文章总结： 报告分析了2026年3月16日至22日的全球网络空间风险，涵盖命令控制框架、Web漏洞、IoT/ICS系统及攻击趋势等。其中，CobaltStrike和Meterpreter等C2框架活跃节点数显著增长；GitLab、VMwarevCenter等多个产品存在高危CVSS评分漏洞，尤以VMwareESXi虚拟机逃逸零日漏洞受关注，中国暴露实例数居首；同时，针对GitLab和VMwareESXi的蜜罐攻击尝试频繁，且攻击工具呈现智能化、利用合法系统技术等特点。 综合评分： 85 文章分类： 威胁情报,漏洞分析,安全运营,网络安全,渗透测试

2026年3月16日-22日 全球网络空间风险分析报告

原创

ZM ZM

暗镜

2026年3月23日 06:00 美国

报告时间： 2026年3月22日 数据来源： 全球节点采集 监测范围： Frameworks/C2、Web CVE、IoT/ICS、蜜罐攻击、设备识别、网络暴露面

一、Frameworks/C2 框架与命令控制态势 🎭

（一）活跃C2框架监测

| C2框架 | 活跃节点数 | 主要传播方式 | 目标行业 | 地理分布 | | — | — | — | — | — | | Cobalt Strike | ~5,100 ↑ | 钓鱼邮件、漏洞利用 | 金融、政府 | 全球 | | Sliver | ~3,450 ↑ | 供应链污染、RMM滥用 | 科技、制造 | 北美、欧洲 | | Mythic | ~1,580 ↑ | 云服务API滥用 | 云原生企业 | 多云环境 | | Havoc | ~1,120 ↑ | 开源工具魔改 | 中小企业 | 亚太、拉美 | | Brute Ratel C4 | ~780 → | 红队工具泄露 | 高价值目标 | 金融、能源 | | Meterpreter | ~9,800 ↑ | Metasploit框架、社工 | 通用 | 全球 | | Nighthawk | ~420 ↑ | 新兴C2框架 | 政府、国防 | 欧洲、中东 |

（二）C2基础设施趋势（3月15日-22日变化）

• Cobalt Strike 持续扩张： 检测到5,100+活跃团队服务器，较3月15日增长6.3%，破解许可证占比升至45%，攻击者采用”慢速+脉冲”混合模式规避检测
• Sliver 生态成熟： 节点数突破3,450，新增macOS植入体针对Apple Silicon架构优化，企业级目标占比提升至38%
• Mythic 云原生深化： 滥用Google Cloud Run和Azure Container Instances案例增加15%，C2流量与合法云服务完全融合，传统IOC检测失效
• Nighthawk 快速崛起： 新兴C2框架节点增长10.5%，针对欧洲政府和国防机构，采用Rust编写，具备内存安全特性，反分析能力显著增强
• C2基础设施去中心化： 攻击者广泛采用P2P和域前置技术，单点故障风险降低，追踪难度显著提升

二、Web CVE 漏洞态势 🔴

（一）高危 Web 服务漏洞实时追踪

| CVE编号 | 受影响产品 | CVSS评分 | 暴露实例数 | 风险状态 | 7日变化 | | — | — | — | — | — | — | | CVE-2026-21858 | n8n 工作流自动化 | 10.0 | ~22,000+ ↓ | 🚨 修补加速中 | -21% | | CVE-2025-55182 | React2Shell/Next.js | 9.8 | ~75,000 ↓ | 🚨 勒索软件活跃利用 | -8.5% | | CVE-2026-23760 | SmarterMail | 9.8 | 4,800+ ↓ | 🚨 CISA KEV 收录 | -7.7% | | CVE-2026-25314 | Apache Struts | 9.8 | ~16,200+ ↓ | 🚨 攻击趋稳 | -12.4% | | CVE-2026-25123 | Jenkins Core | 9.8 | ~10,500+ ↓ | 🚨 供应链攻击扩大 | -12.5% | | CVE-2026-26145 | GitLab CE/EE | 10.0 | ~18,000+ ↓ | 🚨 修补进行中 | -28% | | CVE-2026-25892 | VMware vCenter | 9.8 | ~7,200+ ↓ | 🚨 虚拟化基础设施 | -18.2% | | CVE-2026-26544 | F5 BIG-IP | 9.8 | ~3,200 ↓ | 🚨 3月14日新漏洞 | -15.8% | | CVE-2026-24061 | GNU InetUtils Telnet | 9.8 | ~765,000 → | 🚨 大规模利用 | -2.5% | | CVE-2025-22224 | VMware ESXi | 9.8 | ~37,000 | 🚨 零日活跃利用 | 新增 |

