文章总结： 本周安全热点包括Storm-2561通过伪造VPN网站窃取企业凭证、国际刑警组织全球行动查获4.5万个恶意IP并逮捕94人、KonniAPT利用KakaoTalk传播恶意软件、CISA警告WingFTP服务器漏洞遭利用、网络钓鱼滥用URL重写规避检测、Chrome零日漏洞被攻击者利用、苹果推送后台安全更新修复WebKit漏洞。核心发现包括攻击者利用合法证书签名恶意软件、多层URL重定向隐藏攻击链、漏洞修复紧迫性提升。可操作建议包括及时更新系统补丁、部署防钓鱼MFA机制、警惕可疑下载链接。 综合评分： 88 文章分类： 漏洞预警,威胁情报,恶意软件,网络安全,应急响应

本周安全热点事件汇总 APT动向 网空安全

原创

ZM ZM

暗镜

2026年3月21日 06:01 北京

1、Storm-2561诱骗受害者访问伪造的 VPN网站，窃取企业登录信息

2026年1月中旬，微软Defender专家发现了一起与Storm-2561相关的凭证窃取活动。攻击者正在传播伪装成Ivanti、Cisco和Fortinet软件的虚假企业VPN客户端。他们通过篡改搜索引擎结果，例如针对“Pulse Secure客户端”或“Pulse VPN下载”等搜索词，将用户重定向到极具迷惑性的仿冒供应商网站。

用户在搜索合法软件时会被重定向到托管在 GitHub 上的恶意 ZIP 压缩包，这些压缩包包含植入木马的安装程序，这些程序会伪装成可信的 VPN 工具并窃取登录凭据。该组织自2025 年 5 月起活跃，经常模仿知名软件供应商以获取信任并提高感染率。此次攻击活动中的恶意软件使用了一个后来被吊销的合法证书进行了数字签名。

微软发布的报告指出：“在此次攻击活动中，搜索合法VPN软件的用户会被重定向到伪造的网站。这些网站高度模仿可信的VPN产品，但实际上却部署了旨在窃取凭据和VPN数据的恶意软件。当用户点击下载软件时，他们会被重定向到一个恶意GitHub仓库（现已失效），该仓库托管着可供直接下载的虚假VPN客户端。”

受害者下载该软件后会收到一个托管在 GitHub 上的 ZIP 文件，其中包含一个伪装成合法VPN 客户端的木马化 MSI 安装程序。执行后，该安装程序会将文件放置在一个类似于真实 Pulse Secure 安装路径的目录中，并侧载恶意DLL 文件。其中一个加载程序会部署Hyrax 信息窃取程序，该程序会窃取VPN 凭据并将其泄露到攻击者控制的服务器。

攻击者使用太原利华近信息技术有限公司颁发的证书对 MSI 和 DLL 文件进行数字签名，以逃避检测。该证书现已被吊销。

报告继续指出：“为了保持访问权限，MSI恶意软件在安装过程中通过Windows RunOnce注册表项建立持久性，将Pulse.exe恶意软件添加到设备重启时运行。”

微软在 Storm-2561 攻击活动中详细描述了一个伪装成 VPN 客户端的恶意软件，该软件模仿Pulse Secure 登录界面窃取凭据。它不会连接VPN，而是捕获凭据并将其泄露到攻击者控制的位于 194.76.226[.]93:8080 的基础架构中。用户提交凭据后会看到虚假的错误信息，并被重定向到安装合法的 VPN 客户端。该恶意软件的inspector.dll 还会访问存储在C:\ProgramData\Pulse Secure\ConnectionStore\connectionstore.dat 中的 VPN 数据以进行数据泄露。

此次攻击活动中的关键防御规避策略是窃取凭证后的重定向。窃取凭证后，虚假的 VPN 应用会显示看似可信的错误信息，引导用户下载合法的 Pulse VPN 客户端，并可能在浏览器中打开 VPN 官方网站。如果用户之后成功安装了真正的 VPN，则不会留下任何入侵痕迹，使得最初的恶意软件活动看起来像是技术故障，而非攻击。

2、国际刑警组织“协同行动III”在全球范围内查获45000个恶意IP地址，并逮捕94人

国际刑警组织宣布了一项全球网络犯罪行动（代号“协同行动III”），该行动涉及72个国家，共捣毁了45000个与网络钓鱼、恶意软件和勒索软件相关的恶意IP地址和服务器。此次国际执法行动共逮捕94人，目前仍有110起案件正在调查中，并缴获了212台设备。

