美国CISA这次动作很快,直接把两个已经在野外被利用的漏洞甩到台面上,要求联邦机构赶紧打补丁。第一个是Zimbra Collaboration Suite的CVE-2025-66376,CVSS 7.2分,经典界面里的存储型XSS。攻击者只要在HTML邮件里塞进恶意的CSS @import指令,就能把恶意代码存进去。Zimbra官方去年11月就修了,10.0.18和10.1.13版本直接解决问题。可惜现在已经有人在用它搞攻击。
第二个更狠,CVE-2026-20963,CVSS直接8.8分,微软SharePoint的反序列化漏洞。未经授权的攻击者通过网络就能远程执行代码。微软今年1月补的丁。CISA给出的deadline很硬核:CVE-2025-66376必须在4月1日前搞定,CVE-2026-20963更急,3月23日之前全部补完。联邦民事执行部门(FCEB)一个都跑不掉。
目前公开情报里还没看到具体是谁在用这两个洞,也没讲清楚影响范围有多大。黑产动作总是比通报快一步,这点大家心知肚明。CISA这次罕见地把“actively exploited in the wild”写进公告,等于明着告诉大家:别拖了,赶紧动起来。
另一边,亚马逊安全团队爆了个更大的料。Interlock勒索团伙从1月26日就开始用思科防火墙管理软件的零日漏洞CVE-2026-20131(CVSS 10.0满分)搞初始访问。思科补丁公开已经是2月底的事了,这意味着攻击者足足领先一个月。亚马逊直言,Interlock专挑教育、工程、建筑、制造、医疗、政府这些领域下手,一旦业务停摆,受害者交赎金的概率就飙升。
思科这个洞属于防火墙管理界面的高危问题,能直接拿到高权限。Interlock不是第一个这么干的团伙。过去几年,勒索软件组织反复针对边缘网络设备下手,Fortinet、Ivanti、Cisco轮番上榜。零日漏洞被提前挖出来用,说明这些团伙现在舍得花钱、花时间去研究厂商没公开的弱点。拿到初始立足点后,后续横向移动、提权、加密勒索就顺理成章了。
加密市场今天整体偏绿,BTC现报$70,696(24h -4.60%),ETH现报$2,186(24h -6.01%),主流币都在跌。安全事件频发的时候,机构资金往往更谨慎,市场情绪容易跟着新闻走。勒索攻击一旦波及关键基础设施,短期内避险情绪肯定会更浓。
回过头看CISA的通报节奏,今年以来已经多次点名活跃漏洞,从Wing FTP到现在的Zimbra和SharePoint,基本都是“已知被利用”就立刻推Known Exploited Vulnerabilities目录。思科这个零日更扎心,亚马逊把时间线掰得清清楚楚,等于给所有用思科设备的组织敲警钟:补丁日程再紧急,也赶不上黑产的速度。
边缘设备依然是重灾区。防火墙、邮件服务器、协作平台,这些东西暴露在公网上,稍有漏洞就等于开门揖盗。Interlock能提前一个月用零日,说明供应链攻击的趋势只会越来越猛。防守方现在不是比谁补丁快,而是得假设自己已经被盯上,从日志、流量、权限全方位查漏补缺。
现实很骨感。很多中小型组织根本没能力实时跟进这些高危补丁,联邦机构有CISA盯着还能硬性要求,民营企业就只能靠自己。CVE-2026-20131这种满分零日一旦流出,估计很快就会出现在更多勒索团伙的工具包里。安全团队的压力只会越来越大。