2026-04-27 05:09:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档总结了2026年4月第147期网络安全态势，披露了思科防火墙被植入Firestarter后门、Lovable数据泄露暴露BOLA风险、OpenSSL高危漏洞等事件。关键发现包括攻击者利用凭证滥用、供应链后门及配置错误进行入侵，防御建议涵盖强化身份认证、API安全测试、零信任架构和供应链透明化措施。 综合评分： 82 文章分类： 漏洞分析,威胁情报,安全建设,政策法规,解决方案

cover_image

国外：一周网络安全态势回顾之第147期，思科防火墙被植入“Firestarter”后门

原创

铸盾安全铸盾安全

河南等级保护测评

2026年4月26日 00:27 河南

在小说阅读器读本章

去阅读

田纳西州黑客入侵最高法院系统被判缓刑

25岁的尼古拉斯·摩尔因非法访问美国最高法院电子归档系统及退伍军人事务医疗系统，被判处12个月缓刑。其攻击手法并不复杂，而是通过窃取合法凭证，在多个日期反复登录系统，体现出典型的“凭证滥用型攻击”。值得关注的是，该行为并未涉及经济牟利，而是出于炫耀目的在网络上发布截图，这反映出当前网络攻击动机正呈现多元化趋势。

从安全角度看，此类事件暴露出政府系统在身份认证与访问控制方面的不足，例如缺乏强制多因素认证（MFA）、异常登录行为监测薄弱，以及凭证跨系统复用问题。相比传统漏洞利用，这类攻击门槛更低但成功率更高，已成为当前主流威胁路径之一。未来防护应重点加强身份安全体系建设，包括零信任架构、动态风险评估以及用户行为分析（UEBA），以降低凭证泄露带来的系统性风险。

英国部署军事力量保护海底通信基础设施

英国已动用海军舰艇、空中巡逻力量及后勤支持资源，加强对海底通信电缆的防护，以应对潜在的国家级威胁。这一举措凸显出通信基础设施已成为国家安全的重要组成部分。当前全球约95%的国际数据通过海底光缆传输，一旦关键节点遭破坏，将对金融系统、云服务及军事通信造成严重影响。

行业专家指出，过去电缆中断多被视为意外事故，但当前环境下，人为破坏和灰色地带行动的风险正在上升。因此，网络韧性设计成为核心议题。企业和运营商需要通过多路径路由、跨区域冗余和实时链路监测来提升抗毁能力，而不是单纯依赖防护措施避免中断。该事件反映出网络安全正从“逻辑空间”延伸至“物理空间”，基础设施防护需实现跨域协同。

Lovable数据泄露事件暴露BOLA风险

独角兽企业Lovable因BOLA（基于对象级别授权缺失）漏洞引发严重数据泄露风险，攻击者可通过普通账户访问其他用户的源代码、数据库凭证及聊天记录。更为严重的是，该漏洞在披露流程中被误判为“设计行为”，导致修复延误，扩大了潜在影响范围。

从技术角度看，BOLA漏洞已成为API安全中最常见且危害最大的风险之一，其根源在于后端未对资源访问进行细粒度权限校验。该事件还暴露出漏洞响应流程的问题，包括平台审核机制与厂商安全认知不一致，导致风险被低估。随着SaaS和低代码平台快速发展，类似漏洞可能进一步增加。企业应在开发阶段引入API安全测试、访问控制验证及自动化扫描机制，同时完善漏洞响应流程，确保外部研究人员报告能够得到及时处理。

伊朗指控美国利用后门实施基础设施攻击

伊朗方面声称，在伊斯法罕遭袭期间，多家国际厂商网络设备在断网状态下同时失效，怀疑存在固件后门或供应链级漏洞。这一说法虽未被独立验证，但反映出当前国际社会对“供应链武器化”的高度关注。

理论上，现代网络设备若存在隐蔽控制机制，确实可能通过非传统通信路径（如卫星信号或预置逻辑）被远程触发。这类风险一旦存在，将对关键基础设施构成系统性威胁。近年来，供应链安全已成为网络安全核心议题，从硬件芯片到固件更新均可能成为攻击入口。各国正逐步加强对关键设备的安全审查与国产化替代，同时推动SBOM（软件物料清单）和供应链透明化建设，以降低潜在后门风险。

