每日安全情报报告 · 2026-05-05

每日安全情报报告 · 2026-05-05

报告日期：2026年5月5日（周二）
情报窗口：近 24-48 小时
数据来源：NVD、CISA KEV、TheHackerNews、FreeBuf、安全客、Progress Software、CERT-EU、Sophos、BleepingComputer

风险概况

一、最新高危漏洞（CVE 详情）

🔴 CVE-2026-4670 — Progress MOVEit Automation 认证绕过（严重）

• 漏洞类型：认证绕过（CWE-305: Authentication Bypass by Primary Weakness）
• 受影响组件：Progress MOVEit Automation 2025.0.0 ～ 2025.0.9 之前、2024.0.0 ～ 2024.1.8 之前，及所有更早版本
• CVSS 评分：9.8（严重）—CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
• 漏洞描述：未经认证的远程攻击者可直接绕过 MOVEit Automation 的身份验证机制，获取管理权限，导致数据泄露和远程代码执行。
• 修复版本：MOVEit Automation2025.0.9/2024.1.8
• 在野利用：暂未发现公开在野利用，但厂商于2026年5月4日紧急发布通告，建议立即升级
• 参考链接：
• NVD 详情
• Progress 官方安全公告
• BleepingComputer 报道

🔴 CVE-2026-41940 — cPanel & WHM 认证绕过零日（严重 · 在野利用）

• 漏洞类型：认证绕过 → 远程代码执行
• 受影响组件：cPanel & WHM（约150万实例暴露，44000+ 已被攻陷）
• CVSS 评分：9.8（严重）
• 漏洞描述：攻击者无需任何认证即可绕过 cPanel/WHM 登录机制，获取最高权限控制面板，进而远程执行代码。部分攻击甚至清空了整个网站及备份。
• 在野利用：✅已在野大规模利用（自2026年2月起），CISA KEV 已收录，联邦机构修复截止日2026年5月3日（已到期）
• POC 状态：✅ 已公开（CVE-2026-41940 POC）
• 参考链接：
• TheHackerNews 报道
• Dataminr 情报简报

🔴 CVE-2026-31431（Copy Fail）— Linux 内核本地提权（严重 · 在野利用）

• 漏洞类型：页缓存污染 → 本地权限提升（CWE-669: Incorrect Resource Transfer Between Spheres）
• 受影响组件：Linux 内核 4.14+（2017年起），所有主流发行版（Ubuntu、Debian、CentOS、RHEL、麒麟等）
• CVSS 评分：7.8（高危），但实际可利用性极高，被称为"史诗级提权漏洞"
• 漏洞描述：Linux 内核algif_aead模块在处理 AF_ALG 加密操作时存在逻辑错误，本地普通用户可向任意可读文件的页缓存写入4个受控字节，篡改 setuid 程序（如su、sudo）获取 root 权限。利用仅需732字节脚本，1秒内完成提权。
• 在野利用：✅已在野利用，CISA 于2026年5月1日将其加入 KEV 目录
• 修复版本：Linux 内核 6.14.4 / 6.12.25 / 6.6.87 / 6.1.134 等后续版本
• 参考链接：
• NVD 详情
• 微软安全博客分析
• Sophos PoC 分析
• CERT-EU 安全通告

🟠 CVE-2026-5174 — Progress MOVEit Automation 权限提升（高危）

• 漏洞类型：输入验证不当 → 权限提升（CWE-20）
• 受影响组件：Progress MOVEit Automation（同 CVE-2026-4670 受影响版本）
• CVSS 评分：7.7（高危）
• 漏洞描述：经过身份验证的低权限用户可通过输入验证缺陷提升权限，结合 CVE-2026-4670 可实现完全系统接管。
• 修复版本：MOVEit Automation2025.0.9/2024.1.8
• 参考链接：
• NVD 详情
• HelpNetSecurity 报道

🟠 CVE-2026-33825 — Windows Defender 本地提权（高危 · 在野利用）

• 漏洞类型：TOCTOU 竞态条件 → 本地权限提升
• 受影响组件：Microsoft Windows Defender（10亿+ 设备）
• CVSS 评分：7.8（高危）
• 在野利用：✅已在野利用（BlueHammer / RedSun 漏洞链），CISA KEV 已收录
• 参考链接：
• CISA KEV 目录
• TheHackerNews 报道

