭据、K8s 配置等)
- GitHub Actions 引用改用不可变的完整 Commit SHA 替代标签
- 检查工作流日志是否出现 IOC:域名 scan.aquasecurtiy.org、IP 45.148.10.212、仓库 tpcp-docs
参考链接:
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33634
- GitHub Advisory:https://github.com/advisories/GHSA-69fq-xp46-6x23
- 详细分析(Penligent):https://www.penligent.ai/hackinglabs/cve-2026-33634-and-the-trivy-supply-chain-compromise-how-mutable-tags-turned-a-security-scanner-into-a-credential-stealer/
- Wiz 漏洞库:https://www.wiz.io/vulnerability-database/cve/cve-2026-33634
二、漏洞 PoC 分析
PoC #1:CVE-2026-32746 — GNU telnetd 预认证缓冲区溢出
来源:https://github.com/jeffaf/cve-2026-32746
发现团队:DREAM Security Research(Adiel Sol 等)
PoC 类型:验证性 PoC(仅触发溢出,未实现完整代码执行)
复现环境要求:
- Docker 和 Docker Compose
- Python 3.8+
使用步骤:
# 1. 克隆 PoC 仓库
git clone https://github.com/jeffaf/cve-2026-32746
cd cve-2026-32746
# 2. 启动包含漏洞的 Docker 测试环境(映射到 2323 端口)
docker compose up -d
# 3. 漏洞检测(非破坏性,确认目标是否存在该漏洞)
python3 detect.py 127.0.0.1 2323
# 4. 触发漏洞(验证缓冲区溢出)
python3 exploit.py 127.0.0.1 2323
# 5. 清理测试环境
docker compose down
技术细节:
漏洞点 telnetd/slc.c 的 add_slc() 函数将 SLC 三元组写入固定 108 字节的 slcbuf 缓冲区,无边界检查。当攻击者在 Telnet 握手协商阶段发送 ≥40 个 LINEMODE SLC 三元组(子选项 IAC SB LINEMODE SLC ... IAC SE),即可触发溢出,覆盖 slcptr 指针和相邻 BSS 数据,在完整利用链构建后可获得 root shell。
免责声明: PoC 仅供授权安全测试和教育研究目的,严禁对未授权系统使用。
PoC #2:CVE-2026-33634 — Trivy 供应链攻击利用链重现(攻击者视角)
来源:GitHub Advisory GHSA-69fq-xp46-6x23 + Penligent 分析报告
类型:供应链攻击 IOC 分析(非传统 PoC)
攻击者完整操作链(已公开的事后溯源):
# 阶段 1:确认受影响的 Actions 引用(检查 CI 配置)
grep -r "aquasecurity/trivy-action" .github/workflows/
grep -r "aquasecurity/setup-trivy" .github/workflows/
# 阶段 2:检查是否引用了受感染的版本或标签(而非 SHA)
# 受感染标签范围:trivy-action v0.0.1 ~ v0.34.2
# 受感染时间窗口:2026-03-19 ~ 2026-03-23
# 阶段 3:检查 Runner 日志中的 IOC
# 恶意域名:scan.aquasecurtiy.org(注意:多了一个 u)
# 恶意 IP:45.148.10.212
# 恶意文件路径:/tmp/runner_collected_*、~/.config/sysmon.py
# 外泄仓库:tpcp-docs
# 阶段 4:验证镜像摘要(检查是否拉取了恶意镜像)
docker inspect aquasec/trivy:0.69.4 | grep -i digest
# 对比官方发布的已知安全摘要
# 修复:将 Actions 引用固定为不可变 SHA
# 安全版本:
# uses: aquasecurity/trivy-action@57a97c7 (对应 v0.35.0)
# uses: aquasecurity/setup-trivy@3fb12ec (对应 v0.2.6)
关键教训: 可变标签(mutable tags)不是安全边界;安全扫描工具因在特权 CI 环境运行,本身是高价值攻击目标;凭证轮换必须是原子操作。
PoC #3:CVE-2026-21992 — Oracle Identity Manager REST 端点未授权访问验证
来源:Oracle Security Alert + CSA Labs 技术报告
类型:概念验证(验证端点暴露性)
检测步骤(防御性验证):
# 检查 OIM REST 端点是否无需认证即可访问
# 替换 <OIM_HOST> 为目标 OIM 服务器地址
# 1. 探测受影响的未认证 REST 端点
curl -k -s -o /dev/null -w "%{http_code}" \
https://<OIM_HOST>:14000/oim/faces/faces/oracle/iam/platform/rest/...