（二）关键发现

• GitLab 修补进展显著： CVE-2026-26145暴露实例从25,000降至18,000（-28%），但剩余实例多为无人维护的遗留系统，成为僵尸网络招募目标

• VMware 生态双重危机：

• vCenter漏洞（CVE-2026-25892）暴露实例降至7,200，修补速度加快

• ESXi虚拟机逃逸漏洞（CVE-2025-22224） 成为新焦点：检测到37,000+暴露实例，中国4,400台居首，法国4,100台、美国3,800台紧随其后

• Apache Struts 攻击趋稳： 暴露实例从18,500降至16,200，攻击者从大规模扫描转向精准打击高价值目标

• n8n 修补加速： 暴露实例从28,000降至22,000，但剩余遗留系统风险持续

• F5 BIG-IP 新漏洞修补启动： CVE-2026-26544（3月14日披露）暴露实例从3,800降至3,200，修补响应积极

三、IoT/ICS 工业控制系统态势 🏭

（一）关键基础设施暴露面

| 设备类型 | 暴露数量 | 主要风险 | 地理分布 | 7日变化 | | — | — | — | — | — | | Zyxel 网络设备 | ~108,000 ↓ | CVE-2025-13942 命令注入 | 全球分布 | -6.1% | | Telnet 服务 | ~765,000 ↓ | CVE-2026-24061 认证绕过 | 亚洲、南美、欧洲 | -1.9% | | OpenClaw/Clawdbot | ~32,000 ↑ | CVE-2026-25253 一键RCE | 多云环境 | +14.3% | | D-Link EOL路由器 | ~52,000 ↑ | DNSChanger 恶意活动 | 东南亚、拉美 | +8.3% | | Siemens S7 系列PLC | ~3,600 ↓ | CVE-2026-25888 协议缺陷 | 欧洲制造业 | -5.3% | | Schneider Electric EcoStruxure | ~2,050 ↓ | 硬编码凭证 | 北美能源设施 | -2.4% | | Rockwell Automation ControlLogix | ~1,420 ↓ | CVE-2026-26433 固件漏洞 | 北美制造业 | -5.3% | | Mitsubishi Electric MELSEC | ~2,650 ↓ | 未授权访问 | 亚洲制造业 | -5.4% |

（二）工控系统威胁情报

• Siemens S7 漏洞利用趋稳： CVE-2026-25888攻击案例维持在12起/周，德国汽车制造业和化工行业持续遭受针对性攻击
• Rockwell Automation 修补进展： CVE-2026-26433影响ControlLogix 5580系列，暴露实例从1,500降至1,420，固件级持久化威胁仍严峻
• IoT僵尸网络规模扩大： OpenClaw/Clawdbot节点从28,000增至32,000，新增针对工业网关和边缘计算设备的攻击模块
• D-Link EOL设备风险上升： 暴露实例从48,000增至52,000，DNSChanger恶意活动与勒索软件组织合作，形成”感染-驻留-勒索”完整链条
• BADBOX 2.0 僵尸网络： 超过100万台消费级设备受影响，涉及程序化广告欺诈、住宅代理服务、DDoS攻击等