当局还进行了突击搜查，破坏了犯罪基础设施，并缴获了 212 台电子设备和服务器。

称：“来自72个国家和地区的执法部门参与了由国际刑警组织协调的‘协同行动III’（2025年7月18日至2026年1月31日）。此次行动共逮捕了94人，另有110人仍在接受调查。”

“行动期间，国际刑警组织将数据转化为可操作的情报，促进了跨境合作，并向成员国提供了战术行动援助。初步调查促使各国当局采取了一系列协调行动，包括突袭关键地点和打击恶意网络活动。行动共查获212台电子设备和服务器。”

在“协同行动III”期间，执法部门在多个国家破获了多种网络犯罪活动。在澳门，调查人员发现了超过33000个与虚假赌场、欺诈性银行或政府网站相关的钓鱼网站，这些网站被用于窃取金钱和个人数据。

在多哥，警方逮捕了10名涉嫌实施社交媒体账户盗用、爱情诈骗和性勒索等诈骗活动的嫌疑人。与此同时，在孟加拉国，当局逮捕了40名嫌疑人，并缴获了134台与贷款诈骗、求职诈骗、身份盗窃和信用卡诈骗相关的设备。此次行动由国际刑警组织协调，并得到了网络安全公司Group-IB、趋势科技和S2W的支持。

“2026年的网络犯罪比以往任何时候都更加复杂和更具破坏性，但‘协同行动III’有力地证明了全球合作能够取得的成就。”国际刑警组织网络犯罪局局长尼尔·杰顿表示，“国际刑警组织始终站在打击网络犯罪的最前沿，联合执法机构和私营部门专家，共同瓦解犯罪网络，遏制新出现的威胁，并保护世界各地的受害者。”

“协同行动III”是国际刑警组织开展的全球打击行动的第三阶段。该行动从2025年7月持续到2026年1月，此前在开展的行动已经揭露了其他恶意基础设施，并导致多人被捕。

3、Konni APT劫持 KakaoTalk账户，通过多阶段鱼叉式网络钓鱼活动传播恶意软件

Konni APT 威胁组织被发现正在进行多阶段攻击活动，该活动以有针对性的鱼叉式网络钓鱼电子邮件开始，最终劫持受害者的 KakaoTalk 消息帐户以进一步传播恶意软件。

该攻击活动是在对一个被入侵的系统进行法证调查后被发现的，它利用朝鲜人权主题来诱骗目标打开看似完全无害的文件。

攻击始于精心制作的电子邮件，这些邮件伪装成任命收件人为朝鲜人权讲师的官方通知。这些邮件旨在与目标对象的职业兴趣相关，从而使其看起来可信。

邮件内含一个压缩文件，其中包含一个伪装成标准文档图标的恶意 LNK 快捷方式文件。

当收件人点击该文件时，该文件会在后台悄悄启动一个 PowerShell 脚本，该脚本连接到外部命令和控制服务器，并将额外的恶意软件下载到受害者的计算机上。这次攻击与典型的网络钓鱼行动的不同之处在于接下来的步骤。攻击者未经授权访问了受害者电脑上运行的KakaoTalk应用程序，该应用程序当时已在受感染的计算机上运行。

攻击者利用受害者的联系人列表，精心挑选了一些特定的朋友，并向他们发送了一个伪装成朝鲜相关视频内容策划文件的恶意文件。有这些工具都是以基于 AutoIt 的脚本形式伪装成文档文件提供的。

与该行动相关的 C2 服务器被追踪到位于芬兰、日本和荷兰，有人蓄意将基础设施扩展到多个国家/地区。

4、CISA指出 Wing FTP服务器漏洞已被积极用于攻击中

网络安全和基础设施安全局 (CISA) 警告美国政府机构，要保护其 Wing FTP 服务器实例免受正在被积极利用的漏洞的侵害，该漏洞可能被用于远程代码执行攻击。Wing FTP Server 是一款跨平台 FTP 服务器软件，它还通过内置的SFTP 和 Web 服务器提供安全的文件传输。开发者声称，他们的文件传输软件在全球拥有超过10,000 名客户，其中包括美国空军、索尼、空客、路透社和丝芙兰。

