2026年1月重大漏洞威胁情报与分析

2026年1月更新
我们是威胁情报部门，由全球威胁研究人员和数据科学家团队组成，结合数据分析和机器学习（ML）领域的专有技术，分析着世界上规模最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报，为弹性的威胁检测和响应提供支持——即使组织的攻击面扩大、技术演进、对手改变其战术、技术和程序。
我们的月度更新提供最新的威胁新闻，包括对USM Anywhere检测功能的最新更新，以及在我们公开威胁情报交换平台上发布的新威胁情报，该平台是全球最大的开放式威胁情报共享社区之一。

威胁情报新闻

MongoBleed：被积极利用的关键MongoDB漏洞
2025年12月19日，MongoDB中一个严重的漏洞被披露，该漏洞名为MongoBleed（CVE-2025-14847），影响大多数MongoDB部署。该漏洞被评为CVSSv4 8.7分，允许未经身份验证的攻击者泄漏未初始化的堆内存，从而暴露密码和API密钥等敏感数据。公开的漏洞利用于12月25日出现，到12月28日，已确认存在广泛利用。尽管进行了紧急修补，但12月30日的扫描显示，近70%的公开可访问实例仍然存在漏洞，导致数千个组织面临风险。目前有超过300,000台面向互联网的MongoDB服务器，且存在活跃利用，风险是直接且重大的。
MongoBleed影响版本4.4至8.2，补丁已在8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30版本中提供。敦促组织立即升级或应用临时缓解措施，例如禁用zlib压缩请求并执行严格的网络分段（从互联网阻止TCP/27017端口）。除修补外，检测和响应至关重要：取证指标包括通过db.serverStatus().asserts和FTDC遥测数据观察到的用户断言激增。

React2Shell (CVE-2025-55182)：React.js中被积极利用的关键RCE漏洞
2025年12月3日，React Server Components中一个关键的无认证远程代码执行漏洞CVE-2025-55182（React2Shell）被披露，其CVSS v3评分为10.0，CVSS v4评分为9.3。该漏洞最初由Lachlan Davidson报告，允许攻击者通过单个HTTP请求执行任意代码，影响Next.js等流行框架。在几天内，观察到了广泛的利用，包括网络犯罪活动者和疑似间谍组织。已知的活动部署了MINOCAT、SNOWLIGHT、HISONIC和COMPOOD等恶意软件家族，以及XMRIG加密货币挖矿程序。地下论坛迅速传播PoC代码和扫描工具，推动了快速的武器化，包括内存中的Next.js Web Shell和Unicode混淆的有效负载。
React2Shell影响19.0、19.1.0、19.1.1和19.2.0版本的react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopackReact Server Component软件包。组织必须立即修补至19.0.1、19.1.2或19.2.1（或更高）版本以防止RCE，并应用后续补丁（19.2.2–19.2.3）以解决相关漏洞（CVE-2025-55183, CVE-2025-55184, CVE-2025-67779）。其他缓解措施包括部署WAF规则、审计依赖项中是否存在易受攻击的组件，以及监控危害指标，例如隐藏目录（$HOME/.systemd-utils）、恶意Shell注入和未经授权的持久化机制。

跟踪、检测与狩猎能力
我们团队创建了以下对手跟踪器，以自动识别和检测部署的恶意基础设施：VenomRat、NanoCore、Amadey和Vidar。
团队已将以下恶意软件/威胁行为者确定为12月份最活跃的。
图 1. 2025年12月恶意软件趋势。
我们的跟踪器已为其跟踪的不同家族识别了超过16,353个新IOC。12月份最繁忙的跟踪器包括：
图 2. 2025年12月来自跟踪器的新IOC。

USM Anywhere检测改进
在12月，我们添加或更新了15项USM Anywhere检测。以下是开发和改进的几个示例：

• 新增规则，用于检测Office工具中procdump的使用以及滥用Azure Azcopy进行数据渗透。
• 改进了O365规则，以识别来自消费级VPN创建的收件箱规则或识别可疑用户代理。
  请访问成功中心以获取完整的改进、新元素、发现的问题和创建的任务列表。

公开威胁情报交换平台
公开威胁情报交换平台（OTX）是全球最大的开放式威胁情报共享社区之一，由来自全球140个国家的330,000名威胁研究人员组成，他们每天向平台发布威胁信息。我们对这些威胁情报进行验证、分析和丰富。OTX成员受益于集体研究，可以为社区做出贡献，分析威胁，创建公共和私人威胁情报共享小组等。在此处了解有关OTX、其好处以及如何加入的更多信息。

新的OTX脉冲
我们团队根据他们的研究和发现，正在OTX中持续发布新的脉冲。脉冲是关于威胁、威胁行为者、活动等的交互式可搜索信息库，其中包含对成员有用的妥协指标（IoC）。12月，实验室团队创建了90个新脉冲，为最新的威胁和活动提供覆盖。以下是几个最具相关性的新脉冲示例：

• Shai-Hulud V2对NPM供应链构成风险
• 防御React Server Components中的CVE-2025-55182（React2Shell）漏洞
• HoneyMyte APT现在使用内核模式Rootkit保护恶意软件
• 检测到规避性SideWinder APT活动
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）