2026-03-26 15:37:21 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周网络安全动态频繁，涵盖了数据泄露、供应链攻击、漏洞披露及监管新规等多个方面。其中，西尔斯家居服务公司因AI聊天机器人数据库未受保护，导致近370万条客户记录泄露；同时，KVM设备、Linux系统及苹果WebKit等也被发现存在关键漏洞。在供应链安全方面，GitHub开发者账户被大规模劫持并植入后门，另有恶意VSCode扩展感染事件。此外，英国金融监管机构FCA发布了新的网络安全事件报告规定。 综合评分： 85 文章分类： 网络安全,漏洞分析,供应链安全,数据泄露,恶意软件

cover_image

国外：一周网络安全态势回顾之第142期，一机构数据泄露事件影响270万人

原创

铸盾安全铸盾安全

河南等级保护测评

2026年3月22日 00:00 河南

以下是本周的精彩亮点：

西尔斯家居服务公司人工智能聊天机器人数据库未受保护

网络安全研究员杰里迈亚·福勒（Jeremiah Fowler）发现三个未加密且未受保护的数据库，泄露了近370万条与西尔斯家居服务（Sears Home Services）相关的客户服务记录，其中包括其人工智能聊天机器人萨曼莎（Samantha）的日志。泄露的数据包括超过5.4万条完整的聊天记录、近140万条客户通话录音以及超过20万份电子表格日志，以及姓名、地址、电话号码和服务预约信息等个人信息。福勒立即通知了西尔斯的母公司Transformco，数据库随后很快得到了保护。

KVM设备中发现九个漏洞

Eclypsium的研究人员在四家廉价IP-KVM设备供应商（GL-iNet、Angeet/Yeeso、Sipeed和JetKVM）的产品中发现了九个漏洞。其中最严重的漏洞存在于Angeet/Yeeso ES3设备中，攻击者无需任何凭据即可远程写入任意文件并执行操作系统命令。由于 KVM设备在BIOS层提供键盘、视频和鼠标控制，因此攻击者一旦成功利用该漏洞，便可注入按键、从可移动介质启动、禁用安全启动 (Secure Boot) 并绕过任何操作系统级别的安全工具。JetKVM和Sipeed已发布补丁，但GL-iNet 尚未计划修复其中两个漏洞，而 Angeet/Yeeso也尚未给出修复时间表。

诈骗分子使用虚假的GitHub账户从OpenClaw开发人员处窃取加密货币。

攻击者创建了虚假的 GitHub账户，在攻击者控制的代码仓库中开设了 issue，并标记了数十名开发者，声称他们赢得了价值5000美元的CLAW代币，可通过一个链接网站兑换。但该网站实际上是openclaw.ai的一个几乎完全相同的克隆网站，并植入了一个会窃取用户钱包资金的“连接钱包”按钮。据Ox Security称，这些虚假账户是在攻击活动开始前几天创建的，并在上线几小时内被删除，目前尚未收到任何受害者的报告。

克劳迪·戴·克劳德的脆弱性

Oasis Security发现了Claude中的三个漏洞，当这些漏洞串联起来发动名为“Claudy Day”的攻击时，攻击者可以悄无声息地劫持用户的聊天会话，并只需单击一下即可窃取敏感数据。该攻击的原理是：攻击者将隐藏指令嵌入精心构造的claude.ai URL中，然后将其重定向到claude.com以使其看起来合法，最后将其伪装成Google广告运行——这意味着受害者只需点击看似正常的搜索结果即可。Anthropic在负责任地披露后已修复了提示注入漏洞，但其余两个漏洞的修复工作仍在进行中。

恶意软件利用安全软件作为掩护，搜寻导弹文件。

赛门铁克和Carbon Black的研究人员发现了一种名为Speagle的隐蔽性极强的新型信息窃取程序，该程序利用了Cobra DocGuard。该恶意软件仅在安装了Cobra DocGuard的计算机上激活，收集浏览器历史记录、自动填充数据和系统信息，并且至少有一个变种会专门搜索提及弹道导弹的文件。研究人员将此次攻击活动归咎于一个此前未知的威胁组织，他们称之为Runningcrab，并认为这很可能是某个国家支持的组织或受雇承包商所为，但具体的感染方法仍不清楚。

勒索软件组织“绅士们”