该安全漏洞被追踪为CVE-2025-47813，它允许权限较低的威胁行为者发现未打补丁的服务器上应用程序的完整本地安装路径。

CISA解释说： “当在UID cookie中使用长值时，Wing FTP服务器会生成包含敏感信息漏洞的错误消息。 ”

开发者在 2025 年 5 月的 Wing FTP Server v7.4.4 中修复了该漏洞，同时还修复了一个严重的远程代码执行 (RCE) 漏洞 ( CVE-2025-47812 ) 和一个信息泄露漏洞( CVE-2025-27889 )，该漏洞可用于窃取用户的密码。

该远程代码执行漏洞此前已被标记为已被实际利用，因为攻击者在漏洞的技术细节公开后的第二天就开始滥用该漏洞。

发现并报告了这些漏洞的安全研究员 Julien Ahrens 还在 6 月份分享了CVE-2025-47813的概念验证漏洞利用代码，并表示攻击者可能会利用它作为与 CVE-2025-47812 相同的攻击链的一部分。

周二，CISA将CVE-2025-47813添加到其正在被利用的漏洞目录中，并根据 2021 年 11 月的约束性操作指令 (BOD) 22-01 的规定，给予联邦民事行政部门 (FCEB) 机构两周时间来保护其系统。

虽然 BOD 22-01 仅针对联邦机构，但美国网络安全机构鼓励所有防御者，包括私营部门的防御者，尽快修补其服务器，以抵御正在进行的攻击。

美国网络安全和基础设施安全局 (CISA) 周一警告称：“这种类型的漏洞是恶意网络攻击者的常见攻击途径，对联邦机构构成重大风险。”

“根据供应商的说明采取缓解措施，遵循适用于云服务的 BOD 22-01 指南，或者如果无法采取缓解措施，则停止使用该产品。”

5、网络钓鱼者利用多层 URL重写技术攻击安全链接，以逃避检测

网络钓鱼攻击者已经找到了一种方法，利用标准的安全功能来对付它原本旨在保护的用户。

通过滥用 URL 重写（大多数企业电子邮件网关中嵌入的一种防御机制），威胁行为者正在利用受信任的安全链接，将恶意载荷传播到检测过滤器之外。曾经可靠的保护层，如今却悄然沦为欺骗的工具：URL 重写的工作原理是拦截传入电子邮件中的链接，并将其替换为供应商生成的 URL，这样用户点击链接后，系统会立即将他们引导至安全扫描服务器。威胁行为者利用这一点，通过已启用URL重写功能的被盗账户进行操作，诱使系统生成预先包装好的安全链接，这些链接带有可信供应商的域名，可以在大规模网络钓鱼活动中重复使用。活动数据显示，使用三种或更多URL重写服务的营销活动始于2025年中期，并在2026年1月达到高峰，这表明营销人员正积极转向更深层次的重定向链。

截至2026年初，这些攻击活动仍在进行。它们融入现有的网络钓鱼即服务生态系统，表明这种威胁是蓄意构建的，旨在隐藏在企业最信任的安全工具背后。

Tycoon2FA攻击活动生动地展现了这种攻击的实际运作方式。受害者会收到一封伪装成微软的文档请求邮件，其中包含一个超过1200个字符的URL链接。点击该链接后，该链接会依次经过五个供应商层——Libraesva、Sophos、Inky、EdgePilot 和 Barracuda——最终到达一个被入侵的网站。该网站提供 CAPTCHA 挑战来过滤自动化工具，之后受害者会看到一个伪造的微软登录页面，旨在窃取凭据。Sneaky2FA 攻击活动的目标是一家律师事务所，它使用 HTML 附件而不是嵌入式超链接。

在文件中，钓鱼 URL 存储在一个名为的变量中REDIRECT_URL，该变量预先构建了通过 Barracuda、Sophos 和 Cisco 进行的重写序列。在经过一个合法的营销自动化平台后，该攻击链指向一个新注册的域名，该域名冒充律师事务所，受害者的电子邮件地址已被预先填写在虚假的中。这两条链中的每一跳都使用了来自知名安全厂商的域名，这意味着自动扫描器只会遇到受信任的名称，并且通常会在跟踪完整路径之前停止——而这正是这些攻击者所依赖的。即使凭据泄露，也应采用防钓鱼的多因素身份验证（例如硬件安全密钥）来减少会话 cookie 被盗。

