2026-01-21 01:07:59 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 近期网络安全频现高危漏洞，FortinetSIEM与思科邮件网关遭积极利用，威胁核心防御与内网安全；AMDCPU漏洞危及云端加密，研华IoT漏洞恐致工业系统被控。此外，法国运营商遭巨额GDPR罚款，波兰电网险遭破坏。建议企业立即升级修复关键漏洞，限制端口访问，并强化第三方供应链安全防护。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报,安全运营,应急响应

cover_image

Fortinet安全监控系统曝高危漏洞遭积极利用，企业核心威胁感知能力面临失效风险

汇能云安全

2026年1月20日 10:05 广东

01月20日，星期二，您好！中科汇能与您分享信息安全快讯：

Fortinet安全监控系统曝高危漏洞遭积极利用，企业核心威胁感知能力面临失效风险

网络安全公司Defused通过蜜罐监测确认，Fortinet旗下安全信息与事件管理（SIEM）产品FortiSIEM中存在一个被标记为CVE-2025-64155的关键漏洞正被积极利用。该漏洞源于phMonitor服务对操作系统命令的处理不当，允许未经身份验证的攻击者通过向7900端口发送特制TCP请求，实现远程代码执行，并最终获取设备的根权限。受影响的版本涵盖FortiSIEM 6.7至7.4的多个主流版本，概念验证攻击代码已在GitHub上公开。

由于SIEM系统是企业安全运营的核心，负责收集和分析全网的日志与威胁数据，此漏洞被利用将造成极具讽刺意味的双重打击。一方面，攻击者能直接控制该安全设备，窃取其中存储的海量敏感日志数据；另一方面，被攻陷的SIEM系统将丧失其威胁检测能力，甚至可能被篡改日志以掩盖攻击痕迹，使企业在面对更广泛的网络入侵时变成“瞎子”。Fortinet已发布修复版本，并强烈建议用户立即升级，同时从网络层面限制对7900端口的访问。

微软紧急发布带外更新修复远程桌面登录故障，企业云桌面服务可用性一度受挫

微软于2026年1月17日发布了一项紧急带外更新（KB5077744），用以修复由月初“补丁星期二”安全更新（KB5074109）引发的一个严重问题。该问题导致大量用户在使用“远程桌面”应用连接Azure虚拟桌面和Windows 365云电脑时，遭遇凭证输入提示失败，即使输入正确用户名和密码也无法登录。故障影响了运行特定内部版本（26200.7623和26100.7623）的Windows客户端系统。

此次更新引发的“回退”问题虽非安全漏洞，但对依赖云虚拟桌面开展日常业务的企业造成了严重的运营中断。员工无法访问其云工作环境，直接影响了工作效率和业务连续性。事件凸显了在广泛部署的系统更新中，即使是为修复安全漏洞而进行的常规更新，也可能引入影响关键功能的意外风险。微软迅速响应并发布了专项修复补丁，建议所有受影响的管理员立即部署KB5077744以恢复远程连接服务的正常可用性。

思科邮件安全网关曝出满分零日漏洞遭国家级黑客利用，企业通信与内部网络面临直接渗透

思科确认，其安全邮件网关（Cisco Secure Email Gateway）和安全邮件及网页管理器（Cisco Secure Email and Web Manager）中，一个CVSS评分高达10.0的零日远程代码执行漏洞（CVE-2025-20393）正被积极利用。该漏洞源于设备垃圾邮件隔离功能中对HTTP请求的输入验证不足，允许未经身份验证的远程攻击者发送特制请求，以最高的“根”权限在设备上执行任意命令。思科威胁情报部门将该攻击活动归因于一个疑似与中国有关联的先进持续性威胁组织。

由于邮件安全网关通常部署在网络边界，负责过滤所有入站邮件，其被攻陷后果极为严重。攻击者不仅能完全控制该设备，窃取所有流经的邮件，还能以该设备为跳板，向企业内部网络发起进一步的渗透攻击。在此次事件中，攻击者被证实部署了自定义后门和隧道工具，意图进行长期潜伏与间谍活动。美国网络安全和基础设施安全局（CISA）已将此漏洞列入“已知被利用漏洞”目录，并强制联邦机构限期修复。所有使用受影响版本的用户必须立即升级至思科提供的安全版本。

