九年老漏洞还在被攻击，安全补丁到底卡在哪

2026年3月，安全研究员追踪到31个被主动利用的高危漏洞。这个数字本身不算惊人——但当你发现其中一个是2017年的"老古董"，而另一个则是思科防火墙的零日漏洞时，事情变得有意思了。

为什么"老漏洞"比"新漏洞"更值得警惕

CVE-2017-7921，海康威视摄像头的一个漏洞，今年9岁了。

它还在被攻击。不是偶尔，是"actively exploiting"——持续、主动的利用。

Recorded Future的分析指出，这个细节暴露了一个被忽视的真相：企业漏洞管理的真实状态，和纸面合规之间隔着巨大的鸿沟。

安全团队常犯一个错误——按CVE编号判断风险优先级。2025年的高危？立即处理。2017年的？"应该都修了吧"。

攻击者反过来利用这种心理。未打补丁的老系统往往监控更弱、防护更松，成为横向移动的跳板。

「Defenders should never dismiss an older CVE based on its date alone」，Recorded Future的分析师强调，「what matters is whether it can still be reached and exploited」。

reachable（可达性）和exploitable（可利用性），这两个指标比发布日期重要十倍。

31个漏洞中，29个被评为"Very Critical"风险等级。更关键的是：全部31个在3月内都观察到了主动利用，安全团队的响应窗口被压缩到极限。

零日漏洞的供应链攻击：Interlock如何突破思科防线

本月最重大的安全事件，指向Interlock勒索软件组织。

他们瞄准的是Cisco Firepower Management Center（FMC），一款广泛部署的企业级网络安全管理平台。漏洞编号CVE-2026-XXXX（原文未完整披露），性质为零日——补丁发布前已被利用。

FMC的定位很关键。它不是边缘防火墙，而是"管理中枢"：集中配置、监控、分析整个网络的安全策略。

攻破它意味着什么？攻击者获得了网络安全的"上帝视角"：可以看到所有安全规则，可以修改检测逻辑，可以让威胁在监控盲区自由穿行。

Interlock的选择体现了勒索软件组织的战术进化。早期勒索软件随机加密，后来转向高价值目标（医院、学校、关键基础设施），现在开始前置攻击——先瘫痪安全基础设施本身，再实施勒索。

这种"先 blind，再 encrypt"的模式，大幅提高了受害者的恢复成本和支付意愿。

原文未披露具体入侵规模，但"widely deployed"和"one of the most damaging campaigns tracked in recent months"的定性描述，说明影响范围远超单一企业。

漏洞武器化的速度正在碾压防御节奏

10个漏洞在发现时已有公开的概念验证代码（PoC）。这是3月数据的另一个刺眼数字。

PoC公开到大规模利用的时间差，正在从"月"压缩到"周"甚至"天"。

Recorded Future的Insikt Group本月为两个新漏洞制作了Nuclei检测模板：

• CVE-2026-27483：MindsDB的路径遍历漏洞

• CVE-2026-27944：Nginx UI的关键认证绕过

还有一个案例更值得细品：CVE-2025-68613（n8n自动化平台漏洞）。PoC模板去年12月已公开，攻击者等到今年3月才大规模利用。

这三个月的"休眠期"是什么？攻击者的侦察期、目标筛选期、还是工具链整合期？

无论答案是什么，它揭示了一个残酷现实：公开PoC不等于立即风险，但"未被利用"的状态随时可能翻转。安全团队不能因为没有攻击报告就放松警惕。

远程代码执行的"九头蛇"：哪些产品在名单上

31个漏洞中，9个支持远程代码执行（RCE）。涉及厂商名单读起来像一份科技巨头目录：

Google、Microsoft、Apple、Langflow、Craft CMS、Laravel、n8n、SolarWinds。

这个分布说明两件事：

第一，RCE漏洞的产出高度集中在基础软件层——操作系统、开发框架、自动化平台。这些是数字经济的"基础设施"，一处漏洞影响千家应用。

第二，攻击者的技术栈偏好正在变化。Langflow（AI工作流平台）、n8n（自动化工具）的出现，反映了对"AI/自动化基础设施"的新兴趣。

企业正在用这些工具快速搭建AI应用，但安全审计往往滞后于业务需求。

Microsoft和Apple合计占受影响产品的32%。这个比例不意外——市场份额决定攻击面——但值得追问的是：为什么两大巨头的漏洞管理成熟度，没能转化为更低的被利用率？

可能的解释：他们的产品渗透太深，即使补丁发布率很高，遗留实例的绝对数量仍然庞大。或者，攻击者针对这些平台开发了更精密的绕过技术。

移动端的"全链攻击"：DarkSword和三个幽灵载荷

两个漏洞和一个多组件攻击工具包，与活跃的恶意软件活动直接关联。

最复杂的是DarkSword——针对iOS的完整利用链（full-chain exploit），投递三个载荷：GHOSTKNIFE、GHOSTSABER、GHOSTBLADE。

"Full-chain"在移动安全领域是顶级技术门槛。它意味着从初始入口（通常是浏览器或消息应用）到最终系统权限的完整突破，不需要用户交互或多次诱导。

iOS的安全架构以"纵深防御"著称：沙盒、代码签名、指针认证、硬件级加密层层叠加。DarkSword的突破说明攻击者已经找到链式利用的路径，或者掌握了未被公开的漏洞组合。

三个载荷的命名风格（GHOST前缀）暗示同一组织的模块化工具库。KNIFE可能是持久化模块，SABER负责权限提升，BLADE执行最终payload——这种分工符合高级持续威胁（APT）的操作特征。

原文未披露目标人群或地理分布，但iOS全链利用的开发成本极高，通常指向国家级背景或顶级犯罪组织，而非普通勒索软件团伙。

从数据到行动：安全团队的三条优先级

31个漏洞、20余家厂商、9年未修的老洞、零日供应链攻击、移动端全链利用——3月的安全图景呈现明显的"不对称"特征：攻击者的协调性和资源投入，正在超越防御者的响应能力。

基于Recorded Future的分析，三条行动建议：

第一，重新定义"漏洞优先级"。

停止按CVSS分数或发布日期排序。引入"可达性扫描"：这个漏洞对应的资产，在我们的网络拓扑中是否暴露？是否有 compensating control（补偿控制）？

CVE-2017-7921的教训是：9年前的漏洞，如果资产还在、还在联网、还没打补丁，风险等同于零日。

第二，缩短PoC到检测规则的时间差。

Insikt Group的Nuclei模板策略值得借鉴：当PoC公开时，检测规则应该同步就绪，而不是等攻击发生后再逆向。

安全团队需要建立"PoC监控-规则开发-灰度验证"的自动化流水线。

第三，重新评估"安全基础设施"的安全。

Interlock对Cisco FMC的攻击揭示了一个盲点：我们花大量预算保护业务系统，但管理这些保护措施的"元系统"本身，是否得到了同等级别的防护？

SIEM、SOAR、防火墙管理面板、漏洞扫描器——这些工具的权限往往高于业务系统，却常被默认信任。

3月的漏洞数据不是终点，而是压力测试的样本。攻击者正在证明：速度、协调性和对防御弱点的精准打击，可以抵消技术债务的累积优势。

安全行业的回应，不能只是更快的补丁——而是重新设计假设：假设 breach（入侵已发生），假设安全工具已被渗透，假设老漏洞永远不会消失。

在这个前提下，构建韧性（resilience）而非完美防御，可能是更现实的路径。