6、CISA警告Chrome浏览器零日漏洞已被攻击者利用

谷歌 Chrome 浏览器及相关产品存在两个极其严重的零日漏洞,这些漏洞已被正式添加到CISA 的已知利用漏洞 (KEV) 目录中，表明恶意黑客正在积极利用这些漏洞,强烈建议各组织和个人用户立即更新浏览器和受影响的应用程序。这两个新发现的安全漏洞会影响 Chromium 内核的核心组件。

CVE-2026-3909（Google Skia越界写入）：Skia 是 Chrome 和其他平台使用的 2D 图形库。

当软件写入数据超出其预期的内存限制时，就会出现此漏洞，远程攻击者只需诱骗用户访问精心构造的 HTML 页面，即可访问越界内存。

CVE-2026-3910（Google Chromium V8限制不当）：V8 是 Chromium 的 JavaScript 引擎。此漏洞涉及对内存缓冲区内操作的限制不当。

与 Skia 漏洞类似，攻击者可以使用恶意HTML 页面来触发该漏洞，从而可能允许他们在受限的沙箱环境中执行任意代码。

这两种漏洞都严重依赖社会工程或被入侵的网站才能得逞。攻击者通常会诱骗受害者访问恶意网页，或者劫持合法网站来托管他们精心制作的HTML页面。当受害者的易受攻击的浏览器加载被入侵的页面时，漏洞利用程序会在后台立即触发。CISA表示，目前尚未证实勒索软件已被积极使用，但这些漏洞能够执行代码和访问内存，因此具有很高的价值。网络犯罪分子和国家支持的威胁组织经常利用这类内存漏洞来部署恶意软件或窃取敏感数据。

CISA 已强制要求所有美国民事行政部门 (FCEB) 机构在 2026 年 3 月 27 日之前修补这些漏洞。虽然这项具有约束力的操作指令直接适用于政府机构、私营组织和个人用户，但私营组织和个人用户应将此时间表视为一项至关重要的优先事项。

7、苹果推送首个后台安全改进更新，修复 WebKit漏洞

苹果公司发布了首个后台安全改进更新，修复了 iPhone、iPad 和 Mac 上的 WebKit 漏洞（编号为 CVE-2026-20643），无需进行完整的操作系统升级。

CVE-2026-20643漏洞允许恶意网络内容绕过浏览器的同源策略。

苹果公司表示，该缺陷是导航 API 中的跨域问题，已通过改进输入验证得到解决。

该漏洞由安全研究员 Thomas Espach 发现，新的更新已在 iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1 和 macOS 26.3.2 中提供。

这是苹果首次通过其新的“后台安全改进”功能推送安全修复程序，该功能用于在正常安全更新周期之外提供小型带外补丁。

苹果解释说： “后台安全改进为 Safari 浏览器、WebKit 框架堆栈和其他系统库等组件提供轻量级安全版本，这些组件可以从软件更新之间的小型、持续的安全补丁中受益。”

“在极少数情况下，如果出现兼容性问题，后台安全改进功能可能会暂时移除，然后在后续的软件更新中进行增强。”

过去，苹果的安全更新需要用户安装新的操作系统版本并重启设备。但借助“后台安全改进”功能，苹果现在可以在后台推送针对特定组件的小型更新。

苹果在 iOS 26.1、iPadOS 26.1 和 macOS 26.1 中加入了该功能，并表示该功能用于在版本发布之间快速修复安全漏洞。

用户可以通过设备设置的“隐私与安全”菜单访问该功能。

·在 iPhone和 iPad上：前往“设置”，然后点击“隐私与安全”。

·在Mac电脑上：从苹果菜单中选择“系统设置”。然后点击“隐私与安全”。

苹果警告称，卸载后台安全改进更新会移除所有先前应用的后台补丁，使设备恢复到基线操作系统版本（例如 iOS 26.3.1），而没有任何增量安全修复。

这实际上取消了通过此功能提供的快速响应安全保护，使设备处于基本安全级别，直到重新应用更新或将其包含在未来的完整更新中。

8、攻击者滥用法庭文件和GitHub有效载荷，利用隐蔽式远程控制木马感染司法目标

新一波有针对性的攻击正在悄然冲击阿根廷的司法系统，攻击者利用伪造的法庭文件诱骗法律专业人士安装危险的恶意软件。该行动正式名称为“隐秘访问行动”，它通过鱼叉式网络钓鱼电子邮件部署了一种用 Rust 编写的远程访问木马程序，名为“隐秘 RAT”，这些电子邮件与真正的联邦法院通信非常相似。

