每日安全情报报告 · 2026-04-20
📅 报告日期 :2026年4月20日(周一)
🔍 情报窗口 :近 48 小时
⚠️ 本报告包含在野利用漏洞,请相关系统管理员立即核查并修复
一、高危漏洞速报
🔴 CVE-2026-39808 --- Fortinet FortiSandbox 未授权 RCE(CVSS 9.8)
| 字段 | 内容 |
|---|---|
| 漏洞类型 | OS 命令注入(CWE-78) |
| 受影响组件 | Fortinet FortiSandbox 4.4.0 -- 4.4.8 |
| CVSS 评分 | 9.8(Critical) |
| 攻击向量 | 网络远程 / 无需认证 / 低复杂度 |
| 在野利用 | ⚠️ PoC 已公开,正遭利用 |
漏洞描述:FortiSandbox 对 HTTP 请求中的特殊字符未做充分过滤,未经身份验证的攻击者可通过构造恶意请求在目标系统上以 root 权限执行任意操作系统命令,完全控制受影响设备。该漏洞于 2026 年 4 月 14 日正式披露,多个 PoC 已在 GitHub 公开。
修复建议:立即将 FortiSandbox 升级至 4.4.9 及以上版本;若暂无法升级,启用访问控制规则限制管理接口对互联网的暴露。
🔗 NVD 详情页 | cvefeed 漏洞详情 | Fortinet 官方公告
🔴 CVE-2026-35616 --- Fortinet FortiClient EMS 认证绕过(CVSS 9.1)
| 字段 | 内容 |
|---|---|
| 漏洞类型 | 不当访问控制(CWE-284) |
| 受影响组件 | FortiClient EMS 7.4.5、7.4.6 |
| CVSS 评分 | 9.1(Critical) |
| 攻击向量 | 网络远程 / 无需认证 |
| 在野利用 | 🔴 零日漏洞,已在野被利用 |
漏洞描述:FortiClient EMS API 接口存在访问控制缺陷,未经身份验证的攻击者可绕过认证机制,提升权限并执行未授权代码或命令。该漏洞由 Defused 研究团队(Simo Kohonen、Nguyen Duc Anh)负责任披露,CISA 已将其加入已知利用漏洞目录(KEV)。
关联漏洞:同期披露的 CVE-2026-21643(CVSS 9.1)同样影响 FortiClient EMS,攻击者通过 "Site" 头部注入 SQL 语句。
修复建议:立即应用 Fortinet 发布的热修复补丁;正式修复将包含于 FortiClient EMS 7.4.7 版本。
🔗 Security Affairs 详细分析 | Qualys 威胁防护 | CISA KEV 目录
🟠 CVE-2026-33825(BlueHammer)--- Microsoft Defender 本地提权(CVSS 7.8)
| 字段 | 内容 |
|---|---|
| 漏洞类型 | 本地权限提升(LPE)/ TOCTOU 竞态条件 |
| 受影响组件 | Windows 10/11、Windows Server 2016--2025(Defender Antivirus 4月补丁前) |
| CVSS 评分 | 7.8(High) |
| 攻击向量 | 本地 / 需要低权限用户 |
| 在野利用 | 🔴 自 2026-04-10 起遭活跃利用,PoC 已公开 |
漏洞描述 :Windows Defender 威胁修复引擎中存在 TOCTOU(检查时间-使用时间)竞态条件。攻击者通过放置触发 Defender 检测的文件,在 Defender 清理操作期间利用批处理机会锁(oplock)暂停执行,并通过创建 NTFS 交接点将目标路径重定向至 C:\Windows\System32,使 Defender 以 SYSTEM 权限写入恶意载荷,实现 SYSTEM 级代码执行。
修复建议:立即安装 2026 年 4 月 Patch Tuesday 更新(KB5055627 及相关补丁)。
🔗 Picus Security 深度分析 | MSRC 官方公告 | Tenable 分析
🟠 RedSun(零日)--- Microsoft Defender 本地提权(CVE 待分配)
| 字段 | 内容 |
|---|---|
