CISA Flags Cisco Catalyst SD-WAN Manager Bugs as Actively Exploited (CVE-2026-20133)
CISA · 2026-04-21
思科 Catalyst SD-WAN Manager 爆發三個關鍵漏洞,美國 CISA 於 2026 年 4 月 20-21 日陸續列入已知被利用漏洞(KEV)目錄:
- CVE-2026-20133(敏感資訊洩露):允許遠端攻擊者檢視機密網路配置資料
- CVE-2026-20122(API 誤用導致檔案覆寫):可覆寫系統關鍵配置文件
- CVE-2026-20128(密碼可恢復儲存):以可逆方式存儲管理憑證
三個漏洞均已在野外被積極利用。攻擊者可組合利用這些漏洞獲得完整的 SD-WAN 管理環境控制權,因該平台掌控所有分支機構的網路流量路由。
應對措施:
- 聯邦民間機構修補截止日期:2026 年 4 月 23 日(最緊迫)
- 遵循 CISA 應急指令 26-03
- 參考 Cisco SD-WAN 設備加固指南
- 如無法立即修補,考慮隔離管理平面存取
Apache ActiveMQ CVE-2026-34197: 13-Year-Old RCE via Jolokia API Added to CISA KEV
The Hacker News · 2026-04-21
Apache ActiveMQ 爆發隱藏 13 年的遠端程式碼執行漏洞 CVE-2026-34197,超過 6,400 台暴露的伺服器面臨積極利用威脅。
漏洞鏈分析
漏洞透過多個功能的鏈接實現 RCE:
- Jolokia API 暴露:REST 介面開放 JMX 操作
- addNetworkConnector() 誤用:NetworkConnector 操作接受任意 URI
- VM 傳輸漏洞:crafted
vm://URI 可觸發代理程式創建 - 遠端 Spring XML 載入:從攻擊者控制的 URL 載入配置並執行
特殊情況:6.0.0-6.1.1 版本因 CVE-2024-32114(Jolokia API 無需認證)使此漏洞成為完全無需認證的 RCE。
受影響版本
- ActiveMQ Classic:< 5.19.4
- ActiveMQ Classic:6.0.0 - 6.2.2
修補與偵測
升級至 5.19.4 或 6.2.3。可在 ActiveMQ 日誌中搜尋 brokerConfig=xbean:http:// 參數識別潛在利用跡象。Fortinet FortiGuard Labs 於 4 月 14 日偵測到漏洞利用峰值。
Microsoft April 2026 Patch Tuesday: 163 CVEs Including SharePoint Zero-Day (CVE-2026-32201)
Tenable · 2026-04-21
微軟 2026 年 4 月 Patch Tuesday 修補 163 個漏洞,為該公司第二大月度安全發佈,其中 8 個評級關鍵。
重點漏洞
| CVE | 產品 | CVSS | 類型 | 說明 |
|---|---|---|---|---|
| CVE-2026-32201 | SharePoint | 6.5 | 欺騙/零日 | 已在野外被利用,CISA 要求 4/28 前修補 |
| CVE-2026-33824 | Windows IKE | 9.8 | RCE | 未認證攻擊者可透過特製封包執行程式碼 |
| CVE-2026-33825 | Defender | 7.8 | 提權 | 低權限用戶可升級至 NT AUTHORITY\SYSTEM |
| CVE-2026-33827 | TCP/IP | 8.1 | RCE | 影響同時啟用 IPv6 與 IPSec 的系統 |
CVE-2026-33825(別名 BlueHammer)由研究員 Chaotic Eclipse 公開,攻擊者透過濫用 Defender 更新程序與卷影複製功能完成提權。
漏洞類別分布
提權問題佔 57.1%,遠端程式碼執行與資訊洩露各佔 12.3%,凸顯現代 Windows 威脅景觀中提權漏洞的主導地位。
優先級:先修 CVE-2026-32201(SharePoint 零日),再處理 CVE-2026-33824(CVSS 9.8 無認證 RCE)。
Google Chrome CVE-2026-5281: Use-After-Free in WebGPU (Dawn) Exploited in the Wild