一旦入侵系统，该威胁就能使攻击者持续控制受感染的机器及其上存储的所有内容。此次行动直接针对阿根廷的法律体系——联邦法院、法律从业人员、政府司法机构、学术机构和倡导组织。攻击者围绕阿根廷联邦法院关于预防性拘留审查的真实裁决，制作了钓鱼邮件，因为他们知道司法专业人员不会质疑此类文件的合法性。正是这种对题材的精心选择，使得这场运动如此有效——它利用了人们对法律程序的信任，而不是仅仅依靠好奇心或恐惧。

Point Wild 的分析师们根据 Seqrite 发布的基础研究，

他们的工作深入剖析了 PowerShell 执行流程、有效载荷检索技术以及攻击者在每个阶段使用的伪装方法。分析证实，这不是简单的一步攻击，而是精心策划的分层入侵行动，旨在尽可能长时间地潜伏在机构网络内部而不被察觉。这种威胁远不止基本的监视。COVERT RAT 会连接到181.231.253.69:4444 的，攻击者可以从该服务器发出加密指令，涵盖从文件窃取到勒索软件部署的一切行为。其模块化设计支持凭证窃取、权限提升、加密文件操作和持久性重新访问。尤其令人担忧的是其内置的清理功能——操作人员完成后，只需一条命令即可清除恶意软件的所有痕迹，这使得事后取证变得更加困难。

此次攻击活动的传播方式经过精心设计，采用了多层叠加结构。钓鱼邮件会释放一个包含三个组件的 ZIP 压缩包：一个 Windows快捷方式 (LNK) 文件、一个批处理加载脚本和一个极具迷惑性的司法 PDF 诱饵文件。

当目标用户打开快捷方式时，恶意脚本会在后台静默运行，而诱饵 PDF 则会在前台正常打开。

最终的有效载荷会将自身隐藏msedge_proxy.exe在 Microsoft Edge 的文件夹中——这是为了与受信任的系统进程混为一谈而精心策划的举动。

当收件人打开juicio-grunt-posting.pdf.lnk以 PDF 图标命名和装饰的快捷方式文件时，它会静默地调用 PowerShell，同时禁用执行策略并启用隐藏模式。

这会立即触发批量加载器，health-check.bat该加载器会连接到 GitHub 托管的存储库并下载 RAT 有效载荷。使用 GitHub作为交付渠道可以增加人们感知到的合法性，因为该平台的流量很少会触发网络级别的警报。下载完成后，有效载荷通过 PowerShellStart-Process命令执行并将自身存储为msedge_proxy.exe。然后，该恶意软件会运行环境检查——通过 WMIC 查询系统制造商，扫描任务列表中是否存在 Wireshark、OllyDbg 和 x64dbg 等工具，并检查与 VMware、VirtualBox 和 Hyper-V 关联的注册表路径。它还会检查进程环境块 (PEB) 中是否存在活动的调试器，并利用计时行为QueryPerformanceFrequency来捕获模拟环境。只有当所有检查都通过后，RAT 才会向其 C2 服务器发送信标并等待操作员命令。

9、伊朗关联僵尸网络曝光，开放目录泄露揭示15节点中继网络

与伊朗有关联的威胁行为者由于粗心大意地在自己的测试服务器上留下了一个开放目录，导致其整个工作基础设施暴露无遗，使研究人员得以罕见地窥见一个正在运行的僵尸网络。此次泄露暴露了一个由15个节点组成的中继网络、一个大规模SSH部署框架、在受害者机器上编译的DDoS攻击工具，以及一个带有硬编码命令与控制（C2）地址的僵尸网络客户端，该客户端目前仍在积极开发中。

2026 年 2 月 24 日，伊朗 ISP Dade Samane Fanava 公司 (PJS) 注册的基础设施上托管的 IP 地址为 185.221.239[.]162 的服务器在例行扫描中被标记出来，暴露了这一问题。

该服务器包含 59 个子目录中的 449 个文件，其中包括隧道配置文件、基于 Python 的部署脚本、编译后的 DDoS 二进制文件、C 语言编写的拒绝服务攻击源文件，以及用于通过 SSH 攻击目标系统的凭据列表，该功能可以索引互联网上的开放目录。

