2026年1月网络安全威胁情报与漏洞分析

威胁情报新闻

MongoBleed：正在被积极利用的MongoDB关键漏洞

2025年12月19日，一个影响大多数MongoDB部署的严重漏洞MongoBleed被披露。该漏洞允许未经身份验证的攻击者泄露未初始化的堆内存，从而暴露密码和API密钥等敏感数据。公开漏洞利用代码于12月25日出现，到12月28日，广泛利用被确认。尽管进行了紧急修补，但截至12月30日的扫描显示，近70%的可公开访问实例仍然存在漏洞。考虑到有超过30万台面向互联网的MongoDB服务器以及正在进行的积极利用，风险迫在眉睫且严重。

MongoBleed影响从4.4到8.2的版本，修补程序已在指定版本中提供。建议组织立即升级或应用临时缓解措施。除了修补，检测和响应至关重要。

React2Shell：React.js中正在被积极利用的关键RCE漏洞

2025年12月3日，React服务器组件中一个关键的无身份验证远程代码执行漏洞被披露。该漏洞允许攻击者通过单个HTTP请求执行任意代码，影响了Next.js等流行框架。在几天内，就观察到了广泛的利用行为。该漏洞影响了特定版本的React服务器组件包。组织必须立即修补到指定版本，以防止RCE，并应用后续补丁以解决相关漏洞。

追踪、检测与狩猎能力

威胁情报团队创建了多个对抗追踪器，以自动识别和检测部署的恶意基础设施。团队已将特定恶意软件/威胁行为者确定为12月最活跃的。相关追踪器在12月期间识别了超过16,353个针对不同家族的新IOC。

检测改进

12月，添加或更新了多个安全检测规则。改进和新元素的示例如下：

• 新增规则，用于检测Office工具中使用procdump的行为以及滥用Azure Azcopy进行数据渗漏的行为。
• 改进了规则，以识别从消费级VPN创建的收件箱规则或识别可疑用户代理。

开放威胁情报交换

开放威胁情报交换是世界上最大的开放威胁情报共享社区之一，汇集了来自全球的威胁研究人员，他们每天向平台发布威胁信息。威胁情报团队会验证、分析并丰富这些威胁情报。OTX成员可以受益于集体研究、为社区做出贡献、分析威胁、创建公共和私人威胁情报共享小组等。

新的OTX情报脉冲

威胁情报团队根据其研究和发现，不断在OTX中发布新的情报脉冲。在12月，实验室团队创建了90个新的情报脉冲，为最新的威胁和攻击活动提供了覆盖。以下是部分最相关新脉冲的示例：

• Shai-Hulud V2对NPM供应链构成风险
• 防御React服务器组件中的CVE-2025-55182漏洞
• HoneyMyte APT现在使用内核模式Rootkit保护恶意软件
• 检测到规避性的SideWinder APT活动