企业 VPN 网关发现严重零日漏洞,管理员需紧急修补
TL;DR
企业 VPN 网关发现严重零日漏洞,管理员需紧急修补
安全团队目前正面临双重威胁。在联邦机构和私营企业之间,锁定网络基础设施的紧迫性已达到顶峰。CISA 发布了一项紧急指令——这种指令通常会让系统管理员彻夜难眠——要求所有联邦机构修补 Check Point VPN 网关中的一个高危漏洞。原因何在?因为勒索软件团伙已经开始通过这一入口大肆入侵。
与此同时,ManageEngine AD360 套件中也潜伏着一个严重的账户接管漏洞,编号为 CVE-2026-11374。对于网络防御者来说,这真是糟糕的一周。
Check Point 的情况尤为严峻。我们看到明确证据表明,Qilin 勒索软件组织正在积极利用此零日漏洞绕过身份验证,直接进入企业网络。一旦进入,后果不堪设想:数据加密、勒索以及常见的数字破坏。这份 CISA 紧急指令并非建议,而是给联邦机构下达的“三天最后通牒”,要求在横向移动演变成全面入侵之前堵住漏洞。

除了 VPN 的噩梦,还有 ManageEngine AD360 的问题。这归结为一个可预测的单点登录 (SSO) 票据生成缺陷。简单来说,未经身份验证的攻击者可以冒充合法用户。如果您正在运行 ADSelfService Plus、RecoveryManager Plus、M365 Manager Plus 或 ADAudit Plus 等集成产品,那么任何知道如何利用此架构弱点的人实际上都掌握了您系统的“万能钥匙”。该漏洞由研究人员 0xmanhnv 通过 Zoho 漏洞赏金计划发现,补丁已于 6 月中旬发布。如果您尚未更新,那么您就是在透支安全时间。
情况概述
| 漏洞 | 受影响系统 | 主要风险 |
|---|---|---|
| Check Point VPN 零日漏洞 | VPN 网关 | 身份验证绕过、勒索软件部署 |
| CVE-2026-11374 | ManageEngine AD360 套件 | 通过可预测的 SSO 令牌进行账户接管 |
这种攻击边缘设备(即位于网络边界的 VPN)的趋势是勒索软件运营商的战略转移。他们不仅在寻找进入方式,还在寻找持久的立足点。Qilin 勒索软件组织利用 Check Point 零日漏洞的行为是一个警钟。如果您的组织依赖这些特定的 VPN 产品,请立即停止阅读并核实您的版本状态。
对于 ManageEngine 套件,修复工作同样至关重要。由于此漏洞允许在整个身份管理堆栈中进行冒充,横向移动的风险极高。如果攻击者进入,他们不仅会窃取文件,还会提升权限并深入挖掘您的敏感数据核心。
建议的缓解措施
- 优先修补: 不要等待。立即应用 Check Point VPN 网关的安全补丁。如果您是联邦实体,您已经在倒计时中。
- 更新 AD360: 确保每个组件(ADSelfService Plus、RecoveryManager Plus、M365 Manager Plus 和 ADAudit Plus)运行的都是 2026 年 6 月 12 日之后发布的版本。
- 监控日志: 注意异常登录模式。如果您看到多次失败的尝试或奇怪的 SSO 行为,请假设您正受到探测。
- 锁定边界: 如果不需要将 VPN 管理界面暴露在公共互联网上,请将其隐藏。使用 IP 白名单或仅限 VPN 访问来缩小攻击面。
- 审计管理员: 检查您的管理账户。在漏洞存在期间是否有人添加了新用户?如果有,请将其视为已遭入侵。
这两个威胁清楚地提醒我们,漏洞管理不是“一劳永逸”的任务。随着攻击者不断改进利用边缘基础设施和身份软件的能力,从漏洞发现到被利用的时间间隔正在缩短至几乎为零。
不要指望自动化警报能为您完成所有工作。手动验证是确保安全的唯一途径。将您当前的软件版本与供应商的易受攻击版本列表进行交叉比对。在当前环境下,有条不紊、亲力亲为的修补工作是保护您的网络免受勒索威胁的唯一屏障。保持警惕,保持系统更新,并假设如果您不修补,其他人已经在扫描您的弱点。