2026-03-06 18:58:06 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档详述了战争背景下的网络空间态势，指出n8n和React2Shell等高危Web漏洞被勒索软件大规模利用，IoT与工控系统暴露面严峻。监测发现自动化攻击激增及初始访问经纪商活跃。建议立即修补高危漏洞、禁用Telnet服务、审计暴露资产并推进零信任架构建设。 综合评分： 86 文章分类： 威胁情报,漏洞预警,安全建设,IoT安全

cover_image

2026年3月5日美以、伊朗战争期间网络空间风险分析

原创

ZM ZM

暗镜

2026年3月6日 06:00 北京

报告时间： 2026年3月5日 22:18

数据来源：全球节点采集

监测范围：Web CVE、IoT/ICS、蜜罐攻击、设备识别、网络暴露面

一、Web CVE 漏洞态势 🔴

（一）高危 Web 服务漏洞实时追踪

| CVE编号 | 受影响产品 | CVSS评分 | 暴露实例数 | 风险状态 | | — | — | — | — | — | | CVE-2026-21858 | n8n 工作流自动化 | 10.0 | ~39,000+ | 🚨 持续下降但仍高危 | | CVE-2025-55182 | React2Shell/Next.js | 9.8 | ~90,300 | 🚨 勒索软件活跃利用 | | CVE-2026-23760 | SmarterMail | 9.8 | 6,000+ | 🚨 CISA KEV 收录 | | CVE-2025-40551 | SolarWinds Web Help Desk | 9.0 | ~150 | ⚠️ 主动利用中 | | CVE-2026-24061 | GNU InetUtils Telnet | 9.8 | ~800,000 | 🚨 大规模利用 |

（二）关键发现

n8n Ni8mare 漏洞：从1月9日峰值105,753个暴露实例降至3月5日的约39,000个，但仍有大量未修补系统，主要分布在美国（28,000+）和欧洲（21,000+）

React2Shell：影响82% JavaScript开发者使用的React生态，39%的云环境存在漏洞，已确认被勒索软件组织利用

Roundcube Webmail：CVE-2025-49113影响约84,000个政府和教育机构实例，已被CISA列入已知利用漏洞目录

二、IoT/ICS 工业控制系统态势 🏭

（一）关键基础设施暴露面

（二）工控系统威胁情报

CVE-2026-24061 (Telnet)：制造、医疗、政府和零售系统占Telnet使用量的75%以上，打印机、网络设备、VoIP设备和OT控制器是最常见受影响设备

Zyxel漏洞：CVE-2025-13942允许远程命令注入，影响4G LTE/5G NR CPE、DSL/Ethernet CPE、光纤ONT和无线扩展器

IoT僵尸网络：OpenClaw/Clawdbot/Moltbot实例在2月2日检测到约25,000个暴露IP，主要集中在各类云提供商

三、蜜罐攻击监测 🍯

（一）2026年3月5日最新攻击趋势

Top 被利用漏洞（按攻击频率）：

| 排名 | CVE编号 | 目标产品 | 攻击类型 | | — | — | — | — | | 91 | CVE-2022-24112 | Apache APISIX | 权限提升 | | 92 | CVE-2022-30525 | Zyxel ZTP | 命令注入 | | 93 | CVE-2024-28255 | OpenMetadata | 认证绕过 | | 94 | CVE-2023-49785 | NextChat | 数据泄露 |

（二）攻击态势分析

自动化攻击激增：GreyNoise观察到针对CVE-2026-24061的攻击在补丁发布后24小时内即开始，包括自动化攻击和”人工键盘”混合操作

Ivanti EPMM 攻击：超过28,000个源IP参与攻击，其中20,000+来自美国网络，83%的攻击会话来自单一IP（位于圣彼得堡）

初始访问经纪商活动：检测到Java类加载器被植入受损系统，表明专业初始访问经纪商正在为后续勒索软件攻击做准备

四、设备识别与暴露面 📡

（一）高风险设备类别

（二）企业软件风险

SolarWinds Web Help Desk：约150个实例暴露，已确认3家企业客户被入侵，攻击者部署Zoho Meetings和Cloudflare实现持久化

Versa Concerto：CVE-2025-34026认证绕过影响版本12.1.2-12.2.0

Zimbra：CVE-2025-68645本地文件包含漏洞影响ZCS 10.0.x和10.1.x

五、地理分布与威胁热力 🗺️

（一）高风险国家/地区（按暴露实例数）

Web CVE 暴露：

🇺🇸美国：68,400+ React2Shell实例，28,000+ n8n漏洞实例，Exchange服务器漏洞集中地

🇩🇪德国：6,700+ Exchange漏洞实例，大量Ivanti EPMM部署

🇯🇵日本：462+ Fortinet防火墙，384+ Ivanti设备

🇨🇳中国：462+ Fortinet防火墙，129+ Ivanti设备

🇷🇺俄罗斯：2,500+ Exchange实例，主要攻击源IP所在地

IoT/ICS 暴露：

亚洲：Telnet暴露重灾区，制造业设备集中

南美：遗留IoT设备密集，更新机制薄弱

欧洲：德国、荷兰政府机构受Ivanti攻击影响

六、威胁趋势与预测 📈

（一）近期关键趋势（2026年2月-3月）

| 趋势 | 描述 | 风险等级 | | — | — | — | | 供应链攻击升温 | React2Shell、SolarWinds等开发工具链漏洞被大规模利用 | 🔴 极高 | | 初始访问经纪商活跃 | Ivanti、BeyondTrust等远程访问工具成为主要目标 | 🔴 极高 | | EOL设备持续威胁 | D-Link、Zyxel等已终止支持设备仍广泛暴露 | 🟠 高 | | 云原生漏洞增长 | n8n、OpenMetadata等云工具漏洞暴露面扩大 | 🟠 高 | | 勒索软件前置活动 | 漏洞利用与勒索软件部署时间窗口缩短至数小时 | 🔴 极高 |

（二）CISA KEV 新增动态（2026年1-2月）

1月新增15项：包括CVE-2026-21858 (n8n)、CVE-2026-24061 (Telnet)、CVE-2026-20045 (Cisco)

2月新增28项：包括CVE-2026-1731 (BeyondTrust)、CVE-2026-2441 (Chrome)、CVE-2025-49113 (Roundcube)

七、安全防护紧急行动建议 🎯

（一）立即执行（24小时内）

修补 n8n 实例：升级至 1.121.0+，修复 CVE-2026-21858

禁用 Telnet：封锁TCP 23端口，迁移至SSH，修复 CVE-2026-24061

更新 React/Next.js：修复 CVE-2025-55182，防止勒索软件入侵

应用 Ivanti 补丁：秒级安装 EPMM 补丁，防止 RCE 攻击

（二）短期执行（本周内）

审计所有互联网暴露的 SmarterMail、Exchange、Fortinet 设备

检查 MongoDB 实例内存泄露漏洞 CVE-2025-14847

监控 Zyxel 设备 UPnP SOAP 请求异常

（三）战略措施（本月内）

建立 EOL 设备清单，制定替换计划

部署全球节点采集免费每日报告，获取实时威胁情报

实施零信任网络架构，减少互联网暴露面

数据来源：全球节点采集

报告生成：2026-03-05 22:18

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《2026年3月5日美以、伊朗战争期间网络空间风险分析》