安全态势报告-2026年5月

新增动态

• 攻击目标扩大：除此前主要针对的 ERP/OA 系统外，该变种已具备跨平台攻击能力，部分 Linux 服务器同样出现被加密案例，云环境及服务器资产正成为新的高风险目标

• 金蝶官方预警：金蝶软件已发布安全公告，确认其星空企业版私有云服务器遭到该病毒攻击，文件被加密为 .sorry 格式，并建议用户立即断开互联网、修复漏洞、做好异地备份

新增 IOC

c9efa12506b6c3a08221391a1e8e11d5

安全建议

阿里云再次提醒用户务必收敛公网暴露面、尽快完成弱口令整改及老旧 ERP/OA 系统升级。

攻击手法：SSH爆破蠕虫

此类僵尸网络以SSH弱口令爆破为入侵入口，攻击链可分为三个阶段：

• 爆破入侵：通过大规模SSH字典攻击突破云主机防线，得手后立即部署挖矿木马。

• 持久化控制：植入SSH公钥实现免密登录，并进一步使用 chattr +ia 命令将密钥文件设为不可变属性，使管理员无法删除或修改，从而达成长期控制。

• 信息回传：强化沦陷主机信息上报机制，将主机IP、系统环境、算力等数据回传至C2，便于攻击者集中调度与管理。

整体来看，此类僵尸网络在功能多样性、隐匿性和清除难度上均有明显提升。

IOC

e49c610315ff35dca6729fda138553d5

a803de211bbdc0dfae46c5e2af7b2591

安全建议

1. 强化SSH认证：修改所有弱口令为12位以上含大小写、数字、特殊字符的强密码；禁用root直接SSH登录，改用普通账户+sudo提权；优先使用SSH密钥对认证替代密码登录，并在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no。

2. 收敛暴露面：非必要不将22端口暴露于公网；若必须开放，配置安全组限制IP白名单，或通过VPN/堡垒机进行访问控制。

3. 处置已感染主机：若已被植入僵尸网络后门，请立即领取ECS专属免费安全防护，前往云安全中心【防护配置 > 病毒查杀】执行深度查杀，可自动清除恶意程序、后门文件、异常SSH公钥及持久化启动项（含被 chattr +ia 锁定的文件）。

Redis 系列高危远程代码执行漏洞

2026 年 5 月， Redis 先后暴露三个远程代码执行漏洞，均源于底层内存管理缺陷，允许经过身份验证的攻击者在特定条件下实现远程代码执行并完全控制目标系统。

1. Lua 脚本内存错误引用漏洞 （CVE-2026-23631）

当 Redis 启用 Lua 脚本功能并作为副本节点运行时，攻击者可通过主从同步机制触发内存错误引用，实现远程代码执行。该漏洞利用条件较为苛刻，需同时满足启用 Lua 脚本、副本节点未强制只读且攻击者拥有认证权限。

影响版本：Redis 7.2.0 – 7.2.9、7.4.0 – 7.4.3

2. 客户端流解锁内存错误引用漏洞（CVE-2026-23479）

该漏洞存在于 Redis 的客户端缓存功能中。当 Redis 处理客户端流解锁操作时，存在内存管理缺陷，攻击者可构造特殊请求触发错误的内存引用，最终实现远程代码执行。

影响版本：Redis 7.2.0 – 7.2.9、7.4.0 – 7.4.3、8.0.0 – 8.0.2

3. RESTORE命令无效内存访问漏洞 (CVE-2026-25243)

攻击者通过向 Redis 发送精心构造的 RESTORE 命令（用于数据恢复），可在反序列化过程中触发无效内存访问，导致服务崩溃或远程代码执行。利用前提是攻击者拥有 RESTORE 命令的执行权限。

影响版本：Redis 7.2.0 – 7.2.9、7.4.0 – 7.4.3、8.0.0 – 8.0.2

阿里云安全建议，如您正在使用Redis，建议尽快升级至官方发布的安全版本及以上，若暂无法升级，可限制 Redis 访问来源 IP 并启用 ACL 最小权限策略作为临时缓解。