2026年7月高危安全态势速览

2026年7月高危安全态势速览

当前风险等级:🔴 极度高危 --- 多款主流产品存在在野远程代码执行漏洞,且已有勒索软件、APT组织及大规模供应链攻击活跃利用。


📌 一、重点漏洞清单(2026年6月)

CVE编号 产品/组件 漏洞类型 CVSS 状态与风险
CVE-2026-50751 Check Point VPN IKEv1 认证绕过 9.3 🔴 在野利用,Qilin勒索武器化,CISA已列入KEV
CVE-2026-35273 Oracle PeopleSoft PeopleTools 远程代码执行 9.8 🔴 ShinyHunters零日利用,致高校大规模数据泄露
CVE-2026-45657 Windows TCP/IP内核 蠕虫级远程代码执行 9.8 🔴 微软6月补丁日已修复,可自我复制传播
CVE-2026-45586 Windows CTFMON 本地特权提升(零日) 待评 🔴 GreenPlasma在野利用,微软6月补丁修复
CVE-2026-50656 Microsoft Defender防护引擎 本地权限提升 待评 🟠 PoC公开,官方补丁尚未发布
CVE-2026-48907 Joomla JCE组件 未认证远程代码执行 待评 🔴 CISA入KEV,正被批量自动化攻击利用
CVE-2026-20253 Splunk Enterprise 未认证远程代码执行 待评 🔴 影响面广,需紧急处置
CVE-2026-46316 IBM ITScape 远程代码执行 待评 🟠 需关注官方补丁进展

🦠 二、恶意程序与APT活动

威胁名称 类型 特点与攻击目标
银狐(Silver Fox / 游蛇)新变种 钓鱼窃密木马 伪装为"裁员通知/违纪通报"钓鱼文档,白加黑内存注入免杀,国内政企财务岗为重灾区
EtherRAT Node.js远控 基于以太坊区块链作为C2信道,大规模钓鱼附件分发
GlassWASM 恶意扩展载荷 VS Code / Open VSX扩展木马化,内含WASM恶意代码,开发者靶标
AryStinger 代理跳板恶意软件 入侵4000+老旧家用/SOHO路由器,用作攻击代理跳板
UNK_DeadDrop(Contagious Interview) 多平台Loader 假招聘/代码评审诱骗克隆恶意GitHub仓库,VS Code folderOpen自动触发
MuddyWater APT后门 部署Dindoor后门,针对中东及周边政企
Gamaredon APT蠕虫 GammaWorm配合WinRAR漏洞利用,持续针对乌克兰
APT37 朝鲜系APT 死降(DeadDrop)C2钓鱼攻击

🔗 三、供应链与开发环境攻击

攻击活动 目标生态/平台 手法与影响
TeamPCP / Shai-Hulud + Miasma npm / PyPI / DockerHub / VS Code扩展 污染开源仓库,包括Nx Console等知名扩展,CI/CD密钥大量外泄
@mastra npm包泄露 npm 官方包被植入恶意代码
binding.gyp投毒 npm 污染57个npm包、共286个版本
Claude Code GitHub Action Prompt Injection GitHub CI/CD Prompt注入致API Key泄露
LangGraph AI框架RCE AI开发框架 SQL注入 + 反序列化导致远程代码执行
claude.ai共享聊天滥用 AI服务 传播ClickFix恶意广告
Microsoft Copilot SearchLeak AI助手 一键式数据窃取漏洞

🏢 四、重大安全事件

  • 诺丁汉大学:45万学生记录泄露,系ShinyHunters团伙利用PeopleSoft零日漏洞入侵
  • iRhythm:健康医疗数据失窃
  • Novo Nordisk:临床研究数据被窃
  • DragonForce:滥用Microsoft Teams中继进行C2隐匿通信
  • Outsider PhaaS:利用Gemini生成仿冒钓鱼站点 + SMS短信钓鱼
  • 家用路由器DNS篡改:大规模跳转至诈骗站点(CNCERT 2026年6月已发布风险提示)

🛡️ 五、紧急防御建议

🔧 漏洞修复优先级(按紧急程度排序)

优先级 行动项
P0 Check Point VPN:立即禁用IKEv1强制切换IKEv2,或安装官方hotfix
P0 Oracle PeopleSoft:升级至最新安全补丁版本
P0 Windows全量部署 2026年6月安全更新(涵盖CVE-2026-45657 / 45586)
P0 Joomla JCE组件升级、Splunk Enterprise升级至修复版本
P1 监控Microsoft Defender RoguePlanet(CVE-2026-50656)的IoC,等待官方补丁
P1 排查IBM ITScape版本,关注厂商补丁

📦 供应链安全加固

  • 锁定npm/PyPI依赖版本,启用哈希校验--integrity
  • 禁止VS Code扩展自动更新,启用私有仓库代理并逐包审查
  • CI/CD采用最小令牌权限 + 构建环境隔离
  • 审计GitHub Actions日志及云平台凭证是否泄露

🌐 网络边界与访问控制

  • 关闭非必要VPN端口,IKEv1协议必须禁用
  • MFA全覆盖,尤其IT管理员、财务人员等高危岗位
  • 限制RDP/SSH公网暴露,强制使用堡垒机/VPN接入
  • 实施网络分段与零信任微分段策略

💻 终端与邮件安全

  • 部署EDR,开启脚本/PowerShell操作审计日志
  • 邮件网关拦截 .lnk / .hta / 双后缀附件
  • HR/财务岗位专项钓鱼演练,严禁接收"裁员/违纪"等主题不明文件

💾 备份与应急响应

  • 落实3-2-1离线不可变备份策略,定期执行恢复演练
  • 全面排查VPN日志、PSEMHUB日志、WebShell访问痕迹
  • 全面审计GitHub仓库Secret及云服务AK/SK泄露情况
  • 搭建威胁狩猎小组,针对IoC进行回溯分析

总结 :当前威胁态势涵盖边界设备、操作系统、开发工具链、开源生态、AI平台及钓鱼社工等多个维度,建议安全团队按优先级在一周内完成P0漏洞修补 ,同时启动供应链安全审计和员工专项钓鱼演练,防止漏洞利用链串联造成重大破坏性事件。

参考来源:CISA KEV、微软6月补丁公告、CNCERT风险提示、各安全厂商通报

相关推荐
数据知道2 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
想你依然心痛3 小时前
内存安全语言在嵌入式中的对比:Rust vs Ada vs SPARK——形式化验证、运行时
安全·rust·spark
txg6663 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
云道轩4 小时前
DeepSeek using Claude Code 重构Oracle Fusion/SAP最佳业务实践:输入并补充Oracle Fusion 安全用户文档
安全·重构·oracle fusion
智脑API平台4 小时前
Codex CLI一次改多个文件安全吗?提交前检查清单与PR验证流程
安全·cli·codex
流浪法师125 小时前
数据分类分级治理实践:从发现到管控的全链路记录
安全
SLD_Allen5 小时前
阿里开源的安全沙箱解决方案 OpenSandbox
安全·开源·沙箱
技术不好的崎鸣同学6 小时前
[ACTF2020 新生赛]Include 思路及解法
算法·安全·web安全
量子罐头7 小时前
光润通发布LYSH-LAN-V1.0家庭版智能安全路由器 主打国密级硬件加密
网络·安全·智能路由器