Group-IB发布了对“绅士帮”（The Gentlemen）的详细分析。该组织是一个约有20名成员的勒索软件即服务（RaaS）团体，其成员之一公开指控麒麟勒索软件组织扣留了4.8万美元的未付联盟佣金后，该组织才浮出水面。该组织主要利用CVE-2024-55591漏洞入侵网络。CVE-2024-55591是一个严重的FortiOS/FortiProxy身份验证绕过漏洞。该组织维护着一个包含约14,700台已入侵FortiGate设备的数据库。一旦进入网络，他们就会使用自带漏洞驱动程序（BYOVD）技术在内核级别破坏安全工具，然后加密并窃取受害者数据。

英国金融监管机构制定网络安全事件报告新规

英国金融行为监管局（FCA）已最终确定新规，要求金融机构在确定其网络安全事件达到报告阈值后24小时内进行报告，而支付服务提供商则面临更为严格的4小时报告期限。监管机构指出，金融领域遭受攻击的频率和复杂性日益增加，令人担忧。FCA表示，预计到2025年，超过40%向其报告的网络安全事件将涉及第三方，因此，新规要求各公司维护并每年提交一份关于其重要第三方安排的登记册。这些新规将于2027年3月生效。

“爱丽丝行动”查封了37.3万个暗网域名

由德国当局主导、欧洲刑警组织支持的为期10天的国际行动，关闭了一名35岁男子运营的超过37.3万个暗网域名。该男子至少从2021年起就开始运营一个庞大的欺诈平台网络。这些网站兜售儿童虐待材料和网络犯罪服务，但受害者付款后却杳无音信，据估计，该男子从约1万名受害者身上骗取了34.5万欧元。来自23个国家的执法部门参与了此次行动，目前已确认440名受害者身份，他们的交易正在接受调查。

谷歌为安卓侧载过程添加了防诈骗保护措施

谷歌详细介绍了一项针对安卓系统的全新“高级流程”，该流程允许用户安装来自未经认证开发者的应用，同时人为设置了障碍，以防止社交工程诈骗。该流程要求用户启用开发者模式，确认无人指导用户操作，重启设备以切断任何远程访问权限，并在完成生物识别或PIN码验证前等待整整一天——这些步骤旨在打破诈骗分子惯用的紧迫感。该功能将于8月推出。

GitHub账号被劫持并植入后门事件（ForceMemo）

近期安全研究人员发现名为“ForceMemo”的恶意行动正在大规模劫持GitHub开发者账户，并通过强制推送（force-push）方式向Python代码仓库中植入隐藏恶意代码。攻击者通过入侵账户后修改仓库历史，使恶意代码几乎难以被发现。开发者一旦下载或运行这些项目，就可能被植入后门程序或信息窃取组件。该行动自2026年3月初开始持续扩散，受影响仓库数量仍在增加，表明软件供应链攻击正在向开源生态进一步渗透，对开发者社区和企业研发环境带来较大风险。

Telnetd关键漏洞可远程执行代码

研究人员披露GNU Inetutils中的telnetd服务存在严重缓冲区溢出漏洞（CVE-2026-32746）。攻击者只需通过23端口发送特制数据包，即可在未认证情况下远程执行任意代码，并可能获取系统root权限。由于Telnet服务仍在部分传统网络设备、工业系统和旧服务器中使用，该漏洞一旦被利用，可能导致关键基础设施或内部网络被入侵。安全专家建议立即升级相关组件并关闭不必要的Telnet服务，以减少远程攻击面。

“CrackArmor”漏洞威胁千万级Linux服务器

安全研究机构披露，Linux安全模块AppArmor中发现9个关键漏洞，被统称为“CrackArmor”。这些漏洞允许普通用户绕过安全策略、提升至root权限，并可能破坏容器隔离机制。全球范围内约有1260万台企业级Linux系统受到潜在影响，包括云计算环境和容器平台。漏洞不仅影响传统服务器，也可能影响基于Linux的安全架构。该事件再次凸显操作系统安全组件本身的复杂性，以及企业在补丁管理方面面临的挑战。

Ubuntu桌面系统本地提权漏洞

安全研究人员发现Ubuntu Desktop 24.04及更高版本默认配置中存在本地权限提升漏洞。攻击者在已获得普通用户权限的情况下，可利用系统缺陷进一步获取root控制权，从而完全控制主机。虽然该漏洞需要本地访问条件，但在企业环境或多用户系统中仍然具有较高风险，例如内部威胁、恶意软件或供应链攻击都可能利用此漏洞扩大影响范围。安全专家建议用户及时更新系统补丁并强化访问控制策略。

