2023年12月,國家網(wǎng)信辦發(fā)布了《網(wǎng)絡(luò)安全事件報告管理辦法(征求意見稿)》,提出運營者在發(fā)生網(wǎng)絡(luò)安全事件時,應(yīng)當(dāng)及時啟動應(yīng)急預(yù)案進行處置。按照《網(wǎng)絡(luò)安全事件分級指南》,屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的,應(yīng)當(dāng)于1小時內(nèi)進行報告。該規(guī)定實際上給網(wǎng)絡(luò)運營者對安全事件的發(fā)現(xiàn)和處置提出了時效性要求,對于校園網(wǎng)內(nèi)發(fā)生的網(wǎng)絡(luò)安全事件適用的級別是否能達到較大級別,還需進一步關(guān)注。
在病毒與木馬方面,近期需要關(guān)注的還是各類釣魚郵件攻擊。
2023年10月-11月CCERT安全投訴事件統(tǒng)計
微軟2023年12月的例行安全更新共包含微軟產(chǎn)品的安全漏洞37個。這些漏洞中需要特別關(guān)注的是:
Windows MSHTML平臺遠程代碼執(zhí)行漏洞(CVE-2023-35628)。攻擊者只需向用戶發(fā)送特制的電子郵件,當(dāng)用戶使用Outlook客戶端檢索和處理這些郵件時,該漏洞就可能被利用,成功利用該漏洞可以在系統(tǒng)上執(zhí)行任意代碼,并且無需用戶交互過程。
Internet連接共享(ICS)遠程代碼執(zhí)行漏洞(CVE-2023-35641)。該服務(wù)存在一個安全漏洞,攻擊者可以通過向運行ICS服務(wù)的服務(wù)器發(fā)送特制的DHCP消息來利用此漏洞。成功利用該漏洞,在同一網(wǎng)絡(luò)(同交換機)的攻擊者可以在目標(biāo)系統(tǒng)上遠程執(zhí)行任意代碼。
Microsoft ODBC驅(qū)動程序遠程執(zhí)行代碼漏洞(CVE-2023-35639)。攻擊者可以試圖誘導(dǎo)經(jīng)過身份驗證的用戶通過OLEDB連接到惡意SQL服務(wù)器,建立連接后,服務(wù)器可以向SQL客戶端發(fā)送專門惡意創(chuàng)建的回復(fù)。這可能導(dǎo)致用戶服務(wù)器接收到惡意網(wǎng)絡(luò)數(shù)據(jù)包并允許攻擊者在目標(biāo)SQL客戶端應(yīng)用程序的上下文中遠程執(zhí)行任意代碼。
Microsoft Power Platform連接器欺騙漏洞(CVE-2023-36019)。該漏洞需要用戶進行交互,用戶需要點擊攻擊者偽造的特制URL鏈接才能觸發(fā)漏洞,成功利用該漏洞可以遠程執(zhí)行任意代碼。
Skia是一個開源的2D圖形庫,它被用作Google Chrome等瀏覽器和操作系統(tǒng)的圖形引擎。Google Chrome 119.0.6045.199版本之前的Skia中存在整數(shù)溢出漏洞(CVE-2023-6345),成功利用該漏洞可能導(dǎo)致瀏覽器崩潰或執(zhí)行任意代碼。目前該漏洞已經(jīng)被發(fā)現(xiàn)存在在野的攻擊利用,Chrome官方發(fā)布緊急更新用于修補該漏洞,建議用戶將Chrome瀏覽器升級到119.0.6045.199/200版本。
蘋果公司發(fā)布了緊急安全更新,用于修補兩個在野利用的零日漏洞。這兩個漏洞(CVE-2023-42916、CVE-2023-42917)均存在于WebKit瀏覽器引擎中,前者允許攻擊者越界讀取敏感信息,后者則允許攻擊者制作惡意的網(wǎng)頁程序,在被攻擊的系統(tǒng)上通過內(nèi)存損壞漏洞執(zhí)行任意代碼。
思科近日發(fā)布了一個緊急安全公告,其網(wǎng)絡(luò)產(chǎn)品中存在一個零日漏洞(CVE-2023-20198)正在被黑客利用。
漏洞位于思科IOS XE系統(tǒng)的網(wǎng)頁后臺(Web User Interface,Web UI)中,影響所有啟用了Web UI的思科設(shè)備。攻擊者可以通過啟用的HTTP或HTTPS端口在系統(tǒng)中添加權(quán)限級別最高的賬號,進而完全控制該設(shè)備。目前廠商還未針對漏洞發(fā)布補丁程序,建議用戶關(guān)閉思科設(shè)備的Web UI功能來降低漏洞帶來的風(fēng)險。
Apache Struts 2是目前網(wǎng)絡(luò)使用較為廣泛的Web應(yīng)用框架之一。近期Apache Struts 2官方修補了一個遠程代碼執(zhí)行漏洞(CVE-2023-50164)。由于Struts 2存在文件上傳邏輯錯誤,攻擊者可以通過操控文件上傳參數(shù)來遍歷路徑或上載惡意文件,進而達到遠程代碼執(zhí)行的目的。Struts 2是底層框架,所以其漏洞修補可能會影響到上層應(yīng)用,因此相關(guān)的升級需要開發(fā)介入。若沒有持續(xù)的后續(xù)開發(fā)維護,不建議使用struts 2框架。
很多釣魚郵件的內(nèi)容已采用AI技術(shù)編寫,攻擊者會根據(jù)用戶的前序關(guān)注事件或正在進行的事件來編寫內(nèi)容,非常有針對性和迷惑性,導(dǎo)致用戶很難辨別真?zhèn)巍W(xué)校除了加大用戶宣傳外,還需做好郵件系統(tǒng)的實時監(jiān)測和應(yīng)急處置操作,在發(fā)現(xiàn)釣魚郵件時及時在郵件服務(wù)器上進行限制,降低其擴散范圍,并發(fā)送告警郵件提示用戶防范。
來源:《中國教育網(wǎng)絡(luò)》2023年11月刊
作者:鄭先偉(中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組)
