2023年12月,国家网信办发布了《网络安全事件报告管理办法(征求意见稿)》,提出运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。该规定实际上给网络运营者对安全事件的发现和处置提出了时效性要求,对于校园网内发生的网络安全事件适用的级别是否能达到较大级别,还需进一步关注。
在病毒与木马方面,近期需要关注的还是各类钓鱼邮件攻击。
2023年10月-11月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2023年12月的例行安全更新共包含微软产品的安全漏洞37个。这些漏洞中需要特别关注的是:
Windows MSHTML平台远程代码执行漏洞(CVE-2023-35628)。攻击者只需向用户发送特制的电子邮件,当用户使用Outlook客户端检索和处理这些邮件时,该漏洞就可能被利用,成功利用该漏洞可以在系统上执行任意代码,并且无需用户交互过程。
Internet连接共享(ICS)远程代码执行漏洞(CVE-2023-35641)。该服务存在一个安全漏洞,攻击者可以通过向运行ICS服务的服务器发送特制的DHCP消息来利用此漏洞。成功利用该漏洞,在同一网络(同交换机)的攻击者可以在目标系统上远程执行任意代码。
Microsoft ODBC驱动程序远程执行代码漏洞(CVE-2023-35639)。攻击者可以试图诱导经过身份验证的用户通过OLEDB连接到恶意SQL服务器,建立连接后,服务器可以向SQL客户端发送专门恶意创建的回复。这可能导致用户服务器接收到恶意网络数据包并允许攻击者在目标SQL客户端应用程序的上下文中远程执行任意代码。
Microsoft Power Platform连接器欺骗漏洞(CVE-2023-36019)。该漏洞需要用户进行交互,用户需要点击攻击者伪造的特制URL链接才能触发漏洞,成功利用该漏洞可以远程执行任意代码。
02
Skia是一个开源的2D图形库,它被用作Google Chrome等浏览器和操作系统的图形引擎。Google Chrome 119.0.6045.199版本之前的Skia中存在整数溢出漏洞(CVE-2023-6345),成功利用该漏洞可能导致浏览器崩溃或执行任意代码。目前该漏洞已经被发现存在在野的攻击利用,Chrome官方发布紧急更新用于修补该漏洞,建议用户将Chrome浏览器升级到119.0.6045.199/200版本。
03
苹果公司发布了紧急安全更新,用于修补两个在野利用的零日漏洞。这两个漏洞(CVE-2023-42916、CVE-2023-42917)均存在于WebKit浏览器引擎中,前者允许攻击者越界读取敏感信息,后者则允许攻击者制作恶意的网页程序,在被攻击的系统上通过内存损坏漏洞执行任意代码。
04
思科近日发布了一个紧急安全公告,其网络产品中存在一个零日漏洞(CVE-2023-20198)正在被黑客利用。
漏洞位于思科IOS XE系统的网页后台(Web User Interface,Web UI)中,影响所有启用了Web UI的思科设备。攻击者可以通过启用的HTTP或HTTPS端口在系统中添加权限级别最高的账号,进而完全控制该设备。目前厂商还未针对漏洞发布补丁程序,建议用户关闭思科设备的Web UI功能来降低漏洞带来的风险。
05
Apache Struts 2是目前网络使用较为广泛的Web应用框架之一。近期Apache Struts 2官方修补了一个远程代码执行漏洞(CVE-2023-50164)。由于Struts 2存在文件上传逻辑错误,攻击者可以通过操控文件上传参数来遍历路径或上载恶意文件,进而达到远程代码执行的目的。Struts 2是底层框架,所以其漏洞修补可能会影响到上层应用,因此相关的升级需要开发介入。若没有持续的后续开发维护,不建议使用struts 2框架。
安全提示
很多钓鱼邮件的内容已采用AI技术编写,攻击者会根据用户的前序关注事件或正在进行的事件来编写内容,非常有针对性和迷惑性,导致用户很难辨别真伪。学校除了加大用户宣传外,还需做好邮件系统的实时监测和应急处置操作,在发现钓鱼邮件时及时在邮件服务器上进行限制,降低其扩散范围,并发送告警邮件提示用户防范。
来源:《中国教育网络》2023年11月刊
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