🟠 CVE-2026-32201 — Microsoft SharePoint 欺骗零日（高危 · 在野利用）

• 漏洞类型：欺骗攻击（Spoofing）
• 受影响组件：Microsoft SharePoint Server
• CVSS 评分：6.5（中危），但因在野利用评为高危
• 在野利用：✅已在野利用，CISA KEV 已收录，联邦修复截止日2026年4月28日（已到期）
• 参考链接：
• MSN/微软官方说明

🟡 CVE-2026-5405 — Wireshark RDP 协议解析崩溃（中危）

• 漏洞类型：协议解析器崩溃 → 拒绝服务（可能为 RCE）
• 受影响组件：Wireshark 4.6.0 ～ 4.6.4，4.4.0 ～ 4.4.14
• CVSS 评分：7.8（高危）
• 漏洞描述：RDP 协议解析器存在缺陷，攻击者可构造恶意数据包导致 Wireshark 崩溃，可能执行任意代码。
• 修复版本：Wireshark 4.6.5 / 4.4.15
• 参考链接：
• TheHackerWire 详情
• CyberPress 报道

二、最新漏洞 POC / 利用工具

📌 CVE-2026-31431（Copy Fail）— Linux 内核提权 POC

POC 仓库：rootsecdev/cve_2026_31431 | painoob/Copy-Fail-Exploit-CVE-2026-31431

使用步骤：

# 1. 克隆 POC 仓库 git clone https://github.com/rootsecdev/cve_2026_31431.git cd cve_2026_31431 # 2. 安装依赖（编译环境） # Ubuntu/Debian sudo apt-get install gcc make linux-headers-$(uname -r) # CentOS/RHEL sudo yum install gcc make kernel-devel # 3. 编译 exploit make # 4. 验证漏洞是否存在（不触发利用） ./test_cve_2026_31431.py # 5. 执行提权 exploit ./exploit_cve_2026_31431 # 成功后获取 root shell

注意事项：
- 该漏洞影响2017年后所有主流 Linux 发行版
- POC 仅732字节，可靠性极高（"1秒root"）
- 容器环境中也可用于容器逃逸
-立即升级内核至修复版本！

📌 CVE-2026-41940 — cPanel & WHM 认证绕过 POC

POC 状态：✅ 已公开

参考信息：Dataminr 情报简报

概述：
- 攻击者通过构造特殊请求绕过 cPanel/WHM 认证
- 无需认证即可获取 WHM root 级别访问权限
- 公开 POC 已出现，44000+ 服务器已被攻陷
- 影响东南亚政府、MSP 和托管提供商

缓解措施（如暂时无法升级）：
1. 限制 cPanel/WHM 管理端口（2083/2087）的访问源 IP
2. 监控异常的管理员登录行为
3.立即联系托管服务商确认补丁状态

📌 CVE-2026-4670 / CVE-2026-5174 — MOVEit Automation POC

POC 状态：⚠️ 暂无公开 POC，但漏洞评分极高（9.8），建议立即升级

修复步骤：

# 检查当前版本 cat /opt/moveit-automation/version.txt # 升级到修复版本（需管理员权限） # 参考 Progress 官方升级指南 # 2025.0.9 或 2024.1.8 及以上

参考链接：Progress 官方安全公告

三、网络安全最新文章

📰 CISA 将 Linux Copy Fail 漏洞 CVE-2026-31431 纳入 KEV 目录

来源：CISA |日期：2026年5月1日
CISA 确认 CVE-2026-31431（Copy Fail）已在野利用，强制联邦机构在截止日前修复。该漏洞影响2017年以来几乎所有 Linux 发行版，本地普通用户可获取 root 权限。

📰 剧毒助手：钓鱼活动利用 SimpleHelp 和 ScreenConnect RMM 工具攻击 80+ 组织

来源：TheHackerNews |日期：2026年5月4日
Securonix 观察到代号VENOMOUS#HELPER的钓鱼活动，自2025年4月起已影响80+ 组织（主要在美国）。攻击者诱导受害者安装合法的 RMM 工具 SimpleHelp 和 ScreenConnect，建立持久远程访问，疑似经济动机的初始访问经纪人（IAB）或勒索软件前置团伙运营。

