近期网络安全形势较为平稳,无重大的安全事件发生。
在8-9月受理的安全投诉事件中,拒绝服务攻击的数量有上升趋势,目前大部分的拒绝服务攻击类型仍以反射放大攻击为主。在病毒与木马方面,近期没有新增特别需要关注的木马病毒,需要关注的还是各类钓鱼邮件攻击。
2022年8月-9月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2022年10月的例行安全更新共涉及漏洞数96个,其中严重等级的15个,重要等级的73个,中危等级的5个,低危等级的3个。这些漏洞中有两个属于0day漏洞,分别是Windows COM+事件系统服务权限提升漏洞(CVE-2022-41033)和Office信息泄露漏洞(CVE-2022-41043),其中,CVE-2022-41033已经发现在野的攻击利用行为,CVE-2022-41043的相关漏洞细节也被公布。鉴于上述漏洞的危害性,建议用户尽快使用系统自带的更新功能进行补丁更新。需要提醒的是,微软在10月发布的Win11累积性补丁包(22H1及22H2)可能导致Win11系统在进行安全连接时TSL/SSL的握手协议出现错误,从而无法与服务器端建立安全连接,导致网络中断。不过目前微软已经推送了新版本的补丁包来修补这个缺陷。
02
10月初,微软的Exchange Server被曝存在两个0day漏洞正在被积极利用,一个是服务端请求伪造漏洞(CVE-2022-41040),另一个是远程代码执行漏洞(CVE-2022-41082)。攻击者会先利用前一个漏洞伪造合法请求,发送到Exchange Server服务上,触发第二个漏洞远程执行特定代码,进而控制相关服务器。成功的攻击需要攻击者在Exchange Server上拥有一个合法的邮件账户。目前微软正在积极开发相关的补丁程序,但是相关补丁并未包含在10月的例行更新中。建议Exchange Server的管理员随时关注厂商的更新动态。在没有补丁程序之前,建议可以在防火墙上限制对Exchange Server服务的TCP 5985和5986端口访问,因为上述攻击需要通过这两个端口进行。
03
ISC在9月底发布了BIND的安全更新,用于解决之前版本中存在的6个安全漏洞。其中4个为高危级别的拒绝服务攻击漏洞,漏洞编号分别是CVE-2022-2906、CVE-2022-38177、CVE-2022-3080、CVE-2022-38178,利用这些漏洞均可导致BIND的程序无法提供正常服务。所幸目前漏洞的具体信息还未被披露,也未发现在野的攻击行为。建议DNS的管理员尽快对自己的BIND程序进行升级。
04
Mozilla在9月底发布安全更新以解决Firefox、Firefox ESR和Thunderbird中的漏洞,攻击者可以利用其中一些漏洞来控制受影响的系统。更新中包含Firefox浏览器的7个漏洞(3个为高危等级)补丁,Thunderbird邮件客户端的3个漏洞(1个为高危等级)。建议使用相关软件的用户尽快进行更新升级。
05
VMware vCenter Server是VMware公司的高级服务器管理软件,提供了一个集中式平台来控制vSphere环境,以实现跨混合云的可见性管理模式。10月初VMware公司发布了紧急更新补丁用于修补vCenter Server中的一个反序列化漏洞(CVE-2022-31680),利用该漏洞可以让具备虚拟机管理权限的账号穿透vCenter到虚拟平台的底层执行任意命令。建议vCenter管理员尽快进行更新。
06
Fortinet的安全产品是目前使用较为广泛的安全产品之一。最近Fortinet官方发布安全公告,修复了其多个产品中存在的身份验证绕过漏洞(CVE-2022-40684),目前该漏洞已经被积极利用。在受影响的FortiOS、FortiProxy和FortiSwitchManager产品的管理界面中,攻击者利用该漏洞,可以在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。建议相关产品的管理员尽快联系厂商进行技术更新。
安全提示
年度的各类攻防演练活动近期都进入了总结阶段,从各类实战攻防的结果看,供应链已经成为一个非常有效的攻击路径。因为各类供应链的管理水平参差不齐,通过供应链往往可以很轻松地突破原本比较严密的防守策略。供应链已经成为整个安全体系中最容易出问题的环节。将供应链环节纳入到整个安全体系中进行管控迫在眉睫。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