2023年12月,國傢網信辦發佈了《網絡安全事件報告管理辦法(征求意見稿)》,提出運營者在發生網絡安全事件時,應當及時啟動應急預案進行處置。按照《網絡安全事件分級指南》,屬於較大、重大或特別重大網絡安全事件的,應當於1小時內進行報告。該規定實際上給網絡運營者對安全事件的發現和處置提出了時效性要求,對於校園網內發生的網絡安全事件適用的級別是否能達到較大級別,還需進一步關註。
在病毒與木馬方面,近期需要關註的還是各類釣魚郵件攻擊。
2023年10月~11月CCERT安全投訴事件統計
近期新增嚴重漏洞評述
01
微軟2023年12月的例行安全更新共包含微軟產品的安全漏洞37個。這些漏洞中需要特別關註的是:
Windows MSHTML平臺遠程代碼執行漏洞(CVE-2023-35628)。攻擊者隻需向用戶發送特制的電子郵件,當用戶使用Outlook客戶端檢索和處理這些郵件時,該漏洞就可能被利用,成功利用該漏洞可以在系統上執行任意代碼,並且無需用戶交互過程。
Internet連接共享(ICS)遠程代碼執行漏洞(CVE-2023-35641)。該服務存在一個安全漏洞,攻擊者可以通過向運行ICS服務的服務器發送特制的DHCP消息來利用此漏洞。成功利用該漏洞,在同一網絡(同交換機)的攻擊者可以在目標系統上遠程執行任意代碼。
Microsoft ODBC驅動程序遠程執行代碼漏洞(CVE-2023-35639)。攻擊者可以試圖誘導經過身份驗證的用戶通過OLEDB連接到惡意SQL服務器,建立連接後,服務器可以向SQL客戶端發送專門惡意創建的回復。這可能導致用戶服務器接收到惡意網絡數據包並允許攻擊者在目標SQL客戶端應用程序的上下文中遠程執行任意代碼。
Microsoft Power Platform連接器欺騙漏洞(CVE-2023-36019)。該漏洞需要用戶進行交互,用戶需要點擊攻擊者偽造的特制URL鏈接才能觸發漏洞,成功利用該漏洞可以遠程執行任意代碼。
02
Skia是一個開源的2D圖形庫,它被用作Google Chrome等瀏覽器和操作系統的圖形引擎。Google Chrome 119.0.6045.199版本之前的Skia中存在整數溢出漏洞(CVE-2023-6345),成功利用該漏洞可能導致瀏覽器崩潰或執行任意代碼。目前該漏洞已經被發現存在在野的攻擊利用,Chrome官方發佈緊急更新用於修補該漏洞,建議用戶將Chrome瀏覽器升級到119.0.6045.199/200版本。
03
蘋果公司發佈了緊急安全更新,用於修補兩個在野利用的零日漏洞。這兩個漏洞(CVE-2023-42916、CVE-2023-42917)均存在於WebKit瀏覽器引擎中,前者允許攻擊者越界讀取敏感信息,後者則允許攻擊者制作惡意的網頁程序,在被攻擊的系統上通過內存損壞漏洞執行任意代碼。
04
思科近日發佈了一個緊急安全公告,其網絡產品中存在一個零日漏洞(CVE-2023-20198)正在被黑客利用。
漏洞位於思科IOS XE系統的網頁後臺(Web User Interface,Web UI)中,影響所有啟用了Web UI的思科設備。攻擊者可以通過啟用的HTTP或HTTPS端口在系統中添加權限級別最高的賬號,進而完全控制該設備。目前廠商還未針對漏洞發佈補丁程序,建議用戶關閉思科設備的Web UI功能來降低漏洞帶來的風險。
05
Apache Struts 2是目前網絡使用較為廣泛的Web應用框架之一。近期Apache Struts 2官方修補了一個遠程代碼執行漏洞(CVE-2023-50164)。由於Struts 2存在文件上傳邏輯錯誤,攻擊者可以通過操控文件上傳參數來遍歷路徑或上載惡意文件,進而達到遠程代碼執行的目的。Struts 2是底層框架,所以其漏洞修補可能會影響到上層應用,因此相關的升級需要開發介入。若沒有持續的後續開發維護,不建議使用struts 2框架。
安全提示
很多釣魚郵件的內容已采用AI技術編寫,攻擊者會根據用戶的前序關註事件或正在進行的事件來編寫內容,非常有針對性和迷惑性,導致用戶很難辨別真偽。學校除了加大用戶宣傳外,還需做好郵件系統的實時監測和應急處置操作,在發現釣魚郵件時及時在郵件服務器上進行限制,降低其擴散范圍,並發送告警郵件提示用戶防范。
來源:《中國教育網絡》2023年11月刊
作者:鄭先偉(中國教育和科研計算機網應急響應組)
責編:項陽
投稿或合作,請聯系:[email protected]