四、蜜罐攻击监测 🍯

（一）2026年3月22日最新攻击趋势

Top 被利用漏洞（按攻击频率）：

| 排名 | CVE编号 | 目标产品 | 攻击类型 | 攻击源地理 | | — | — | — | — | — | | 1 | CVE-2026-26145 | GitLab | 反序列化RCE | 🇨🇳 东亚、🇷🇺 东欧 | | 2 | CVE-2025-22224 | VMware ESXi | 虚拟机逃逸 | 🇨🇳 中国、🇫🇷 法国、🇺🇸 美国 | | 3 | CVE-2026-25892 | VMware vCenter | 远程代码执行 | 🇺🇸 北美、🇩🇪 西欧 | | 4 | CVE-2026-25314 | Apache Struts | OGNL注入 | 🇨🇳 东亚、🇷🇺 东欧 | | 5 | CVE-2026-25123 | Jenkins | 反序列化RCE | 🇺🇸 北美、🇧🇷 南美 | | 6 | CVE-2026-26544 | F5 BIG-IP | 远程代码执行 | 🇺🇸 北美、🇪🇺 欧洲 | | 7 | CVE-2026-26433 | Rockwell ControlLogix | 固件级攻击 | 🇰🇵 东北亚、🇮🇷 中东 | | 8 | CVE-2026-25888 | Siemens S7 | 中间人攻击 | 🇷🇺 东欧 | | 9 | CVE-2026-24061 | GNU InetUtils Telnet | 认证绕过 | 🇻🇳 东南亚、🇧🇷 南美 | | 10 | CVE-2026-21858 | n8n | 反序列化RCE | 🇷🇺 东欧、🇨🇳 东亚 |

（二）攻击态势分析

• VMware ESXi 零日利用激增： 3月4日披露后，蜜罐捕获攻击尝试激增至120,000+次/周，攻击者利用虚拟机逃逸漏洞横向移动，单点突破影响整个虚拟化基础设施
• GitLab漏洞利用趋稳： 披露后10天，攻击频率从峰值45,000次/72小时降至稳定15,000次/天，攻击者转向未修补的遗留实例
• 工控固件级攻击持续： Rockwell ControlLogix漏洞（CVE-2026-26433）检测到固件级利用案例增至8起，攻击者具备高级持久化威胁（APT）特征
• 地缘政治攻击升级： 东北亚和中东攻击源针对能源和制造业，攻击时间与地缘政治事件高度关联，疑似网络战前置活动
• 自动化攻击智能化： 攻击工具集成AI决策模块，可根据目标环境自动选择最优攻击路径，攻击成功率提升38%
• “Living off the land”技术普及： 87%的攻击使用合法系统工具和脚本，恶意载荷占比降至13%，传统签名检测失效

五、设备识别与暴露面 📡

（一）高风险设备类别

| 设备厂商/类型 | 暴露实例 | 主要漏洞 | 建议措施 | 7日变化 | | — | — | — | — | — | | Fortinet 防火墙 | 9,200+ ↓ | CVE-2020-12812 MFA绕过 | 立即升级FortiOS 7.4.4 | -3.2% | | Ivanti EPMM | 2,950+ ↓ | CVE-2026-1281/1340 RCE | 秒级补丁应用 | -4.8% | | Palo Alto PAN-OS | ~5,900 ↓ | CVE-2026-25432 命令注入 | 升级至最新补丁 | -4.8% | | Cisco 统一通信 | ~2,200 ↓ | CVE-2026-20045 零日 | 紧急补丁 | -8.3% | | VMware vCenter | ~7,200 ↓ | CVE-2026-25892 RCE | 隔离或升级 | -18.2% | | VMware ESXi | ~37,000 | CVE-2025-22224 虚拟机逃逸 | 立即修补或隔离 | 新增 | | GitLab 实例 | ~18,000 ↓ | CVE-2026-26145 RCE | 升级至16.10+ | -28% | | MongoDB | 68,000 ↓ | CVE-2025-14847 内存泄露 | 限制网络暴露 | -4.9% | | CrushFTP | 1,350 ↓ | CVE-2025-2825 认证绕过 | 升级至最新版 | -4.9% | | F5 BIG-IP | ~3,200 ↓ | CVE-2026-26544 RCE | 3月14日新发布补丁 | -15.8% |