苹果WebKit漏洞影响多平台设备

苹果公司发布安全更新，修复WebKit组件中的关键漏洞。该漏洞可能被恶意网页利用，通过浏览器触发远程代码执行，从而危及用户设备安全。苹果通过后台安全更新机制向iOS、macOS等系统推送补丁，使设备无需完整系统升级即可获得防护。由于WebKit是Safari浏览器及部分应用的核心渲染引擎，漏洞影响范围较广，安全专家提醒用户及时更新系统并谨慎访问未知网站。

Cisco防火墙0day被勒索组织利用

研究人员发现勒索软件组织Interlock正在利用Cisco Secure Firewall Management Center中的零日漏洞（CVE-2026-20131）进行攻击。攻击者通过该漏洞入侵防火墙管理系统，随后在网络内部横向移动并部署勒索软件。这类攻击具有较高危害性，因为防火墙通常位于企业核心网络位置，一旦被攻破，攻击者能够绕过多种安全控制措施，对关键系统造成严重影响。

伊朗关联APT在多国网络中保持长期潜伏

安全机构披露，与伊朗相关的APT组织正在美国和加拿大多个网络环境中保持长期访问权限，并同时攻击中东地区联网监控摄像头系统，以获取情报信息。该组织被认为与伊朗情报机构有关，攻击行动具有明显的战略情报目的。研究人员指出，这类持续性渗透行动表明国家级网络行动正在进一步向情报监控与基础设施控制方向发展。

中东冲突延伸至网络空间

随着地区局势紧张，相关国家之间的冲突逐渐延伸至网络空间。报告指出，电子战、心理战与网络攻击正在结合使用，对政府机构、通信系统及关键基础设施进行干扰。网络行动已成为地缘政治博弈的重要组成部分，一些国家利用黑客组织和网络攻击作为战略工具。这一趋势说明未来战争形态将更加依赖网络空间能力。

Stryker公司遭破坏性擦除攻击

医疗科技公司Stryker确认遭遇大规模网络攻击，攻击导致其全球部分系统受到严重破坏，大量设备数据被清除。攻击被认为具有政治动机，攻击者声称对该事件负责。此次事件不仅对企业运营造成影响，也再次表明医疗行业仍然是网络攻击的重要目标之一。医疗设备、供应链系统以及患者数据都可能成为攻击对象。

CISA警告加强Microsoft Intune安全配置

美国网络安全和基础设施安全局（CISA）发布警报，提醒企业加强Microsoft Intune等终端管理系统的安全配置。该警报与近期针对企业云环境的攻击有关，其中包括对Stryker公司微软环境的入侵事件。安全机构建议企业加强身份认证、日志监测和访问控制，以防止攻击者通过云管理平台控制企业终端设备。

Exchange Online邮箱服务全球性中断

微软Exchange Online服务出现全球范围访问异常，部分用户无法正常登录邮箱或通过客户端访问邮件。虽然该事件主要属于服务故障，但其影响范围广泛，对企业通信和业务连续性产生一定影响。安全专家指出，云服务依赖度不断提高，一旦出现服务中断或安全事件，可能迅速影响全球大量组织。

勒索软件组织策略发生变化

研究机构分析发现，勒索软件团伙正在调整攻击策略。随着执法力度增强和受害企业支付赎金意愿下降，一些组织开始减少单纯加密数据的模式，转向窃取数据、威胁公开以及双重勒索方式。该变化表明网络犯罪生态正在适应防御环境变化，并不断寻找新的盈利模式。

Magento网站大规模被植入恶意文件

安全研究人员发现超过7500个Magento电商网站被攻击者入侵，并上传隐藏恶意文件以窃取数据。这些恶意代码通常被嵌入网站目录中，用于收集客户信息或支付数据。由于Magento在电商领域使用广泛，此类攻击可能影响大量消费者隐私与金融信息。专家建议网站管理员加强网站安全监控与补丁更新。

恶意VSCode扩展感染开发者电脑

安全公司发现一个名为“fast-draft”的Visual Studio Code扩展被植入恶意脚本，下载量超过2.6万。攻击者利用扩展版本更新机制，在特定版本中嵌入脚本从GitHub下载远程控制木马和信息窃取程序。安装该扩展的开发者可能被完全控制设备，并导致代码库和凭据泄露。该事件再次凸显开发工具供应链安全的重要性。

微软发布三月安全补丁修复78个漏洞

微软在2026年3月的“Patch Tuesday”更新中修复了78个安全漏洞，其中包含一个正在被利用的零日漏洞。此次更新涉及Windows、Office、Azure、SQL Server等多个核心产品，部分漏洞被评为严重级别。安全专家提醒企业应尽快完成补丁部署，因为攻击者通常会在漏洞公开后迅速开发利用代码，未及时更新的系统风险较高。

