文章总结： 本周安全报告显示身份层已成为2026年攻防主战场，ShinyHunters通过教育平台Canvas等第三方入口窃取2.75亿条身份记录，PaloAltoUser-ID门户和IvantiEPMM相继出现未授权RCE漏洞。报告指出攻击者正从主机渗透转向身份基础设施突破，建议企业立即检查SSO入口、修补PAN-OS漏洞、制定身份事件响应剧本。 综合评分： 85 文章分类： 数据泄露,漏洞分析,身份安全,威胁情报,应急响应

[网安周报] ShinyHunters 七天屠戮 2.75 亿条身份记录——2026 年攻防主战场，已经从”主机”挪到了”身份”

原创

极客零零七 极客零零七

极客零零七

2026年5月11日 07:30 加拿大

在小说阅读器读本章

去阅读

极客零零七 · 第18期 · 2026-05-10

一句话总结：本周一家 ShinyHunters 连环屠了 Canvas / NVIDIA / Cushman——单 Canvas 一站就 2.75 亿条；同期 Palo Alto User-ID 鉴权门户（CVE-2026-0300）爆未授权 root RCE、Ivanti EPMM 再添一记零日——上期我们盯着 Linux 内核与开源供应链，本周战火已全面烧向身份基础设施。

一周速览

1. ShinyHunters 七天连环屠：Instructure Canvas 2.75 亿条学生记录 + NVIDIA GeForce NOW + Cushman & Wakefield 50 万 Salesforce 记录（数据泄露 / 身份基础设施） 本周最核心也最被低估的一条。ShinyHunters 利用 Instructure Canvas 的尚未公开漏洞，横扫了 8809 个学区、大学与在线教育平台，自称窃取 2.75 亿条学生/教师/ 员工记录，并把多家高校的 Canvas 登录页直接涂改炫耀。同一周，他们通过亚美尼亚 NVIDIA GeForce NOW Alliance 合作伙伴打入 NVIDIA，泄露姓名、邮箱、用户名、生日、会员等级、2FA 启用状态；又通过国际地产巨头 Cushman & Wakefield 的 Salesforce 实例拿走 50 万+ 条记录。真正可怕的不是数字而是路径——三起攻击没有一起是从”目标内部”开始的，全是边缘合作伙伴 → SSO 入口 → 全身份数据库。Canvas 一个登录入口就能撬动 2.75 亿条身份信息，这件事等于把”零信任”打回了原形。

2. Palo Alto PAN-OS CVE-2026-0300：User-ID 认证门户未授权 root RCE，已被在野尝试，补丁延迟到 5 月 13 日（漏洞 / 0-day） CVSS 9.3 / 8.7（依配置而定）。漏洞位于 PAN-OS 的 User-ID Authentication Portal 服务——也就是企业用来把网络流量与”用户身份”绑定的核心模块。攻击者无需任何凭据即可触发缓冲区溢出，以 root 执行任意代码；Palo Alto 自承威胁活动可追溯至 4 月 9 日，比披露早整整一个月。一个用来”识别身份”的服务变成了攻击者拿身份的最快入口——这种讽刺感本周已经出现两次。补丁要拖到 5 月 13 日，意味着所有 User-ID Portal 暴露在公网或可达边缘的实例，未来 72 小时都在裸奔。

3. Ivanti EPMM 再添一记零日 CVE-2026-6973，已在野 “limited exploit”（漏洞 / 0-day） 上期我们刚提到 Unit 42 停止跟踪 EPMM 利用——本期 Ivanti 立刻打脸。新漏洞 CVSS 7.2，输入校验缺失，影响 12.6.1.1 / 12.7.0.1 / 12.8.0.1 之前的所有版本；与 4 月那波 RCE 双零日（CVE-2026-1281/1340）的攻击窗口尚未完全关闭。Ivanti 在 18 个月内第 N 次以”pre-auth / 有限利用”形态登 KEV——这已经不是漏洞问题，是产品安全工程的系统性失能。把 EPMM 直接挂公网在 2026 年应当被视为高危合规违规。

4. CISA 5/1 新增 4 条 KEV：SimpleHelp / D-Link DIR-823X / Samsung MagicINFO 9，联邦截止 5/8（KEV 治理） 4 条全部与勒索 / 僵尸网络强关联——SimpleHelp（CVE-2024-57726 / 57728，CVSS 9.9）已被 DragonForce 勒索团伙作为前置武器；D-Link DIR-823X（CVE-2025-29635）与三星 MagicINFO 9（CVE-2024-7399）则被用于投递 Mirai 变种 “tuxnokill”。注意时效：这批漏洞的 CVE-ID 全是 2024 / 2025 的——攻击者根本不需要本周新爆的零日，只要靠两年前未补的”边缘类设备”就能持续养僵尸网络。同期 Linux 圈又冒出未补丁 LPE “Dirty Frag“（5/8 披露），紧接上期 Copy Fail 的压制态势继续。