# 2. 检查日志中的未授权 REST 调用
grep -i "REST" /var/log/oim/oim_server*.log | \
grep -v "authenticated" | \
grep "200\|201\|500"
# 3. 使用 Nmap 服务探针确认 OIM 版本
nmap -sV -p 14000 <OIM_HOST>
# 4. 立即修复(应用 Oracle 补丁后验证)
# 应用 KB878741 补丁后重新测试端点,确认已返回 401
注意: 此处仅提供防御性检测方法。公开的完整利用代码尚未出现,但鉴于前身 CVE-2025-61757 已被大规模利用,预计武器化代码近期将公开,请务必优先修补。
三、网络安全前沿文章
📌 文章 1:《AI 驱动的勒索软件攻击在 2026 年急剧增长》
来源:Aviatrix 威胁研究中心
发布时间:2026 年 3 月 24 日
链接:https://aviatrix.ai/threat-research-center/ai-powered-ransomware-attacks-2026/
摘要:
2026 年初,AI 被攻击者广泛武器化用于勒索软件攻击。典型案例 "PromptLock" 使用本地大语言模型动态生成多态恶意脚本,实现跨平台(Windows/macOS/Linux)攻击,从初始入侵到系统完全加密的时间压缩至数分钟内。攻击链各环节均有 AI 强化:AI 生成个性化钓鱼邮件→自动识别 IAM 配置错误进行权限提升→AI 侦查驱动横向移动→建立弹性 C2 通道→智能识别并外泄敏感数据。医疗、金融、政府和云服务行业是重点受害目标。报告推荐零信任分段、东西向流量监控、出口安全策略和多云可见性作为核心防御手段。
📌 文章 2:《CISA 对 Langflow RCE 和 Trivy 供应链攻击发出警报》
来源:HelpNetSecurity
发布时间:2026 年 3 月 27 日
链接:https://www.helpnetsecurity.com/2026/03/27/cve-2026-33017-cve-2026-33634-exploited/
摘要:
CISA 已将 CVE-2026-33017(Langflow AI Pipeline 未授权 RCE,CVSS 9.3)和 CVE-2026-33634(Trivy 供应链投毒)同时加入已知被利用漏洞(KEV)目录,要求联邦机构在规定时限内完成修补。CVE-2026-33017 在补丁发布后仅 20 小时即出现在野利用,主要目标为暴露在公网的 Langflow 实例(影响 v1.9.0 以下所有版本)。CISA 警告供应链安全问题已成为 2026 年最紧迫威胁之一,呼吁各组织对开源 CI/CD 工具的 Action 引用执行严格版本固定策略。
📌 文章 3:《2026 年 3 月威胁情报简报:AI 攻击面与勒索软件经济》
来源:LinkedIn Pulse(作者:Patel)
发布时间:2026 年 3 月 23 日
链接:https://www.linkedin.com/pulse/threat-intelligence-brief-march-2026-critical-ransomware-patel-oqcnf
摘要:
2026 年 3 月的威胁态势呈现两大关键趋势交汇:AI 驱动的新型攻击面与不断膨胀的勒索软件经济体系。Microsoft Patch Tuesday 披露了一个零点击漏洞,攻击者已开始大规模整合 AI 自动化攻击链,使攻击速度和精准度大幅提升。勒索软件团伙采用"勒索即服务(RaaS)"模式持续扩张,2026 年 Q1 赎金支付总额较去年同期增长超过 40%。报告呼吁企业重点关注 AI 辅助的鱼叉式钓鱼攻击防御、零信任架构落地和关键基础设施隔离。
📌 文章 4:《供应链攻击深度解析:Trivy 事件如何将安全扫描工具变成凭证窃取机器》
来源:Penligent Hacking Labs