📰 cPanel 严重漏洞被武器化，目标指向政府与 MSP 网络

来源：TheHackerNews |日期：2026年5月4日
Ctrl-Alt-Intel 于2026年5月2日检测到未知威胁团伙利用 CVE-2026-41940 发起攻击，目标包括东南亚政府、军事实体，以及菲律宾、老挝、加拿大、南非、美国的管理服务提供商（MSP）。攻击者使用公开 POC 及自定义 exp，攻击源 IP 为95.111.250[.]175。

📰 Progress 修复 MOVEit Automation 严重认证绕过漏洞

来源：BleepingComputer |日期：2026年5月4日
Progress Software 警告客户立即修补 MOVEit Automation 的关键认证绕过漏洞 CVE-2026-4670（CVSS 9.8）。该漏洞允许未经认证的远程攻击者绕过身份验证控制，获取未授权访问权限。

📰 Silver Fox 通过伪报税主题钓鱼在印度和俄罗斯部署 ABCDoor 恶意软件

来源：TheHackerNews |日期：2026年5月4日
卡巴斯基将与中国相关的网络犯罪团伙 Silver Fox 的新活动与恶意软件 ABCDoor 关联。攻击者通过伪装成印度所得税部门审计通知的钓鱼邮件发起攻击，后续还针对俄罗斯实体发起同类活动。两波活动均使用公开仓库的 Rust 语言加载器，下载执行 ValleyRAT 后门。

📰 全球联合执法：逮捕 276 人、关停 9 个加密骗局中心、缴获 7.01 亿美元

来源：TheHackerNews |日期：2026年5月4日
由迪拜警方牵头，FBI、中国公安部参与的国际联合执法行动，共逮捕276名嫌疑人，关停9个针对美国民众的加密货币投资诈骗中心，涉案总损失达数百万美元，缴获资产价值7.01亿美元。

📰 2026：AI 辅助攻击之年

来源：TheHackerNews |日期：2026年5月4日
文章指出2025年 LLM 驱动的聊天与代理系统已升级为端到端编码工具，全年网络犯罪频率与严重程度均实现约翻倍增长。举例：2025年12月日本一名17岁青少年借助 AI 生成恶意代码，窃取日本最大网吧连锁品牌 Kaikatsu Club 超700万用户个人数据，凸显 AI 辅助攻击门槛大幅降低的趋势。

📰 Wireshark 修复多个高危漏洞，含 RCE 风险

来源：CyberPress |日期：2026年5月2日
Wireshark 基金会发布 4.6.5 版本，修补超过40个安全漏洞，其中包括多个可能导致远程代码执行的高危缺陷，建议所有用户立即升级。

四、防御建议

1. 立即修补严重漏洞：
2. MOVEit Automation 用户：立即升级至 2025.0.9 / 2024.1.8
3. Linux 用户：立即升级内核至修复版本（6.14.4+ / 6.12.25+ / 6.6.87+ / 6.1.134+）

4. cPanel/WHM 用户：立即升级并核查是否被入侵（CVE-2026-41940 已在野利用）

5. 监控在野利用指标：

6. CVE-2026-31431：监控setuid程序完整性、异常权限提升行为
7. CVE-2026-41940：监控 cPanel/WHM 异常登录、文件被篡改或删除

8. VENOMOUS#HELPER：监控 SimpleHelp/ScreenConnect 异常安装

9. 加固 RMM 工具使用：

10. 对 SimpleHelp、ScreenConnect 等 RMM 工具的部署进行严格访问控制
11. 启用多因素认证（MFA）

12. 监控 RMM 工具相关的异常网络流量

13. AI 辅助攻击防范：

14. 加强对 AI 生成恶意代码的检测能力
15. 提升安全团队对 AI 驱动攻击的认知和应对能力

附录：参考链接汇总

本报告由自动化安全情报系统生成，数据来源为公开渠道，仅供参考。请结合实际情况判断风险并采取措施。