从近期各类网络攻防活动开展的结果看,供应链安全和数据依然是攻击者关注的重点。从被攻击成功的案例看,通过供应链破坏整体安全防护体系的案例已经占了较大比例。这也给我们的安全工作提出了新的要求,那就是供应链的安全管理。要做好这项工作,首先需要摸清楚自己的供应链涉及范围,排查清楚后再对这些供应链环节进行管理,必要时在合同阶段引入网络安全约束,并避免出现对单一产品或供应环节的过度依赖。
近期安全事件投诉数量呈整体下降趋势。最近针对高校的钓鱼邮件攻击数据呈上升趋势。随着用户安全意识的整体提升,攻击者的攻击手段也在相应提高,钓鱼邮件内容智能化生成,导致迷惑性很大。例如伪造一封学校内部的安全管理通知,要求用户在规定时间内进行账号密码更换,而学校确实有类似的密码管理规定,这对用户的迷惑性非常大。用户一旦按照邮件的要求进行操作,就可能导致账号信息丢失。这类邮件除了给用户带来风险外,也给学校后期的安全管理工作带来不便。
2022年6月-7月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2022年8月的例行安全更新共涉及漏洞数121个,其中严重等级的17个,重要等级的102个,中等1个,低风险1个。受影响的产品包括:Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct等。其中需要关注的是Windows支持诊断工具(MSDT)远程执行代码漏洞(CVE- 2022-34713),该漏洞别称 “DogWalk”。当调用应用程序(通常是Microsoft Word)的URL协议调用MSDT时,可能导致执行任意代码。要利用该漏洞,攻击者需要引诱用户单击链接或打开文档。目前该漏洞已被检测到在野的攻击。另一个需要关注的漏洞是SMB客户端和服务器远程执行代码漏洞(CVE-2022- 35804),该漏洞存在于Windows消息块3.1.1(SMBv3)协议中。未经身份验证的远程攻击者利用该漏洞可在受影响的SMB服务器上执行代码。该漏洞仅影响Windows 11,建议用户禁用SMBv3压缩, 以防止漏洞被用来传播蠕虫。鉴于上述漏洞的危害性,建议用户尽快使用系统自带的更新功能进行补丁更新。
02
VMware官方在8月初修补了旗下产品中的10个安全漏洞,其中包括一个高危的认证旁路绕过漏洞(CVE-2022-31656)。该漏洞位于 VMware Workspace ONE Access、 Identity Manager与vRealize Automation等服务中,若攻击者可以访问到上述3项服务, 就有机会绕过身份认证,取得管理员权限。鉴于漏洞的危害性,建议相关管理员尽快进行升级。
03
8月初,F5公司发布了第三季度的安全通告,修复了名下多款产品中存在的21个安全漏洞,受影响的产品包括:BIG-IP(19 个)、BIG-IQ(3 个)、NGINX Instance Manager (1 个)、NGINX Ingress Controller(1个)。利用上述漏洞, 攻击者可实现安全功能限制绕过、权限提升、敏感信息获取或拒绝服务攻击 等。建议用户尽快进行设备升级。
04
Oracle今年7月的例行安全公告升级了316个漏洞补丁,主要涉及Oracle Mysql和Mysql组件、Oracle Communications Applications、Oracle E-Business Suite、 Oracle Fusion Middleware和Oracle BI Publisher、Oracle Communications Billing and Revenue Management、Oracle Financial Services Applications等。将这些漏洞按照危害等级进行评价,包括超危漏洞45个, 高危漏洞132个,中危漏洞133个,低危漏洞6个。建议管理员尽快确认是否受到影响,并根据影响情况及时更新。
安全提示
有消息显示,在近期的一些演练活动中暴露出了一些软件和设备的安全漏洞,其中很多漏洞属于0day性质。由于目前类似活动环节中暴露的漏洞没有公开的披露途径,所以这些漏洞的修补机制可能会存在问题。对于还在维保期的软件或硬件产品,厂商会主动联系进行升级,而对于不在维保期内的产品,可能需要用户自行采用相关措施。一个可以降低风险的机制是限制相关产品的互联网连接,以降低暴露风险。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