研究人员利用与通配符域名 *.server21[.]org 关联的共享 Let’s Encrypt TLS 证书，发现了另外 14 个具有相同指纹的 IP 地址——其中 7 个托管在芬兰的 Hetzner Online GmbH 公司，7 个注册在伊朗的互联网服务提供商 (ISP) 名下，包括 Dade Samane Fanava Company (PJS) 和 Sindad Network Technology PJSC。该域名注册于 2023 年，其 DNS 路由通过伊朗 CDN 提供商 ArvanCloud (arvancdn[.]ir) 进行。

同一基础设施兼具双重用途。名为 config-client.yaml 的配置文件描述了一个基于 KCP 的数据包隧道，该隧道使用Paqet（一款旨在绕过伊朗国家互联网过滤系统）——伊朗服务器将加密流量转发到位于芬兰的 Hetzner 出口节点。3x-ui 的存在（这是一个基于 Web的代理面板，具有用户帐户管理和流量配额功能）表明，攻击基础设施旁边运行着一个商业运营的 VPN 中继服务。一个暴露的bash 历史记录文件详细记录了操作员在三个不同阶段的工作会话：隧道部署、DDoS 工具开发和僵尸网络构建。

代码中用波斯语编写的注释以及键盘输入错误中出现的原始阿拉伯文字字符证实，该演员很可能来自伊朗。历史上的DDoS攻击目标包括位于5.42.223[.]60、端口为30120的FiveM GTA服务器和两台面向HTTP/HTTPS的主机，攻击工具包括自定义C语言工具——syn.c、flood.c和au.c——以及从GitHub克隆并直接在测试主机上编译的MHDDOS。该僵尸网络感染方法的核心是一个名为 ohhhh.py 的，它读取格式为 host:port|username|password的凭据，并同时对受害者机器打开 500 个并发 SSH 会话。

该机器人客户端自称为 BOT CLIENT v1.0，它会将每个新感染的主机注册为 UnknownBOT ONLINE，并发送一个信标，其中包含受害者的 IP 地址、主机名和进程 ID。该二进制文件内置的重新连接逻辑意味着，即使暂存服务器离线，受感染的机器仍会继续尝试连接到 C2 服务器。一旦会话启动，机器人客户端源文件 cnc.c 就会从暂存服务器拉取，在受害者机器上使用 gcc -pthread 进行编译，并在分离的 screen 会话中启动。

这种主机上编译策略显然是为了规避二进制检测，因为不会传输任何预编译的可执行文件，这使得标准的基于哈希的扫描方法对其基本无效。

10、研究人员警告称，所有版本的 Telnetd都存在一个尚未修复的严重漏洞

网络安全公司 Dream 披露了 GNU InetUtils telnetd 中的一个严重漏洞，编号为 CVE-2026-32746（CVSS 评分为 9.8）。该漏洞允许未经身份验证的远程攻击者以提升的权限执行代码。问题源于LINEMODE 处理程序中的越界写入，导致缓冲区溢出。

该漏洞影响 2.7 及更早版本。预计将于2026 年 4 月 1 日发布补丁，敦促用户在补丁发布后尽快更新。

GNU InetUtils 的 telnetd 是一个服务器组件，它通过 Telnet 协议提供远程登录访问。它允许用户通过网络连接到系统并远程运行命令，但与SSH 等现代替代方案相比，它在很大程度上已经过时且不安全。

“Dream Security在GNU Inetutilstelnetd守护进程中发现了一个新的缓冲区溢出漏洞（CVE-2026-32746），具体位于处理LINEMODE SLC（设置本地字符）选项协商的代码中。未经身份验证的远程攻击者可以在初始连接握手期间（在出现任何登录提示之前）发送特制消息来利用此漏洞。成功利用此漏洞可导致远程代码以root权限执行。  发现此漏洞后，我们已向GNU Inetutils安全团队提交了初步

专家警告说，稍有不慎就可能利用这一漏洞，导致系统完全瘫痪。

任何运行存在漏洞的 GNU Inetutils telnetd 系统的程序都会受到影响，包括 Linux 发行版、物联网设备以及使用 Telnet 的传统 OT/ICS 环境。攻击者可以在初始连接期间通过发送精心构造的请求远程触发此漏洞，无需身份验证或用户交互，这使得漏洞利用变得简单易行且极其危险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《本周安全热点事件汇总 APT动向 网空安全》