2026年7月高危安全态势速览
当前风险等级:🔴 极度高危 --- 多款主流产品存在在野远程代码执行漏洞,且已有勒索软件、APT组织及大规模供应链攻击活跃利用。
📌 一、重点漏洞清单(2026年6月)
| CVE编号 |
产品/组件 |
漏洞类型 |
CVSS |
状态与风险 |
| CVE-2026-50751 |
Check Point VPN IKEv1 |
认证绕过 |
9.3 |
🔴 在野利用,Qilin勒索武器化,CISA已列入KEV |
| CVE-2026-35273 |
Oracle PeopleSoft PeopleTools |
远程代码执行 |
9.8 |
🔴 ShinyHunters零日利用,致高校大规模数据泄露 |
| CVE-2026-45657 |
Windows TCP/IP内核 |
蠕虫级远程代码执行 |
9.8 |
🔴 微软6月补丁日已修复,可自我复制传播 |
| CVE-2026-45586 |
Windows CTFMON |
本地特权提升(零日) |
待评 |
🔴 GreenPlasma在野利用,微软6月补丁修复 |
| CVE-2026-50656 |
Microsoft Defender防护引擎 |
本地权限提升 |
待评 |
🟠 PoC公开,官方补丁尚未发布 |
| CVE-2026-48907 |
Joomla JCE组件 |
未认证远程代码执行 |
待评 |
🔴 CISA入KEV,正被批量自动化攻击利用 |
| CVE-2026-20253 |
Splunk Enterprise |
未认证远程代码执行 |
待评 |
🔴 影响面广,需紧急处置 |
| CVE-2026-46316 |
IBM ITScape |
远程代码执行 |
待评 |
🟠 需关注官方补丁进展 |
🦠 二、恶意程序与APT活动
| 威胁名称 |
类型 |
特点与攻击目标 |
| 银狐(Silver Fox / 游蛇)新变种 |
钓鱼窃密木马 |
伪装为"裁员通知/违纪通报"钓鱼文档,白加黑内存注入免杀,国内政企财务岗为重灾区 |
| EtherRAT |
Node.js远控 |
基于以太坊区块链作为C2信道,大规模钓鱼附件分发 |
| GlassWASM |
恶意扩展载荷 |
VS Code / Open VSX扩展木马化,内含WASM恶意代码,开发者靶标 |
| AryStinger |
代理跳板恶意软件 |
入侵4000+老旧家用/SOHO路由器,用作攻击代理跳板 |
| UNK_DeadDrop(Contagious Interview) |
多平台Loader |
假招聘/代码评审诱骗克隆恶意GitHub仓库,VS Code folderOpen自动触发 |
| MuddyWater |
APT后门 |
部署Dindoor后门,针对中东及周边政企 |
| Gamaredon |
APT蠕虫 |
GammaWorm配合WinRAR漏洞利用,持续针对乌克兰 |
| APT37 |
朝鲜系APT |
死降(DeadDrop)C2钓鱼攻击 |
🔗 三、供应链与开发环境攻击
| 攻击活动 |
目标生态/平台 |
手法与影响 |
| TeamPCP / Shai-Hulud + Miasma |
npm / PyPI / DockerHub / VS Code扩展 |
污染开源仓库,包括Nx Console等知名扩展,CI/CD密钥大量外泄 |
| @mastra npm包泄露 |
npm |
官方包被植入恶意代码 |
| binding.gyp投毒 |
npm |
污染57个npm包、共286个版本 |
| Claude Code GitHub Action Prompt Injection |
GitHub CI/CD |
Prompt注入致API Key泄露 |
| LangGraph AI框架RCE |
AI开发框架 |
SQL注入 + 反序列化导致远程代码执行 |
| claude.ai共享聊天滥用 |
AI服务 |
传播ClickFix恶意广告 |
| Microsoft Copilot SearchLeak |
AI助手 |
一键式数据窃取漏洞 |
🏢 四、重大安全事件
- 诺丁汉大学:45万学生记录泄露,系ShinyHunters团伙利用PeopleSoft零日漏洞入侵
- iRhythm:健康医疗数据失窃
- Novo Nordisk:临床研究数据被窃
- DragonForce:滥用Microsoft Teams中继进行C2隐匿通信
- Outsider PhaaS:利用Gemini生成仿冒钓鱼站点 + SMS短信钓鱼
- 家用路由器DNS篡改:大规模跳转至诈骗站点(CNCERT 2026年6月已发布风险提示)
🛡️ 五、紧急防御建议
🔧 漏洞修复优先级(按紧急程度排序)
| 优先级 |
行动项 |
| P0 |
Check Point VPN:立即禁用IKEv1强制切换IKEv2,或安装官方hotfix |
| P0 |
Oracle PeopleSoft:升级至最新安全补丁版本 |
| P0 |
Windows全量部署 2026年6月安全更新(涵盖CVE-2026-45657 / 45586) |
| P0 |
Joomla JCE组件升级、Splunk Enterprise升级至修复版本 |
| P1 |
监控Microsoft Defender RoguePlanet(CVE-2026-50656)的IoC,等待官方补丁 |
| P1 |
排查IBM ITScape版本,关注厂商补丁 |
📦 供应链安全加固
🌐 网络边界与访问控制
💻 终端与邮件安全
💾 备份与应急响应
总结 :当前威胁态势涵盖边界设备、操作系统、开发工具链、开源生态、AI平台及钓鱼社工等多个维度,建议安全团队按优先级在一周内完成P0漏洞修补 ,同时启动供应链安全审计和员工专项钓鱼演练,防止漏洞利用链串联造成重大破坏性事件。
参考来源:CISA KEV、微软6月补丁公告、CNCERT风险提示、各安全厂商通报