随着疫情的稳定,各高校都将逐步恢复正常的教学和科研状态,校园网的利用率也将随之提高,对应的网络安全事件数量也将恢复到疫情前的水平,网络安全运维工作要做好相应的准备。
近期针对VMware虚拟化平台的勒索病毒呈上升趋势,目前有多个攻击未及时升级的VMware ESXi平台的勒索病毒在欧洲和美国传播,国内同样也存在大量未升级的VMware ESXi平台系统,需防范类似的攻击发生。
2023年1月-2月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2023年1月的例行安全更新共涉及漏洞数98个,其中严重等级的11个,重要等级的87个。漏洞的类型包括39个提权漏洞、4个安全功能绕过漏洞、33个远程代码执行漏洞、10个信息泄露漏洞、10个拒绝服务漏洞和2个身份假冒漏洞。
受影响的产品包括:Windows 11 22H2(64个)、Windows 11(64个)、Windows Server 2022(61个)、Windows 10 22H2(63个)、Windows 10 21H2(63个)、Windows 10 20H2(63个)、Windows 8.1 & Server 2012 R2(48个)、Windows Server 2012(46个)、Windows RT 8.1(48个)和Microsoft Office-related software(7个)。这些漏洞中有1个0day漏洞,Windows Advanced Local Procedure Call(ALPC)权限提升漏洞(CVE-2023-21674)。利用该漏洞,本地攻击者可以绕过系统沙箱限制,以system的权限执行任意命令。鉴于上述漏洞带来的风险,建议用户尽快使用系统自带的更新功能进行更新。另外需要提醒用户注意的是,Windows 7和Windows 8.1的延期扩展安全支持(ESU)于2013年1月10日结束,自此日期后,这两个版本的系统将不会再获取任何安全更新。同时IE11也将在2月停止支持,用户必须停用IE,改用Edge浏览器。
02
Oracle发布了2023年一季度的安全公告,本次公告共修补了Oracle公司旗下多款产品中涉及的327个安全漏洞,其中有217个属于高危漏洞,300个可以远程利用。涉及的产品包括Oracle Database Server数据库、电子商务套装软件Oracle E-Business Suite、中间件产品Fusion Middleware、Oracle MySQL数据库等。其中Oracle WebLogic Server远程代码执行漏洞(CVE-2023-21839)需要特别引起注意,该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,进而完全控制该服务。建议使用相关产品的用户尽快进行升级。
03
Adobe Acrobat/Reader是目前网络上使用最多的PDF编辑和阅读软件,Adobe Acrobat/Reader 22.003.20282(及更早版本)、22.003.20281(及更早版本)和20.005.30418(及更早版本)中存在一个任意代码执行漏洞,可能导致以当前用户的身份执行任意代码。攻击者要利用该漏洞,需要引诱用户打开特制的PDF文件。建议用户尽快将自己的Acrobat/Reader升级到最新版本。
04
F5公司发布了最新的安全通告,提示用户其BIG-IP产品中存在一个任意代码执行漏洞(CVE-2023-22374)。该漏洞存在于iControl SOAP中,是一个格式字符串漏洞。经过身份验证的攻击者可利用该漏洞使iControl SOAPCGI进程崩溃,或执行任意代码,这可能导致用户绕过设备的安全限制去进行未授权的访问。目前F5公司还在进行补丁的开发工作,在没有补丁程序之前,可以通过限制对系统iControl SOAP API的访问来降低相关的风险。更多信息请随时关注厂商官方的公告。
05
ISC官方发布了BIND程序的最新版(9.16.37、9.18.11、9.19.9),用于修补之前版本中存在的多个安全漏洞(CVE-2022-3094、CVE-2022-3736、CVE-2022-3924)。如果攻击者向DNS服务器发送特定查询数据,可能会触发上述漏洞,导致系统内存被占满或守护进程崩溃,进而造成拒绝服务攻击。建议使用相关软件的管理员尽快更新到最新版本。
安全提示
VMware的ESXi是高校使用较为广泛的虚拟化平台软件之一。如果高校使用的ESXi不是正版化的产品,可能会存在升级困难的问题。使用非正版途径获取的VMware ESXi软件会带来法律层面和网络安全层面的双重风险。建议有相关虚拟化需求的用户尽可能采购使用正版化的软件,以便在网络安全方面得到更多保障。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