Claude Mythos被未经授权访问

Anthropic的Claude Mythos系统被发现可通过第三方供应商环境访问，部分用户利用该接口测试模型高级能力。该事件并非传统意义上的入侵，而是由于接口暴露与访问控制不足导致的“非预期访问”。

这一问题反映出AI系统在生态扩展过程中面临的典型风险：模型能力通过API开放后，边界难以严格控制。攻击者无需突破核心系统，仅需找到外围接口即可实现能力滥用。考虑到大模型具备代码生成、漏洞分析等能力，一旦被恶意利用，可能加速攻击自动化进程。未来AI安全需从“数据保护”转向“能力治理”，包括调用审计、异常提示检测以及第三方接入的零信任控制。

法国国家机构数据泄露

法国国家服务平台ANTS发生数据泄露事件，约1900万条用户记录被窃取并在黑客论坛出售，涉及姓名、出生日期等敏感信息。该事件影响范围广泛，可能对身份盗用和诈骗活动产生长期影响。

政府系统因其集中存储大量公民数据，已成为攻击者重点目标。此类事件通常源于系统漏洞、访问控制缺失或凭证泄露。随着数字政府建设推进，数据集中化程度不断提高，一旦防护措施不足，将形成“高价值单点目标”。防御方面需加强数据分级保护、访问最小化控制以及持续安全监测，同时建立快速响应与公众通报机制，以降低事件影响。

CISA局长提名撤回引发治理关注

Sean Plankey撤回CISA局长提名，使美国关键网络安全机构继续处于代理领导状态。这一情况在当前网络威胁持续升级背景下引发担忧。

CISA承担关键基础设施保护与跨部门协调职责，其领导层稳定性直接影响国家网络防御能力。长期人事不确定性可能削弱战略执行力，并影响对重大威胁的响应效率。从更宏观角度看，该事件反映出网络安全治理已深度嵌入政治体系，其稳定性同样构成安全因素。未来需建立更加稳定的治理机制，减少政治因素对专业安全岗位的影响。

英国推出显示安全防护设备SilentGlass

英国国家网络安全中心推出SilentGlass设备，用于防止通过显示接口泄露数据。该设备可主动监测并阻断HDMI或DisplayPort链路中的异常行为。

随着高分辨率显示技术发展，屏幕信号已成为数据泄露新通道，例如通过信号截取或旁路设备获取敏感信息。SilentGlass通过硬件层防护，有效弥补传统软件安全的不足。该技术特别适用于政府和高敏行业，标志着终端安全正在向“物理+数字融合”方向发展。未来显示安全可能结合环境感知与身份识别，实现更智能的数据保护。

Google强化企业端到端安全控制

Google在Chrome Enterprise和Android中推出多项安全增强功能，包括数据丢失防护、AI使用控制及设备访问限制。

随着企业向云端和SaaS迁移，浏览器已成为主要工作入口。此次更新通过统一策略控制，实现跨设备的数据保护，有助于降低数据泄露风险。特别是在AI应用普及背景下，对数据输入输出的控制变得尤为重要。该举措体现出安全边界向终端与身份侧转移的趋势，未来企业安全将更加依赖细粒度策略与上下文感知能力。

OpenSSL高危漏洞集中修复

OpenSSL在2026年4月发布安全更新，修复7个漏洞，其中包括可能导致敏感数据泄露的高危问题。这些漏洞影响多个主流分支版本，部分问题涉及内存处理不当和加密流程缺陷。

OpenSSL作为全球最广泛使用的加密库之一，广泛嵌入Web服务器、VPN设备及各类应用系统，其安全性直接影响互联网基础通信安全。一旦被利用，攻击者可能通过中间人攻击或数据解析漏洞窃取敏感信息。值得注意的是，这类基础组件漏洞往往具有“长尾效应”，即使官方发布补丁，大量未及时更新的系统仍长期暴露在风险中。

该事件再次表明，基础软件供应链仍是网络安全的核心风险点。企业需要建立组件资产清单（SBOM），并结合自动化漏洞管理与补丁优先级机制，缩短暴露窗口。同时，对关键加密组件应进行持续监控和版本审计，而非依赖一次性更新。

Kubernetes配置错误被利用横向入侵云环境

研究人员发现，攻击者正利用Kubernetes配置错误，从容器环境横向移动至云账户，实现更大范围控制。该攻击路径通常始于弱配置，例如未加固的API接口、默认凭证或过宽的权限策略。一旦入侵容器，攻击者可利用服务账户权限访问云资源，甚至接管整个云环境。相比传统服务器攻击，容器环境具有动态性强、边界模糊等特点，使得安全监测更具挑战。