编辑划重点：把这四件事并起来看——ShinyHunters 借身份合作伙伴撬大库、PAN-OS 的”身份识别”模块本身被拿来做提权入口、Ivanti EPMM 又一次身份 / 移动管理面失守、CISA KEV 一连串老旧 IoT/MDM/远控类入口仍在被勒索团伙吃定。所有箭头都指向同一个方向：身份层。 上期是”内核 + 供应链”，本期是”身份 + 边界”，趋势主线已经切换。

安全趋势

身份层是 2026 年的”前线”——而企业仍在把它当作”后方”

过去 5 年企业安全的资源主要砸在两个方向：终端 EDR 和网络边界。身份与访问管理（IAM）虽然口头上”零信任”，预算上却一直是从属角色。本周的四条主线把这个错配照得一清二楚。

第一，身份基础设施的”权力杠杆”被严重低估。 Canvas 是教育领域的 SSO 总入口；Salesforce 是 To-B 的 SSO 总入口；GeForce NOW Alliance 合作伙伴是 NVIDIA 的身份委托代理；PAN-OS User-ID Portal 是企业把”IP → 用户”做映射的源头。攻击者打穿任何一个，拿到的都不是单点数据，而是整片用户身份图谱——每打一个点，下游能继续渗透多少业务系统、伪造多少令牌、伪装多少员工，都呈指数放大。ShinyHunters 不是技术多强，是它选中了正确的”杠杆点”。

第二，身份模块本身正在变成”零日温床”。 PAN-OS CVE-2026-0300、上期 cPanel CVE-2026-41940、再往前 Microsoft Defender BlueHammer（CVE-2026-33825）——这些漏洞有一个共同点：它们都在”识别身份 / 管理身份”的服务里。原因不复杂：身份组件需要解析复杂输入、维护持久化会话、跨进程边界——攻击面天然庞大，而这些产品的安全编码节奏远赶不上其复杂度。预计 2026 全年还会持续有此类漏洞冒出。

第三，”合作伙伴信任链”是当下身份层最薄的一道墙。 NVIDIA 没被直接攻入，是亚美尼亚分发商被打；Canvas 8809 家机构同时受影响，是因为 SaaS 多租户共享代码库一旦被打穿就是全员中招；Cushman 是被一个第三方 Salesforce 集成出卖。身份信任链的爆破半径远大于代码漏洞的爆破半径——一旦信任链失守，受害者都是”看似没做错任何事”的下游。

我的判断：未来 6 个月，攻击者的”性价比”会持续从打穿主机 / 打穿网络边界，迁移到打穿身份 / 打穿令牌。任何还把 IAM 视作”运维任务”而非”防御核心”的企业，都将在 2026 年下半年学到一次代价昂贵的课。第 13 期我们说”基础信任的崩塌”——上期是”内核与开源”层崩塌，本期是”身份与门户”层崩塌。下一波更可能落在 令牌 / 会话 / OAuth 集成 这个尚未被普遍审计的层面，下期重点观察。

本周行动清单

1. Palo Alto PAN-OS：未补先验：CVE-2026-0300 补丁 5/13 才发布。本周内必须做三件事——盘点所有 User-ID Authentication Portal 暴露面（公网 + 内网管理段）；将该端口收敛到管理 VLAN 或 VPN 之后；回查 4 月 9 日起的异常登录、异常 root 进程与未匹配的 User-ID 映射事件
2. Ivanti EPMM 二次升级：升级到 12.6.1.1 / 12.7.0.1 / 12.8.0.1；如本周内仍存在 EPMM 公网暴露实例，默认假设已被入侵——先排查 web shell、计划任务、外连流量，再做版本升级
3. SaaS 身份入口紧急梳理：列出公司所有 SSO 关键入口（Salesforce / Workday / Canvas / Okta / Azure AD），逐一确认：(a) 是否启用条件访问 + 设备合规；(b) 是否对第三方集成 / 合作伙伴账号做了一次审计；(c) 是否对登录页篡改有外部监控（参考 Canvas 案例）
4. Linux 节点紧急热补丁：Dirty Frag 防御：5/8 发布的补丁需尽快推送到所有核心服务器与 K8s 节点。若无法立即重启，可通过 echo "install esp4 /bin/true" >> /etc/modprobe.d/disable-esp.conf 等方式临时禁用相关内核模块，拦截 xfrm/esp 攻击路径。
5. CISA 5 月 KEV 补丁倒计时：SimpleHelp（CVE-2024-57726 / 57728）、D-Link DIR-823X（CVE-2025-29635）、Samsung MagicINFO 9（CVE-2024-7399），联邦机构 5/8 截止，企业最迟 5/15 应完成排查；EOL 的 D-Link 直接下架，不要再纠结打补丁
6. 身份事件剧本上线：在 SOC 演练表里新增三条剧本——SaaS 数据库批量导出、SSO 登录页被篡改、未授权令牌被签发；并把这些事件源接到 SIEM 优先告警通道

关注「极客零零七」，每周实战攻防干货。 回复「提权」获取 Windows + Linux 提权速查表 · 回复「AD 攻击」获取 AD 域攻击手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《[网安周报] ShinyHunters 七天屠戮 2.75 亿条身份记录——2026 年攻防主战场，已经从”主机”挪到了”身份”》