2026-03-10 02:40:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该报告详述了美伊冲突背景下的网络风险，监测到CobaltStrike及Sliver等C2框架向云原生演进。Web方面ApacheStruts与Jenkins漏洞被勒索软件利用，导致供应链危机；工控领域Telnet与SiemensPLC暴露面显著增加。地缘政治因素加剧了针对关键基础设施的攻击。报告建议立即修补高危漏洞、隔离Jenkins实例、禁用Telnet服务，并建立节假日应急响应机制以降低安全风险。 综合评分： 89 文章分类： 威胁情报,漏洞预警,漏洞分析,网络安全,应急响应

cover_image

2026年3月第二周（2-8日）美伊战争期间全球网络空间风险分析报告

原创

ZM ZM

暗镜

2026年3月9日 06:00 美国 标题已修改

报告时间： 2026年3月8日 21:00 数据来源： 全球节点采集 监测范围： Frameworks/C2、Web CVE、IoT/ICS、蜜罐攻击、设备识别、网络暴露面

一、Frameworks/C2 框架与命令控制态势 🎭

（一）活跃C2框架监测

（二）C2基础设施趋势

Cobalt Strike 许可证滥用：检测到4,500+活跃团队服务器，其中38%使用破解许可证，攻击者利用周末和节假日发起”慢速”攻击以规避检测

Sliver 快速崛起：开源C2框架Sliver节点数从2,200增至2,800，攻击者利用合法远程监控管理（RMM）工具作为初始访问载体，难以区分恶意与合法流量

云原生C2：Mythic框架滥用AWS Lambda、Azure Functions等无服务器架构，C2通信伪装成正常云API调用，传统网络检测失效

Brute Ratel 针对性攻击：650个节点主要针对金融和能源行业，使用合法代码签名证书，平均驻留时间达45天

（三）C2通信协议演进

| 协议/技术 | 使用占比 | 变化趋势 | 检测难度 | | — | — | — | — | | HTTPS/TLS 1.3 | 42% | ↑ 增长 | 高 | | DNS-over-HTTPS (DoH) | 18% | ↑ 快速增长 | 极高 | | WebSocket | 15% | → 稳定 | 中高 | | ICMP隧道 | 12% | ↓ 下降 | 中 | | 域名前置 (Domain Fronting) | 8% | ↓ 下降 | 高 | | 云存储API | 5% | ↑ 新兴 | 极高 |

二、Web CVE 漏洞态势 🔴

（一）高危 Web 服务漏洞实时追踪

| CVE编号 | 受影响产品 | CVSS评分 | 暴露实例数 | 风险状态 | | — | — | — | — | — | | CVE-2026-21858 | n8n 工作流自动化 | 10.0 | ~35,000+ | 🚨 持续下降但仍高危 | | CVE-2025-55182 | React2Shell/Next.js | 9.8 | ~88,500 | 🚨 勒索软件活跃利用 | | CVE-2026-23760 | SmarterMail | 9.8 | 5,800+ | 🚨 CISA KEV 收录 | | CVE-2025-40551 | SolarWinds Web Help Desk | 9.0 | ~140 | ⚠️ 主动利用中 | | CVE-2026-24061 | GNU InetUtils Telnet | 9.8 | ~795,000 | 🚨 大规模利用 | | CVE-2026-25314 | Apache Struts | 9.8 | ~12,000+ | 🚨 新爆发 | | CVE-2026-25123 | Jenkins Core | 9.8 | ~8,500+ | 🚨 供应链攻击 |

（二）关键发现

n8n Ni8mare 漏洞：从3月5日的39,000个降至3月8日的约35,000个，修补速度放缓，剩余实例多为中小企业和边缘节点

React2Shell：暴露实例数微降至88,500，但利用复杂度降低，自动化攻击工具已集成该漏洞，勒索软件组织LockBit 3.0和BlackCat开始大规模利用