这一事件反映出“云原生安全”仍处于发展阶段。许多企业在部署Kubernetes时更关注功能与效率，而忽视了权限最小化与网络隔离。未来防御重点应包括：强化RBAC控制、实施Pod安全策略、监控异常API调用，以及将容器安全纳入整体云安全架构。

CUPS漏洞链实现远程Root权限执行

CUPS打印系统被披露存在漏洞链，攻击者可通过组合利用实现远程代码执行，并获得root权限。CUPS广泛应用于Linux和Unix系统中，尤其在企业打印和服务器环境中部署广泛。攻击者可通过构造恶意请求触发漏洞，绕过权限限制执行任意代码。由于打印服务通常被忽视，其安全配置往往较弱，使其成为理想攻击入口。

该事件体现出“非核心服务成为突破口”的趋势。攻击者越来越倾向于利用低关注度组件进行初始入侵，再逐步扩大权限。企业应加强对所有服务的安全基线管理，而不仅限于关键业务系统。

FBI摧毁俄罗斯路由器劫持网络

美国司法部与FBI联合行动，成功瓦解一个与俄罗斯相关的路由器劫持网络，控制了数千台设备。该网络通过入侵家庭和小型企业路由器构建隐蔽基础设施，用于间谍活动和流量转发。这类攻击利用设备长期未更新、默认凭证等问题，建立难以追踪的代理网络。

该行动表明，边缘设备已成为国家级网络行动的重要资源。由于分布广泛且管理薄弱，这些设备为攻击者提供了低成本、高隐蔽性的基础设施。防御需要从“终端安全”扩展到“边缘安全”。

Adobe Reader 0-day被用于攻击

攻击者利用Adobe Reader中的0-day漏洞发起攻击，针对用户执行恶意代码。PDF文件作为常见文档格式，被广泛用于钓鱼攻击。攻击者通过构造恶意PDF诱导用户打开，从而触发漏洞执行攻击代码。这类攻击具有隐蔽性强、传播范围广的特点。

该事件说明客户端软件仍是攻击链的重要环节。尽管企业加强了网络边界防护，但用户端仍可能成为突破口。因此需要强化终端检测与响应（EDR）能力，并加强用户安全意识。

FortiGate防火墙被利用建立持久访问

攻击者利用FortiGate防火墙漏洞入侵企业网络，并在横向移动阶段被发现。防火墙作为关键安全设备，一旦被攻陷，将成为攻击者的控制中心。攻击者可监控流量、绕过安全策略并进行横向渗透。

该事件凸显“安全设备本身不再安全”的现实。企业需要对关键设备实施持续监控与完整性检查，而不仅依赖其防护功能。

CISA新增已被利用漏洞清单

CISA将多个漏洞加入“已被利用漏洞（KEV）”目录，并要求联邦机构限期修复。这些漏洞涉及网络设备和企业软件，且已被攻击者实际利用。KEV目录已成为全球重要参考标准，反映真实威胁优先级。

该举措强调了“基于威胁的漏洞管理”理念，即优先修复已被利用漏洞，而非仅依据评分排序。

工业设备BRIDGE:BREAK漏洞曝光

研究人员披露22个工业设备漏洞，可用于控制串口通信设备并篡改数据。这些设备广泛应用于工业控制系统（ICS），一旦被攻击，可能影响生产流程甚至引发安全事故。

该事件表明，OT安全风险持续上升，传统IT安全措施难以直接适用于工业环境。

Vercel内部系统遭未授权访问

Vercel披露其内部系统遭未授权访问，目前正在调查并采取补救措施。

作为云开发平台，该事件可能影响开发者生态。类似事件通常源于凭证泄露或访问控制问题。该事件再次说明，云服务供应商已成为攻击重点。

AI驱动安全风险持续上升

多项报告显示，AI相关安全事件数量持续增长，同时透明度下降。AI既是防御工具，也是攻击放大器。攻击者可利用AI自动化漏洞利用和钓鱼攻击，而企业在使用AI时也可能引入新的数据泄露风险。