| 漏洞类型 | 本地权限提升(LPE)/ 云文件回滚机制滥用 |
| 受影响组件 | Windows Defender Antivirus(最新版本) |
| CVSS 评分 | 待分配(预估 High) |
| 攻击向量 | 本地 / 需要低权限 |
| 在野利用 | 🔴 零日漏洞,尚无官方补丁,正遭利用 |
漏洞描述:滥用 Windows Defender 的云文件回滚机制,通过 Windows Cloud Files API 将文件替换为云占位符,在 Defender 启动回滚操作时利用 NTFS 交接点和机会锁将目标路径重定向至系统目录,以 SYSTEM 权限覆盖系统关键二进制文件。由研究员 Chaotic Eclipse 于 2026 年 4 月 15 日公开披露。
风险提示:与 CVE-2026-33825(BlueHammer)可组成攻击链,当前尚无官方补丁,攻击者已结合 PoC 工具发起组合提权攻击。
🔗 GitHub PoC 仓库 (RedSun) | Blackswan Cybersecurity 威胁公告 | BleepingComputer 报道
🟡 CVE-2026-32201 --- Microsoft SharePoint Server 欺骗漏洞(CVSS 6.5)
| 字段 | 内容 |
|---|---|
| 漏洞类型 | 欺骗漏洞(Spoofing) |
| 受影响组件 | SharePoint Server 2016、2019、Subscription Edition |
| CVSS 评分 | 6.5(Important,但已在野利用) |
| 攻击向量 | 网络 / 需要用户交互 |
| 在野利用 | 🔴 已在野利用,CISA 要求 4 月 28 日前完成修复 |
漏洞描述:SharePoint Server 存在欺骗漏洞,可被攻击者用于伪造内容或身份,诱导用户执行恶意操作。尽管 CVSS 评分相对较低(6.5),但已确认遭在野利用,CISA 已发布紧急指令,要求联邦机构于 2026 年 4 月 28 日前完成修复。
修复建议:立即部署 2026 年 4 月 Patch Tuesday 安全更新,优先处理 SharePoint Server 环境。
🔗 微软 MSRC 公告 | Tenable Patch Tuesday 分析 | 腾讯新闻报道
二、漏洞 PoC 情报
🔥 PoC-1:CVE-2026-39808 --- FortiSandbox 未授权 RCE
漏洞背景:FortiSandbox OS 命令注入,CVSS 9.8,无需认证即可执行 root 级命令。
公开 PoC 仓库:
| 仓库 | 语言 | 更新时间 |
|---|---|---|
| 0XBLACKASH/CVE-2026-39808 | Python | 1天前 |
| SAMU-DELUCAS/CVE-2026-39808 | N/A | 2天前 |
| LECHANSKY/CVE-2026-39808 | N/A | 4天前 |
基本使用步骤(以 0XBLACKASH 仓库为例):
bash
# 1. 克隆仓库
git clone https://github.com/0XBLACKASH/CVE-2026-39808.git
cd CVE-2026-39808
# 2. 安装依赖
pip install -r requirements.txt
# 3. 执行漏洞验证(请仅在授权环境中测试)
python exploit.py --target https://<FORTISANDBOX_IP> --cmd "id"⚠️ 免责声明:上述步骤仅用于合法授权的安全测试和学习研究目的。在未授权系统上执行可能违反法律。
🔥 PoC-2:RedSun --- Windows Defender 零日提权
漏洞背景:滥用 Defender 云文件回滚机制实现 SYSTEM 级权限提升,CVE 尚未分配,无官方补丁。
公开 PoC 仓库 :Nightmare-Eclipse/RedSun(C++ 源代码,2026-04-15 发布)
基本使用步骤:
bash
# 1. 克隆仓库(需要 Visual Studio 2022 编译环境)
git clone https://github.com/Nightmare-Eclipse/RedSun.git