Google Chrome Releases · 2026-04-21
Google Chrome 爆發關鍵 use-after-free 漏洞 CVE-2026-5281,Google 官方確認「漏洞利用已在野外存在」。
技術細節
- 位置:Chrome 的 Dawn GPU 抽象層(WebGPU 實作)
- 類型:Use-After-Free(釋放後使用)
- 影響:GPU 處理期間操縱已釋放記憶體導致記憶體毀損,可實現瀏覽器沙箱繞過
攻擊者可透過精心設計的惡意網頁觸發漏洞,在受害者瀏覽器內獲得任意程式碼執行能力,無需任何用戶操作(零點擊或單點擊)。
受影響版本
- Linux:< 146.0.7680.177
- Windows/macOS:< 146.0.7680.177/178
立即行動
- 更新 Chrome 至最新穩定版(瀏覽器設定 → 關於 Google Chrome)
- 企業可透過政策限制 WebGPU/WebGL 高風險功能
- 啟用 EDR 行為保護監控異常瀏覽器程序行為
- 啟用 Chrome Site Isolation 降低沙箱繞過後的橫向移動風險
WebGPU 攻擊面持續擴大是當前瀏覽器安全的重要趨勢。
Fortinet FortiClient EMS Critical RCE: CVE-2026-35616 and CVE-2026-21643 Under Active Exploitation
Fortinet PSIRT · 2026-04-21
Fortinet FortiClient 企業管理伺服器(EMS)爆發兩個 CVSS 9.8 滿分的遠端程式碼執行漏洞,全球約 2,000 個暴露實例面臨威脅。
漏洞詳情
CVE-2026-35616(CVSS 9.8)
- 受影響版本:7.4.5 至 7.4.6
- 類型:不當存取控制
- 影響:未認證遠端攻擊者可執行任意程式碼
- 狀態:2026 年 4 月 4 日作為零日漏洞被公開揭露
CVE-2026-21643(CVSS 9.8)
- 受影響版本:7.4.4
- 類型:SQL injection
- 影響:透過特製 HTTP 請求實現未認證 RCE
- 狀態:Defused Cyber 偵測到積極利用活動
風險背景
FortiClient EMS 是企業端點安全的核心管理平台,負責管理 VPN 憑證、設備合規策略和安全配置。攻擊者若獲得 EMS 控制權,可向所有受管端點推送惡意配置。公開可得的 PoC(概念驗證程式碼)正加速威脅工具開發。
修補:立即升級至 7.4.7 或更高版本。如果不能立即修補,應將 EMS 管理介面隔離於 VPN 或內網存取。
CISA Adds Eight Known Exploited Vulnerabilities Including PaperCut, TeamCity, Quest KACE
CISA · 2026-04-20
CISA 於 2026 年 4 月 20 日向 KEV 目錄新增 8 個正在野外被積極利用的漏洞,涵蓋多種企業常用軟體:
重點漏洞
| CVE | 產品 | CVSS | 類型 |
|---|---|---|---|
| CVE-2023-27351 | PaperCut NG/MF | 8.2 | 認證繞過 |
| CVE-2024-27199 | JetBrains TeamCity | 7.3 | 路徑穿越 |
| CVE-2025-32975 | Quest KACE SMA | 10.0 | 不當認證(用戶模擬) |
| CVE-2025-48700 | Zimbra Collaboration | 6.1 | XSS(任意 JS 執行) |
| CVE-2026-20122/20128/20133 | Cisco SD-WAN | 多個 | 資訊洩露/RCE |
歷史背景
CVE-2023-27351(PaperCut 認證繞過)曾於 2023 年 4 月與 Lace Tempest 威脅組織相關聯,被用於部署 Cl0p 與 LockBit 勒索軟體。三年後該漏洞仍被利用,說明大量企業環境至今未完成修補。
修補截止日期:聯邦機構自 2026 年 4 月至 5 月不等,組織應優先參考 KEV 目錄進行漏洞管理優先排序。
來源:CISA, Fortinet PSIRT, Google Chrome Releases, Tenable, The Hacker News