发布时间:2026 年 3 月 27 日
链接:https://www.penligent.ai/hackinglabs/cve-2026-33634-and-the-trivy-supply-chain-compromise-how-mutable-tags-turned-a-security-scanner-into-a-credential-stealer/
摘要:
本文深度解析了 CVE-2026-33634 Trivy 供应链攻击的完整技术链。攻击者利用 GitHub Actions 工作流中的 pull_request_target 配合不可信代码检出获得初始立足点,凭证轮换的非原子性操作导致攻击者维持访问并发动二次攻击。恶意 payload 通过读取 /proc/<pid>/mem、扫描 50+ 凭证路径、AES-256-CBC+RSA-4096 加密后外传等方式窃取 CI/CD 机密。文章强调核心教训:可变标签(mutable tag)不是安全边界,所有 GitHub Actions 引用应使用不可变的完整 Commit SHA 进行版本锁定。
📌 文章 5:《2026 年 Oracle 身份管理器的系统性 RCE 风险》
来源:Cloud Security Alliance Labs
发布时间:2026 年 3 月 22 日
链接:https://labs.cloudsecurityalliance.org/research/csa-research-note-oracle-idm-cve-2026-21992-iam-rce-20260322/
摘要:
CSA 分析了 CVE-2026-21992(Oracle Identity Manager 未授权 RCE)及其前身 CVE-2025-61757,指出 Oracle OIM REST 层在架构上可能存在系统性身份验证强制执行缺陷,而非单一漏洞。由于 OIM 是企业用户访问权限的权威数据源,其沦陷可引发连锁效应,波及 Active Directory、LDAP、云身份提供商等全链路组件。文章将此漏洞模式与 CSA 云控制矩阵(CCM)IAM 域、MAESTRO AI 代理安全框架关联分析,呼吁将身份管理基础设施纳入零信任架构改造优先清单。
四、今日安全态势总结
| 维度 | 评估 |
|---|---|
| 威胁烈度 | 🔴 高危 |
| 最紧急修复 | SharePoint CVE-2026-20963(在野利用)、Oracle OIM CVE-2026-21992(带外补丁) |
| 最受关注 PoC | GNU telnetd CVE-2026-32746(公开 PoC,补丁尚未发布) |
| 供应链风险 | Trivy CVE-2026-33634(CI/CD 管线凭证大规模外泄风险) |
| 趋势警示 | AI 驱动攻击加速、供应链投毒成新常态、身份基础设施成核心攻击目标 |
本周重点行动清单:
1. ☑️ 立即为所有 SharePoint Server 实例应用 1 月 / 3 月累积更新
2. ☑️ 应用 Oracle OIM CVE-2026-21992 带外补丁,隔离 OIM 管理接口
3. ☑️ 排查 CI/CD 工作流,升级 trivy-action 至 v0.35.0 并轮换所有相关凭证
4. ☑️ 封锁所有公网暴露的 Telnet(23/TCP)端口,等待 GNU telnetd 官方补丁
5. ☑️ 检查自动化 AI 工作流和代理是否存在未鉴权的对外接口暴露
本报告由自动化安全情报收集系统生成,数据来源包括 NVD、CISA KEV、GitHub Advisory Database、HelpNetSecurity、SecurityAffairs、CSA Labs 等权威渠道。如有疑问,请以各来源原文为准。
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
8
0- 0
已为社区贡献9条内容
所有评论(0)