cd RedSun
# 2. 使用 Visual Studio 编译 C++ 项目
# 打开 RedSun.sln,选择 Release x64 配置,执行生成
# 3. 在目标系统(低权限用户)上运行
.\RedSun.exe
# 4. 漏洞利用成功后将获得 SYSTEM 级 shell 或代码执行能力⚠️ 安全提醒:该 PoC 已在野被攻击者结合 BlueHammer(CVE-2026-33825)组合利用,建议立即安装 Defender 安全更新,并关注微软 MSRC 补丁发布。
🔥 PoC-3:CVE-2026-33825(BlueHammer)--- Windows Defender TOCTOU 提权
漏洞背景:Defender 威胁修复引擎 TOCTOU 竞态条件,已于 2026-04-14 补丁日修复,CVSS 7.8。
公开 PoC:由研究员 Chaotic Eclipse 发布,位于公开 GitHub 仓库。
🔗 cyberpress PoC 分析文章 | gbhackers 分析报道
基本使用步骤:
bash
# 1. 克隆 BlueHammer PoC(仓库名以研究员 Chaotic Eclipse 账号查询)
git clone https://github.com/Chaotic-Eclipse/BlueHammer.git
cd BlueHammer
# 2. 编译(需要 Windows SDK + Visual C++ 编译工具)
msbuild BlueHammer.sln /p:Configuration=Release
# 3. 在目标 Windows 系统执行(需要低权限用户,无需管理员)
.\BlueHammer.exe
# 利用流程:
# - 创建触发 Defender 检测的诱饵文件
# - 设置批处理机会锁(oplock)暂停 Defender 修复操作
# - 创建 NTFS 交接点将临时目录重定向至 C:\Windows\System32
# - Defender 恢复操作后以 SYSTEM 权限写入恶意载荷⚠️ 防御建议:立即安装 2026 年 4 月 Patch Tuesday 更新,关注 Microsoft Defender 的自动更新状态。
三、安全事件与资讯
📰 文章1:LiteLLM PyPI 供应链攻击------40 分钟危害 4 万名 AI 开发者
来源 :Superframeworks / The Cyber Sec Guru
发布日期:2026-04-15
TeamPCP 威胁组织发动精心设计的三阶段供应链攻击:先入侵安全扫描工具 Trivy,窃取 LiteLLM 的 PyPI 发布令牌,随后向 PyPI 注入含恶意 .pth 文件的 LiteLLM v1.82.7、v1.82.8。恶意载荷在 Python 进程启动时自动执行,大规模窃取 AWS/GCP/Azure 云凭证、Kubernetes 配置、OpenAI/Anthropic 等 LLM API 密钥、SSH 密钥及加密货币钱包。暴露窗口仅约 40 分钟,但已有超过 4 万名开发者下载受害版本。此次攻击标志着以 AI 基础设施为目标的供应链攻击进入新阶段。
🔗 LiteLLM 攻击深度分析(Superframeworks) | TeamPCP 供应链攻击详情
📰 文章2:2026年4月重大数据泄露事件汇总------多行业受冲击
来源 :SharkStriker
发布日期:2026-04-02(持续更新)
2026 年 4 月至今已发生超过 15 起重大数据泄露事件,影响遍及加密货币、医疗、教育、出版、游戏等行业。以下为本月最受关注事件:
| 机构 | 行业 | 损失/影响 |
|---|---|---|
| Drift Protocol | 加密货币 | 超 2.8亿美元资产被盗 |
| McGraw-Hill | 出版 | 4500万条 Salesforce 记录泄露 |
| Booking.com | 旅游酒店 | 客户姓名/地址/入住信息泄露 |
| Adobe | 软件 | 1300万客户支持工单、1.5万员工数据泄露 |
| 香港医院管理局 | 医疗 | 5.6万名患者病历数据泄露 |
| Basic-Fit | 健身 | 荷兰 20 万名会员 + 100 万会员银行信息 |