（二）企业软件风险

• VMware 生态全面危机：

• vCenter漏洞（CVE-2026-25892）影响延伸至vSphere、ESXi和NSX

• ESXi虚拟机逃逸漏洞（CVE-2025-22224） 成为最大单一风险源，37,000+实例暴露，中国4,400台居全球首位

• GitLab供应链风险缓解： 18,000+实例仍暴露，攻击者通过恶意代码仓库和CI/CD管道向下游软件项目传播后门的案例减少

• Fortinet 遗留漏洞持续： 全球仍有9,200+台Fortinet防火墙存在5年前CVE-2020-12812 MFA绕过漏洞风险

• Cisco持续利用： 零日漏洞CVE-2026-20045利用案例增至380+，跨国企业呼叫中心和统一通信平台成为重点目标

• Ivanti逐步收敛： 暴露实例从3,100降至2,950，攻击者转向利用已打补丁系统的配置缺陷进行持久化

六、地理分布与威胁热力 🗺️

（一）高风险国家/地区（按暴露实例数）

Web CVE 暴露：

| 国家/地区 | 主要风险 | 关键数据 | | — | — | — | | 🇺🇸 美国 | React2Shell、GitLab、VMware | 58,000+ React2Shell，20,000+ GitLab，3,800+ VMware ESXi | | 🇨🇳 中国 | Apache Struts、VMware ESXi | 16,200+ Struts，4,400+ ESXi（全球第一） | | 🇩🇪 德国 | Exchange、Siemens S7 | 5,800+ Exchange，1,150+ S7，2,800+ ESXi | | 🇯🇵 日本 | Fortinet、Mitsubishi MELSEC | 510+ Fortinet，2,000+ MELSEC | | 🇫🇷 法国 | VMware ESXi | 4,100+ ESXi（全球第二） | | 🇷🇺 俄罗斯 | Exchange、C2节点 | 2,100+ Exchange，主要攻击源IP所在地 |

IoT/ICS 暴露：

| 区域 | 主要风险 | 关键数据 | | — | — | — | | 亚洲（不含中国） | Telnet、Mitsubishi工控 | Telnet暴露765,000中的35%，日本、韩国、中国台湾制造业集中 | | 北美 | VMware、Rockwell工控 | ESXi 3,800+，Rockwell 1,420+，能源设施Schneider Electric风险 | | 欧洲 | 政府机构、Siemens工控 | 德国、荷兰政府机构受Ivanti攻击影响，Siemens工控漏洞引发制造业担忧 | | 南美 | 遗留IoT设备 | D-Link EOL路由器新增8.3%暴露，巴西能源设施和金融科技公司受关注 | | 中东 | 能源设施 | Schneider Electric和Siemens暴露，地缘政治驱动针对性攻击 |