Apache Struts 新漏洞：CVE-2026-25314于3月6日披露，影响Struts 2.5.x系列，已检测到12,000+暴露实例，主要分布在美国金融和电商行业

Jenkins供应链攻击：CVE-2026-25123允许未经身份验证的RCE，影响DevOps管道，已发现攻击者植入恶意构建工件

三、IoT/ICS 工业控制系统态势 🏭

（一）关键基础设施暴露面

（二）工控系统威胁情报

CVE-2026-24061 (Telnet)：暴露数量从80万降至79.2万，但医疗影像设备和楼宇自动化系统新增暴露，医院PACS系统和智能楼宇控制器成为新目标

Siemens S7 新漏洞：CVE-2026-25888影响S7-1200/1500系列，允许中间人攻击篡改控制指令，德国汽车制造业已报告3起疑似利用事件

能源设施风险：Schneider Electric EcoStruxure平台硬编码凭证问题影响北美1,800+变电站和配电网管理系统，CISA发布ICS-CERT警告

IoT僵尸网络演进：OpenClaw变种新增Mirai代码片段，开始针对GPON路由器和智能摄像头，3月7日单日感染量增长40%

四、蜜罐攻击监测 🍯

（一）2026年3月8日最新攻击趋势

Top 被利用漏洞（按攻击频率）：

| 排名 | CVE编号 | 目标产品 | 攻击类型 | 攻击源地理 | | — | — | — | — | — | | 89 | CVE-2026-25314 | Apache Struts | OGNL注入 | 🇨🇳 东亚、🇷🇺 东欧 | | 90 | CVE-2026-25123 | Jenkins | 反序列化RCE | 🇺🇸 北美、🇧🇷 南美 | | 91 | CVE-2022-24112 | Apache APISIX | 权限提升 | 🇷🇺 东欧 | | 92 | CVE-2022-30525 | Zyxel ZTP | 命令注入 | 🇻🇳 东南亚 | | 93 | CVE-2024-28255 | OpenMetadata | 认证绕过 | 🇮🇷 中东 | | 94 | CVE-2023-49785 | NextChat | 数据泄露 | 🇰🇵 东北亚 |

（二）攻击态势分析

Struts漏洞利用激增：3月6日披露后48小时内，蜜罐捕获攻击尝试从0激增至12,000+次，攻击源主要来自东亚和东欧的托管基础设施

Jenkins针对性攻击：攻击者利用周末DevOps团队响应延迟，在周六凌晨（UTC 02:00-06:00）发起集中攻击，成功率较工作日高3倍

地缘政治关联攻击：中东来源攻击针对OpenMetadata和数据分析平台，疑似情报收集活动；东北亚攻击源聚焦NextChat等通信工具

自动化与人工混合：85%的攻击为自动化扫描，但15%显示人工操作特征，包括特定行业目标选择和攻击时间窗口优化

五、设备识别与暴露面 📡

（一）高风险设备类别

（二）企业软件风险

Palo Alto防火墙新漏洞：CVE-2026-25432于3月7日披露，影响PAN-OS 10.1.x-11.0.x，允许未经身份验证的命令注入，已检测到5,600+暴露实例，金融和医疗行业集中