| Rockstar Games | 游戏 | 遭 ShinyHunters 攻击(调查中) |
📰 文章3:三个 Windows Defender 零日齐发------研究员 13 天连爆高危漏洞
来源 :State of Surveillance / CloudSecurityAlliance
发布日期:2026-04-19
安全研究员 Chaotic Eclipse 在 13 天内连续发布三个针对 Windows Defender 的可用漏洞利用工具:BlueHammer(CVE-2026-33825,LPE,4月3日)、RedSun(零日,LPE,4月15日)、UnDefend(DoS,破坏 Defender 签名更新,4月16日)。三者可组合使用形成完整攻击链:UnDefend 禁用防护 → BlueHammer/RedSun 提权至 SYSTEM。威胁行为者已在实际攻击中直接使用 GitHub 上的 PoC 工具,相关攻击自 2026 年 4 月 10 日起被记录。
🔗 State of Surveillance 报道 | CloudSecurityAlliance 研究分析
📰 文章4:2026 年 4 月 Patch Tuesday------165 个 CVE、多个零日需优先处理
来源 :Tenable / CrowdStrike / Splashtop
发布日期:2026-04-14
微软 2026 年 4 月安全更新修复 163--169 个 CVE(各来源统计数据略有差异),包含 8 个 Critical 级别漏洞、1 个已在野利用零日(CVE-2026-32201 SharePoint)及 1 个公开披露零日(CVE-2026-33825 Defender)。本次 Patch Tuesday 体量创近年新高,IT 安全团队需优先处理 SharePoint 和 Defender 系列漏洞。
🔗 Tenable 深度分析 | CrowdStrike 分析报告 | SOCRadar 零日专题
📰 文章5:OWASP 发布 GenAI 漏洞利用 Q1 2026 季报------AI 攻击面正快速扩张
来源 :OWASP GenAI Security Project
发布日期:2026-04-14
OWASP GenAI 安全项目发布 2026 年一季度漏洞利用综合报告(覆盖 2026 年 1 月 1 日至 4 月 11 日),对 AI 大模型应用中发生的真实漏洞利用案例进行系统梳理。报告记录了包括提示注入、越权访问、训练数据投毒在内的多类 GenAI 特有攻击模式,并强调 AI 应用供应链(如 LiteLLM 事件)正成为新型攻击向量。
四、今日修复优先级建议
| 优先级 | CVE / 事件 | 受影响系统 | 建议行动 |
|---|---|---|---|
| 🔴 P0 立即修复 | CVE-2026-39808 | Fortinet FortiSandbox 4.4.x | 升级至 4.4.9+,封堵管理接口暴露 |
| 🔴 P0 立即修复 | CVE-2026-35616 | Fortinet FortiClient EMS 7.4.5/6 | 立即安装热修复补丁 |
| 🔴 P0 立即修复 | RedSun(零日) | Windows 全系(无补丁) | 启用 EDR 检测,监控 Defender 进程行为 |
| 🟠 P1 尽快修复 | CVE-2026-33825 | Windows 10/11/Server | 安装 4 月 Patch Tuesday 更新 |
| 🟠 P1 尽快修复 | CVE-2026-32201 | SharePoint 2016/2019/SE | 安装 4 月 Patch Tuesday 更新(CISA 截止 4/28) |
| 🟡 P2 持续关注 | LiteLLM 供应链 | AI 开发环境 | 审查 pip 历史,轮换 LLM API 密钥和云凭证 |
📌 数据来源 :NVD | CISA KEV | TheHackerNews | Security Affairs | BleepingComputer | FreeBuf | Picus Security | Tenable
🤖 本报告由自动化情报收集系统生成,部分内容经 AI 辅助整理