Windows 11更新导致应用登录异常

微软承认其三月累计更新存在问题，部分Windows 11用户在更新后无法登录Microsoft Teams Free、OneDrive等应用。该问题虽然不是典型攻击事件，但对企业远程协作与数据访问造成影响。厂商正在调查并提供修复方案。该事件说明系统更新在提升安全性的同时，也可能引入新的稳定性风险。

Navia数据泄露事件影响270万人

2025年12月下旬至2026年1月中旬，黑客从Navia的环境中窃取了个人信息和健康计划信息。

第三方福利管理机构Navia Benefit Solutions正在通知近270万人，他们的个人信息在数据泄露事件中被盗。该公司表示，该事件于1月23日被发现，但调查结果显示，黑客在2025年12月22日至2026年1月15日期间访问了其系统。

在此期间，攻击者访问并可能窃取了个人信息，例如姓名、出生日期、社会保障号码、电话号码和电子邮件地址，以及健康计划信息。

Navia在一份事件通知中指出：“此次调查和应对措施包括确认我们系统的安全性，审查相关数据的内容是否存在敏感信息，并通过信件寄送至可能受影响的个人的家庭住址（如果地址信息可用）来通知他们。”

本周，该公司告诉缅因州总检察长办公室，可能有2,697,540人受到数据泄露的影响。该公司将为受影响人员提供12个月的免费身份盗窃和信用监控服务。

“我们鼓励您保持警惕，防范身份盗窃和欺诈事件，并定期查看您的账户报表和信用报告，以发现可疑活动和错误，”该公司告诉受影响的客户。

Navia Benefit Solutions总部位于华盛顿州伦顿，为全国客户提供福利管理、CDH、支出账户、退休和财富解决方案以及合规解决方案。

2025收集更新信通院白皮书系列合集（665个）下载

——等级保护

数据安全风险评估培训杂谈

打破“一考定终身”测评师迎来严峻挑战

欲等保定级先数据分类分级

2025公安部网安局等保工作最新要求逐条解析

公网安〔2025〕1846号文：风险隐患及工作方案释疑浅谈

公网安〔2025〕1846号文：数据摸底调查释疑浅谈

公网安〔2025〕1846号文：第五级网络系统释疑浅谈

公网安〔2025〕1846号文：定级备案的最新释疑浅谈

关于25年定级备案公安部网安局释疑的一点浅谈

公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函

新等保测评真的取消打分了吗？一点杂谈！

新定级备案模板明确数据安全纳入等级保护体系

等保定级新模板新要求，2025定级工作新变化

2025新形势下新等保备案如何开展

测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

河南省新规定测评与密评预算再调低

四川省等级测评与商密评估预算计算方法

广西壮族自治区等级测评与商密评估预算为几何？

黑龙江财政关于等级测评与商密评估预算为几何？

和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》

和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》

与Deepseek一起谈开展等级测评的必要性！

——数据安全

《网络数据安全管理条例》解读

跟着DAMA专家看数据管理的未来

市场监管总局印发《网络交易合规数据报送管理暂行办法》

数据安全知识：什么是数据安全？

网警提醒 | 3.31世界备份日：重视你的数据安全

网络和数据安全合规：15部门发布指导意见助力中小企业全面合规

数码复印机数据安全：企业指南

《数据安全法》中有关数据安全保护的法律义务

——错与罚

江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万

网络安全无小事！某企业因疏于防护被依法查处

江苏灌南农商行因违反数据安全管理规定等被罚97.5万

网安企业“内鬼”监守自盗，窃取个人信息2.08亿条

郑州3家公司未履行网络安全保护义务被网信部门约谈

25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚

驻马店市委网信办就网络安全问题依法约谈相关责任单位

两家银行因数据安全相关问题，被罚款

河北保定竞秀区委网信办依法约谈网站负责人

贵港市网信办公布2起网络安全违法违规典型案例

公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布

重庆网信部门近期就企业违法违规情况开展多起约谈与处罚

新华社：中国电信、中国移动、中国联通，集体回应！

重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈

——其他

浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案

精彩回顾：祺印说信安2024之前

祺印说信安2024年一年回顾

网警提醒 | 3.31世界备份日：重视你的数据安全

网络安全知识：什么是技术债务？

网络安全知识：网络威胁情报解析

5月1日起，《国家秘密定密管理规定》正式施行

黑客攻击远程服务器十大弱口令

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评铸盾安全铸盾安全《国外：一周网络安全态势回顾之第142期，一机构数据泄露事件影响270万人》