这一趋势标志着网络安全进入“AI对抗”阶段。

美国联邦机构思科防火墙被植入“Firestarter”后门

最新披露显示，至少一个美国联邦机构的思科防火墙设备被植入名为“Firestarter”的后门程序，该事件属于一项与国家级威胁行为体相关的长期网络间谍行动。攻击者利用思科ASA及Firepower设备中的多个高危漏洞（如CVE-2025-20333、CVE-2025-20362）实现初始入侵，并在设备中部署持久化恶意代码。

该事件最值得关注的特点在于“补丁后仍可持续控制”。CISA明确指出，即便设备完成固件升级，Firestarter后门仍可继续存在并维持远程访问能力，这意味着攻击者已经突破传统“打补丁即安全”的防御逻辑。进一步分析显示，该后门能够在系统重启甚至版本更新后存活，具备高度隐蔽性和持久控制能力，属于典型的高级持续性威胁（APT）技术演进。

从攻击链角度看，此类行动体现出“边界设备武器化”的趋势。防火墙作为网络核心安全设备，一旦被攻陷，将直接成为攻击者的控制节点，可用于流量监控、横向移动甚至数据外泄。同时，攻击者通过修改设备底层或内存结构实现持久化，使传统基于主机或网络流量的检测手段难以及时发现。

该事件对防御体系提出了更高要求：一方面，组织需对关键网络设备开展深度取证（如内存转储分析），而非仅依赖补丁管理；另一方面，应建立设备级完整性验证机制，并结合零信任架构限制横向访问。此外，该事件再次表明，网络安全的核心风险正在从“终端与服务器”向“网络基础设施本身”转移，未来边界设备将成为国家级攻击的重要突破口。

2025收集更新信通院白皮书系列合集（665个）下载

——等级保护

数据安全风险评估培训杂谈

打破“一考定终身”测评师迎来严峻挑战

欲等保定级先数据分类分级

2025公安部网安局等保工作最新要求逐条解析

公网安〔2025〕1846号文：风险隐患及工作方案释疑浅谈

公网安〔2025〕1846号文：数据摸底调查释疑浅谈

公网安〔2025〕1846号文：第五级网络系统释疑浅谈

公网安〔2025〕1846号文：定级备案的最新释疑浅谈

关于25年定级备案公安部网安局释疑的一点浅谈

公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函

新等保测评真的取消打分了吗？一点杂谈！

新定级备案模板明确数据安全纳入等级保护体系

等保定级新模板新要求，2025定级工作新变化

2025新形势下新等保备案如何开展

测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

河南省新规定测评与密评预算再调低

四川省等级测评与商密评估预算计算方法

广西壮族自治区等级测评与商密评估预算为几何？

黑龙江财政关于等级测评与商密评估预算为几何？

和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》

和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》

与Deepseek一起谈开展等级测评的必要性！

——数据安全

《网络数据安全管理条例》解读

跟着DAMA专家看数据管理的未来

市场监管总局印发《网络交易合规数据报送管理暂行办法》

数据安全知识：什么是数据安全？

网警提醒 | 3.31世界备份日：重视你的数据安全

网络和数据安全合规：15部门发布指导意见助力中小企业全面合规

数码复印机数据安全：企业指南

《数据安全法》中有关数据安全保护的法律义务

——错与罚

江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万

网络安全无小事！某企业因疏于防护被依法查处

江苏灌南农商行因违反数据安全管理规定等被罚97.5万

网安企业“内鬼”监守自盗，窃取个人信息2.08亿条

郑州3家公司未履行网络安全保护义务被网信部门约谈

25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚

驻马店市委网信办就网络安全问题依法约谈相关责任单位

两家银行因数据安全相关问题，被罚款

河北保定竞秀区委网信办依法约谈网站负责人

贵港市网信办公布2起网络安全违法违规典型案例

公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布

重庆网信部门近期就企业违法违规情况开展多起约谈与处罚

新华社：中国电信、中国移动、中国联通，集体回应！

重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈

——其他

浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案

精彩回顾：祺印说信安2024之前

祺印说信安2024年一年回顾

网警提醒 | 3.31世界备份日：重视你的数据安全

网络安全知识：什么是技术债务？

网络安全知识：网络威胁情报解析

5月1日起，《国家秘密定密管理规定》正式施行

黑客攻击远程服务器十大弱口令

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评铸盾安全铸盾安全《国外：一周网络安全态势回顾之第147期，思科防火墙被植入“Firestarter”后门》