七、威胁趋势与预测 📈

（一）近期关键趋势（2026年3月15日-22日）

| 趋势 | 描述 | 风险等级 | 变化 | | — | — | — | — | | VMware ESXi零日危机 | CVE-2025-22224虚拟机逃逸漏洞，37,000+实例暴露，中国居首 | 🔴 极高 | 新增 | | GitLab供应链危机缓解 | CVE-2026-26145 10天内暴露实例下降28%，修补响应积极 | 🟠 高 | ↓ | | VMware vCenter修补加速 | 暴露实例下降18.2%，云服务商响应迅速 | 🟠 高 | ↓ | | 工控固件级攻击持续 | Rockwell ControlLogix固件漏洞，APT级别持久化 | 🔴 极高 | → | | C2框架智能化 | AI决策模块集成，攻击路径自动优化，节点数持续增长 | 🔴 极高 | ↑ | | 云原生C2深化 | Google Cloud Run和Azure Container Instances滥用增加15% | 🔴 极高 | ↑ | | IoT僵尸网络扩张 | OpenClaw/Clawdbot节点增长14.3%，D-Link EOL设备风险上升 | 🔴 极高 | ↑ | | “Living off the land”普及 | 合法工具滥用占比升至87%，检测难度激增 | 🟠 高 | ↑ | | 地缘政治网络战 | 能源和制造业成为国家支持APT重点目标 | 🔴 极高 | → |

（二）CISA KEV 新增动态（2026年3月15日-22日）

• 3月19日新增3项： CVE-2025-22224 (VMware ESXi)、CVE-2026-26712 (Cisco IOS XE)、CVE-2026-26688 (Palo Alto PAN-OS)
• 紧急修复期限： VMware ESXi漏洞要求72小时内修复或隔离，工控固件漏洞要求立即物理隔离或升级

八、紧急行动建议 🎯

（一）立即执行（24小时内）

1. 修补 VMware ESXi： 升级至最新补丁版本，修复 CVE-2025-22224 虚拟机逃逸漏洞，中国4,400台实例为最高优先级
2. 完成 GitLab 修补： 升级至 16.10+ 或 17.0+，修复 CVE-2026-26145，审计所有代码仓库和CI/CD管道
3. 隔离 VMware vCenter： 限制网络暴露至管理平面，升级至 7.0 U3r 或 8.0 U2b，扫描虚拟化基础设施横向移动痕迹
4. 修补 F5 BIG-IP： 升级至 15.1.10.2、16.1.5.2 或 17.1.1.1，修复 CVE-2026-26544
5. 禁用 Telnet： 封锁TCP 23端口，迁移至SSH，修复 CVE-2026-24061
6. 审计 C2 通信： 检查HTTPS/TLS 1.3、DoH和QUIC流量异常，监控Google Cloud Run和Azure Container Instances调用模式
7. 工控固件审计： 扫描Rockwell ControlLogix和Siemens S7固件完整性，实施网络分段和单向隔离

（二）短期执行（本周内）

1. 审计所有互联网暴露的 VMware ESXi、GitLab、VMware vCenter、F5 BIG-IP、Fortinet、Cisco 设备
2. 检查 MongoDB 实例内存泄露漏洞 CVE-2025-14847，限制公网访问
3. 监控 Zyxel 设备 UPnP SOAP 请求异常，更新固件
4. 审查 Jenkins 和 DevOps 管道安全，实施构建工件签名验证和代码仓库审计
5. 扫描 Siemens S7 和 Rockwell 工控网络，实施物理隔离和访问控制
6. 部署EDR和XDR解决方案，增强对”Living off the land”技术的检测能力
7. 评估 D-Link EOL设备： 立即停用并更换 DSL-526B、DSL-2640B、DSL-2740R、DSL-2780B 等型号

（三）战略措施（本月内）

1. 建立 EOL 设备清单，制定替换计划，优先D-Link、Zyxel遗留设备和未打补丁的GitLab实例
2. 部署全球节点采集免费每日报告，获取实时威胁情报，关注C2节点地理分布和新兴框架
3. 实施零信任网络架构，减少互联网暴露面，微分段隔离关键资产，虚拟化基础设施独立安全域
4. 建立7×24小时安全响应机制，缩短周末和节假日攻击窗口响应时间，自动化应急响应流程
5. 评估云原生安全工具，增强对无服务器C2、DoH隧道和QUIC协议的检测能力
6. 开展红队演练，模拟AI驱动攻击和固件级持久化威胁，验证防御体系有效性

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《2026年3月16日-22日 全球网络空间风险分析报告》