Cisco零日利用：CVE-2026-20045针对统一通信管理器，攻击者通过VoIP信令漏洞植入后门，已确认2,100+实例受影响，主要为跨国企业呼叫中心

SolarWinds持续利用：暴露实例从150降至140，但攻击者转向供应链下游，通过受感染实例向客户推送恶意更新

Versa/Zimbra：利用趋势稳定，但开始出现针对特定行业的定制化攻击载荷

六、地理分布与威胁热力 🗺️

（一）高风险国家/地区（按暴露实例数）

Web CVE 暴露：

🇺🇸美国：66,200+ React2Shell实例，26,500+ n8n漏洞实例，Apache Struts金融实例集中

🇩🇪德国：6,400+ Exchange漏洞实例，Siemens S7工控漏洞新增800+实例

🇨🇳中国：15,800+ Apache Struts实例，制造业集中，C2节点活跃

🇯🇵日本：450+ Fortinet防火墙，Jenkins DevOps环境暴露增长

🇷🇺俄罗斯：2,400+ Exchange实例，主要攻击源IP所在地，Cobalt Strike节点集中

IoT/ICS 暴露：

亚洲（不含中国）：Telnet暴露重灾区，新增智能楼宇控制器风险，韩国、越南制造设备集中

南美：遗留IoT设备密集，D-Link EOL路由器新增15%暴露，巴西能源设施受关注

欧洲：德国、荷兰政府机构受Ivanti攻击影响，Siemens工控漏洞引发制造业担忧

中东：能源设施Schneider Electric暴露，地缘政治驱动针对性攻击

七、威胁趋势与预测 📈

（一）近期关键趋势（2026年3月5日-8日）

| 趋势 | 描述 | 风险等级 | | — | — | — | | Struts漏洞爆发 | CVE-2026-25314 48小时内攻击激增，金融和电商行业重点目标 | 🔴 极高 | | Jenkins供应链污染 | DevOps管道成为新攻击面，构建工件植入恶意代码 | 🔴 极高 | | C2云原生化 | 无服务器架构滥用，传统安全工具检测盲区 | 🔴 极高 | | 工控协议缺陷 | Siemens S7等底层协议漏洞，直接影响物理安全 | 🔴 极高 | | 地缘政治攻击升温 | 中东、东北亚攻击源针对性增强，关键基础设施风险 | 🟠 高 | | 周末攻击窗口 | 攻击者利用响应延迟，周六凌晨成为高风险时段 | 🟠 高 |

（二）CISA KEV 新增动态（2026年3月5日-8日）

3月6日新增5项：CVE-2026-25314 (Apache Struts)、CVE-2026-25123 (Jenkins)、CVE-2026-25888 (Siemens S7)、CVE-2026-25432 (Palo Alto)、CVE-2026-20045 (Cisco)

紧急修复期限：Struts和Jenkins漏洞要求72小时内修复，工控漏洞要求7天内隔离或修补

八、紧急行动建议 🎯

（一）立即执行（24小时内）

修补 Apache Struts：升级至 2.5.33+ 或 6.3.0+，修复 CVE-2026-25314，优先金融和电商系统

隔离 Jenkins 实例：限制网络暴露，审计近期构建工件，扫描反序列化漏洞利用痕迹

禁用 Telnet：封锁TCP 23端口，迁移至SSH，修复 CVE-2026-24061，重点医疗影像设备

应用 Palo Alto 补丁：升级 PAN-OS 至 10.1.12-h2、10.2.8-h3、11.0.4-h1，修复 CVE-2026-25432

审计 C2 通信：检查HTTPS/TLS 1.3和DoH流量异常，监控云存储API调用模式

（二）短期执行（本周内）

审计所有互联网暴露的 SmarterMail、Exchange、Fortinet、Cisco 统一通信设备

检查 MongoDB 实例内存泄露漏洞 CVE-2025-14847，限制公网访问

监控 Zyxel 设备 UPnP SOAP 请求异常，更新固件

审查 Jenkins 和 DevOps 管道安全，实施构建工件签名验证

扫描 Siemens S7 工控网络，实施网络分段和访问控制

（三）战略措施（本月内）

建立 EOL 设备清单，制定替换计划，优先D-Link和Zyxel遗留设备

部署全球节点采集免费每日报告，获取实时威胁情报，关注C2节点地理分布

实施零信任网络架构，减少互联网暴露面，微分段隔离关键资产

建立周末和节假日安全响应机制，缩短攻击窗口响应时间

评估云原生安全工具，增强对无服务器C2和DoH隧道的检测能力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《2026年3月第二周（2-8日）美伊战争期间全球网络空间风险分析报告》