法国两大电信运营商泄露超2400万用户数据，因安全措施不足遭GDPR重罚逾4亿元

法国数据保护监管机构国家信息自由委员会（CNIL）近日宣布，对电信集团伊利亚特（Iliad）旗下的Free和Free Mobile两家公司处以总计4200万欧元（约合人民币3.39亿元）的罚款。罚款源于2024年10月发生的一起重大数据泄露事件，攻击者通过公司VPN漏洞侵入系统，访问并窃取了超过2400万份固网和移动合同数据，其中包括大量国际银行账户号码（IBAN）等金融信息。

CNIL调查认定，两家公司违反了欧盟《通用数据保护条例》（GDPR）的多项规定，核心问题在于未能实施多项基础安全措施。例如，用于员工远程访问的VPN身份验证强度不足，信息系统异常行为检测措施失效，以及对前用户数据的保留和删除机制不合理。此次天价罚单不仅基于泄露数据的巨大规模和高敏感性，也综合考虑了公司的营收能力和对基本安全原则的疏忽。这起事件再次向全球企业表明，在GDPR框架下，未能妥善保护用户数据将面临严厉的财务和声誉惩戒。

美国实验室研发AI攻击模拟系统，可将威胁重现与测试时间从数周压缩至数小时

美国能源部下属的太平洋西北国家实验室（PNNL）研究团队开发了一套名为ALOHA的人工智能系统，旨在极大提升网络安全防御测试的效率。该系统能够自动分析公开的网络安全威胁报告，理解攻击者的技术、战术和程序（TTP），并据此在模拟环境中快速重建完整的攻击链，甚至生成攻击变种。据团队介绍，传统上这项工作需要安全专家团队耗时数周完成，而ALOHA可将其缩短到几小时。

ALOHA的核心价值在于帮助企业的“紫队”（融合攻防的协同团队）实现快速响应。当新的攻击手法被披露后，防御方可以利用ALOHA迅速在内部网络或靶场中模拟该攻击，以此验证现有安全防护措施（如EDR、防火墙规则）是否有效，并立即针对弱点制定和部署缓解方案，形成“攻击模拟-防御检测-加固优化”的快速闭环。该工具基于开源框架MITRE Caldera和大型语言模型构建，有望让更多企业，而不仅是拥有高级红队资源的大型组织，具备高效、主动的防御测试能力。

WhisperPair漏洞曝蓝牙快速配对协议缺陷，主流无线耳机面临窃听与劫持风险

安全研究人员披露了一组名为“WhisperPair”的安全漏洞，影响了广泛使用的蓝牙快速配对协议（如谷歌的Fast Pair）的实现。攻击者可以利用这些漏洞，在无线范围内（最远约14米）发起未经授权的配对请求，从而劫持用户的蓝牙音频设备，如耳机或耳塞。成功劫持后，攻击者不仅能控制音频播放，更严重的是可以秘密激活设备麦克风，窃听用户周围的对话。

该漏洞威胁到安卓和iPhone用户，影响包括谷歌、索尼、JBL在内的多家主流厂商的设备。除了窃听风险，如果设备未在谷歌的“查找我的设备”网络中注册，攻击者还可能将其关联到自己的账户，从而实现对设备及其携带者的物理位置追踪。由于许多设备无法关闭快速配对功能，目前最有效的缓解措施是确保音频配件的固件保持最新。这一事件提醒用户，无线便利性可能伴随隐私风险，及时更新消费电子产品的固件是基础但关键的安全习惯。

AMD全系Zen架构CPU曝出StackWarp高危硬件漏洞，云端加密数据与权限机制面临旁路攻击

安全研究人员在AMD自2017年Zen 1至2024年Zen 5的全系列处理器中发现了一个名为“StackWarp”的高危硬件漏洞（CVE-2025-29943）。该漏洞利用了CPU内部“堆栈引擎”优化功能中的同步缺陷，允许攻击者通过操控特定寄存器，恶意“冻结”然后突然“释放”堆栈指针，使其发生最大640字节的确定性偏移。在云环境中，恶意租户可利用此漏洞攻击同一物理CPU上相邻虚拟机中运行的加密服务。

该漏洞的危害性在于其“旁路攻击”特性，能绕过传统的软件安全监控。研究人员已演示，通过精准触发该漏洞，可以在不接触加密算法本身的情况下，从运行RSA-2048加密操作的虚拟机中提取出私钥；或通过偏移堆栈指针来跳过OpenSSH的密码验证、将普通用户权限提升至根权限。这直接威胁到依赖AMD CPU硬件隔离的云端机密计算环境。AMD已发布微码补丁，但彻底缓解需要在BIOS中禁用同步多线程（SMT）功能，这将导致计算性能显著下降，迫使用户在安全与效能间做出权衡。

