2026年1月威胁情报:两大高危漏洞遭利用

威胁情报新闻 2026年1月

2026年1月
威胁情报部门由全球威胁研究人员和数据科学家团队组成,结合专有的数据分析和机器学习技术,分析全球规模最大、最多样化的威胁数据集合之一。研究团队提供战术性威胁情报,为弹性的威胁检测与响应提供动力——即使组织的攻击面在扩大、技术在演进、对手在不断改变其战术、技术与程序。
威胁情报更新提供最新的威胁新闻,包括最近对某中心检测功能的更新以及在开放威胁交换平台发布的新威胁情报。

威胁情报新闻

MongoBleed:正被积极利用的MongoDB高危漏洞

2025年12月19日,披露了MongoDB中一个名为MongoBleed(CVE-2025-14847) 的严重漏洞,影响了大多数MongoDB部署。该漏洞被评为CVSSv4 8.7分,允许未经身份验证的攻击者泄露未初始化的堆内存,从而暴露密码和API密钥等敏感数据。公开漏洞利用于12月25日出现,到12月28日,已确认存在广泛利用。尽管紧急打补丁,但12月30日的扫描显示,仍有近70% 的公开可访问实例处于易受攻击状态,使数千个组织面临风险。目前有超过30万台面向互联网的MongoDB服务器,且利用活动正在进行中,风险迫在眉睫且影响重大。
MongoBleed影响从4.4到8.2的版本,修补程序已在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中提供。敦促组织立即升级应用临时缓解措施,例如禁用zlib压缩请求并实施严格的网络分段(从互联网屏蔽TCP/27017端口)。除了修补,检测和响应也至关重要:取证指标包括通过db.serverStatus().asserts和FTDC遥测数据出现的用户断言激增。

React2Shell(CVE-2025-55182):React.js中正被积极利用的严重RCE漏洞

2025年12月3日,在React Server Components中披露了一个严重且未经身份验证的远程代码执行漏洞 CVE-2025-55182(React2Shell),其CVSS v3评分为10.0,CVSS v4评分为9.3。该漏洞由研究人员报告,允许攻击者通过单个HTTP请求执行任意代码,影响Next.js等流行框架。在几天之内,就观察到了广泛的利用活动,包括网络犯罪行为者和疑似间谍组织。已知的活动会部署MINOCAT、SNOWLIGHT、HISONIC和COMPOOD等恶意软件家族,以及XMRIG加密货币挖矿程序。地下论坛迅速传播了PoC代码和扫描工具,加速了武器化进程,包括内存中的Next.js Web Shell和使用Unicode混淆的载荷。
React2Shell影响react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack这些React Server Component包,版本为19.0、19.1.0、19.1.1和19.2.0。组织必须立即修补至19.0.1、19.1.2或19.2.1(或更高)版本以防止RCE,并应用后续补丁(19.2.2–19.2.3)以解决相关漏洞(CVE-2025-55183、CVE-2025-55184、CVE-2025-67779)。其他缓解措施包括部署WAF规则、审计依赖项中是否存在易受攻击的组件,以及监控入侵指标,例如隐藏目录($HOME/.systemd-utils)、恶意的Shell注入和未经授权的持久化机制。

跟踪、检测与狩猎能力

威胁情报团队创建了以下对手追踪器来自动识别和检测部署的恶意基础设施:VenomRat、NanoCore、Amadey和Vidar。
团队确定以下恶意软件/威胁行为者在12月最为活跃。
图1:2025年12月恶意软件趋势。
这些追踪器已为所追踪的不同家族识别了超过16,353个新的IOC。12月最繁忙的追踪器是:
图2:2025年12月来自追踪器的新IOC。

某平台检测功能改进

在12月,威胁情报团队添加或更新了15条检测规则。以下是开发和改进的部分示例:

  • 新增检测Office工具中使用procdump的规则,以及滥用Azure Azcopy工具窃取数据的规则。
  • 改进了某办公套件规则,以识别从消费者VPN创建收件箱规则,或识别可疑的用户代理。

开放威胁交换平台

开放威胁交换平台是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的33万名威胁研究人员组成,他们每日向平台发布威胁信息。威胁情报团队会验证、分析和丰富这些威胁情报。该平台的成员受益于集体研究成果,可以向社区贡献内容、分析威胁、创建公开或私密的威胁情报共享群组等。

新的OTX脉冲

威胁情报团队根据其研究和发现,持续在OTX上发布新的脉冲。脉冲是关于威胁、威胁行为者、活动等的交互式、可搜索的信息库,包括对成员有用的妥协指标。12月,实验室团队创建了90个新的脉冲,覆盖了最新的威胁和活动。以下是一些最相关的新脉冲示例:

  • Shai-Hulud V2对NPM供应链构成风险
  • 防御React Server Components中的CVE-2025-55182(React2Shell)漏洞
  • HoneyMyte APT现使用内核模式Rootkit保护恶意软件
  • 检测到规避性的SideWinder APT活动
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

posted @ 2026-01-11 12:02  qife  阅读(2)  评论(0)    收藏  举报