研华IoT设备管理平台曝出满分SQL注入漏洞，工业物联网系统面临被完全接管风险

新加坡网络安全局（CSA）发布高优先级警报，指出工业物联网解决方案提供商研华（Advantech）的多个IoT软件产品中存在一个CVSS评分高达10.0的严重漏洞（CVE-2025-52694）。该漏洞是一个SQL注入漏洞，影响其IoTSuite、IoT Edge等设备管理和边缘计算平台。未经验证的远程攻击者能够通过向受影响的服务发送恶意SQL命令，在系统数据库上执行任意作，从而窃取、篡改数据或获得系统控制权。

由于研华的产品广泛应用于工业自动化、能源、智慧城市等关键领域，此漏洞若被利用，后果可能远超单点设备失陷。攻击者可以通过控制中心管理平台，进而操控其下联的海量边缘物联网设备，可能引发生产线停摆、能源供应异常或城市服务中断等物理世界后果。受影响的版本主要为V2.0.2之前的旧版软件，研华已提供修复版本。部分产品的补丁需联系技术支持获取，这要求相关设施的管理员必须主动、迅速地采取行动，更新这些常被忽视但至关重要的工业软件组件。

波兰全国可再生能源设施遭协同网络攻击，电力系统险酿大范围停电事故

波兰政府近日披露，在2025年12月末成功挫败了一起针对全国可再生能源基础设施的大规模协同网络攻击。攻击者并未瞄准传统的集中式大型发电厂，而是同时针对分布在全国各地的大量太阳能电站和风力发电机，蓄意干扰或切断这些分布式能源设施与国家配电运营商之间的通信网络。波兰数字事务部长指出，此次攻击“险些引发一次全面停电”，并将其归咎于俄罗斯的破坏行为。

此次未遂事件标志着针对关键基础设施的网络攻击出现危险的新趋势。攻击者将目标从单一、高价值节点转向数量庞大、分布广泛且安全防护可能相对薄弱的中小型可再生能源站点。通过同时扰乱大量分散电源的并网通信，攻击者试图在电网中制造巨大的供需不平衡，从而引发连锁故障，导致大规模停电。这种攻击模式防御难度更大，对电网的韧性和实时协调能力提出了前所未有的挑战。波兰作为乌克兰的坚定支持者，此次事件也凸显了地缘政治冲突在网络空间向关键民生基础设施蔓延的现实风险。

美国外卖巨头Grubhub确认遭黑客入侵数据泄露，用户与商家信息面临勒索曝光风险

美国第二大外卖配送平台Grubhub于2026年1月15日确认发生数据泄露事件，公司系统遭黑客非法入侵，部分数据被窃取。实施此次攻击的是著名的网络犯罪团伙ShinyHunters，该团伙正以此对Grubhub进行勒索，威胁若不支付比特币赎金，将公开窃取的数据。据信，被盗数据可能包含2025年2月一起相关事件中泄露的历史Salesforce数据，以及本次入侵新获取的Zendesk客服系统数据。

尽管Grubhub声明称，敏感的支付信息和实时订单记录未受影响，并已采取措施加固安全，但事件仍给数千万用户和合作商户带来隐私与诈骗风险。泄露的客服数据可能包含用户联系信息、投诉记录等，可用于发起高针对性的钓鱼攻击。此次入侵疑似攻击者利用了此前从营销平台Salesloft窃取的凭证发起，这再次暴露了第三方供应链安全漏洞的连锁危害。事件不仅损害用户信任，也使Grubhub面临潜在的集体诉讼和监管审查压力。

信息来源：人民网国家计算机网络应急技术处理协调中心国家信息安全漏洞库今日头条 360威胁情报中心中科汇能GT攻防实验室安全牛 E安全安全客 NOSEC安全讯息平台火绒安全亚信安全奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院安全帮卡巴斯基安全内参安全学习那些事安全圈黑客新闻蚁景网安实验室 IT之家IT资讯黑客新闻国外天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全《Fortinet安全监控系统曝高危漏洞遭积极利用，企业核心威胁感知能力面临失效风险》