一、国内网络与信息安全预警信息

（1） 病毒预警信息通报。

1.“Xidu”后门病毒正快速传播,可随意操控用户电脑

近日，据火绒威胁情报系统显示，有黑客团伙通过微信等即时通讯途径公然投递病毒，主要目标为金融、证券行业。经火绒工程师分析发现，此次病毒为日前火绒披露的后门病毒“Xidu”的变种。此次攻击事件涉及的“Xidu”病毒变种于今年2月出现，在近日快速传播，短期内又出现新变种，可见该黑客团伙异常活跃，不排除后续持续作恶的可能，请广大用户时刻保持警惕。

该黑客团伙伪装成客户，向受害目标发送带有病毒的文档或者录像文件，诱导受害目标打开，随后实施窃取信息等恶意行为，黑客团伙投递的病毒文件名均使用行业关键词，极具有欺骗性。此次火绒捕获到的多个“Xidu”变种样本，针对安全软件的免杀对抗进行了再升级，通过多层PE调用流的形式来保护其核心病毒模块，隐蔽性更强。病毒运行后会加载收集用户信息、读取键盘记录，并可随时远程控制受害者电脑。

此次黑客团伙通过诱导、欺骗等方式投递病毒，对用户造成严重威胁。请各单位注意，谨慎使用陌生人发送的文件或可执行程序，如有必要先使用安全软件扫描后再使用。

2.新的“HinataBot”僵尸网络可以发动大规模的 DDoS 攻击

近日，一个新的恶意僵尸网络被发现，它以Realtek SDK、华为路由器和Hadoop YARN服务器为目标，将设备引入到DDoS（分布式拒绝服务）群中，有可能进行大规模攻击。

这个新的僵尸网络是Akamai的研究人员今年年初在自己的HTTP和SSH蜜罐上发现的，该僵尸网络利用了CVE-2014-8361和CVE-2017-17215等漏洞。

该恶意软件通过对SSH端点进行暴力攻击或使用已知漏洞的感染脚本和RCE有效载荷进行分发。感染设备后，恶意软件会默默地运行，等待来自命令和控制服务器的命令执行。

HinataBot的旧版本支持HTTP、UDP、ICMP和TCP洪水，但较新的变体只具有前两种。然而，即使只有两种攻击模式，该僵尸网络也可以潜在地进行非常强大的分布式拒绝服务攻击。HTTP产生大量的网站请求，而UDP则向目标发送大量的垃圾流量；攻击者通过两种不同的方法来实现断网。目前，HinataBot仍在不断开发中，随时可能实施更多的漏洞并扩大其目标范围。

请各单位强化风险意识，加强安全防范，避免不必要的经济损失，及时修复相关系统漏洞，不使用弱密码或默认密码，定期更换密码。当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。

（2） 安全漏洞预警信息通报。

根据通报工作组统计国家信息安全漏洞共享平台（CNVD） 发布的漏洞周报 2023 年 9—12 期，共发布新增漏洞2072个，其中超危漏洞184个，高危漏洞616个，中危漏洞1215个，低位漏洞55个。建议各单位对照漏洞描述检查本单位网络与信息统，视情况下载补丁修补漏洞，避免造成网络安全事件。

请各单位高度重视信息系统供应链安全，建立软硬件设备供应链清单，跟踪 CNVD、CNNVD 等平台发布的漏洞情报， 及时掌握发现漏洞并联系厂商开展整改工作。重点漏洞通报如下：

WordPress Plugin Custom Add User 跨站脚本漏洞 （CNNVD-202302-2098）

WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。 WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个 应用插件。 WordPress Plugin Custom Add User 2.0.2 之前版本存在跨站 脚本漏洞，该漏洞源于在将参数输出回页面之前不会对其进行清理和 转义。攻击者利用该漏洞可执行跨站脚本攻击。 目前厂商已发布升级补丁以修复漏洞，参考链接： https://wpscan.com/vulnerability/e012f23a-7daf-4ef3-b116-d0e2ed5bd0a3

IBM Observability with Instana 访问控制错误漏洞 （CNNVD-202303-234）

IBM Observability with Instana 是美国国际商业机器（IBM） 公司的一个强大的应用程序性能监控解决方案，可以更快地跟踪性能 和解决事件。 IBM Observability with Instana 存在访问控制错误漏洞，该 漏洞源于没有对基于 Docker 的数据存储进行认证。攻击者利用该漏 洞可以通过读或写权限访问敏感数据。 目前厂商已发布升级补丁以修复漏洞，参考链接： https://www.ibm.com/support/pages/node/6959969

Google Android 安全漏洞（CNNVD-202302-2323）

Google Android 是美国谷歌（Google）公司的一套以 Linux 为 基础的开源操作系统。 Google Android 存在安全漏洞，该漏洞源于缺少边界检查，从 而导致越界写入。攻击者利用该漏洞可以升级权限。 目前厂商已发布升级补丁以修复漏洞，参考链接：

https://source.android.com/security/bulletin/2023-02-01

WordPress plugin WooCommerce Checkout Field Manager代码问题漏洞（CNNVD-202303-355）

WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。 WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个 应用插件。 WordPress plugin WooCommerce Checkout Field Manager 18.0 之前版本存在代码问题漏洞，该漏洞源于没有验证用户上传的文件。 攻击者利用该漏洞可以在服务器上上传任意文件。 目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wpscan.com/vulnerability/4dc72cd2-81d7-4a66-86bd-c9cfaf690eed

Google Chrome 缓冲区错误漏洞（CNNVD-202303-545）

Google Chrome 是美国谷歌（Google）公司的一款 Web 浏览器。 Google Chrome 111.0.5563.64 版本存在安全漏洞，该漏洞源于 Metrics 组件存在堆缓冲区溢出问题。远程攻击者利用该漏洞通过特 制的 HTML 页面可造成堆损坏。 目前厂商已发布升级补丁以修复漏洞，参考链接： https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop.html

Apache Log4j 资源管理错误漏洞（CNNVD-202303-736） Apache Log4j 是美国阿帕奇（Apache）基金会的一款基于 Java 的开源日志记录工具。 Apache Log4j 1.x 版本存在资源管理错误漏洞，该漏洞源于对 特制的哈希图或哈希表进行处理时会耗尽虚拟机中可用的内存，并在 反序列化对象时造成系统拒绝服务。 目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lists.apache.org/thread/wkx6grrcjkh86crr49p4blc1v1nflj3t

SAMSUNG Mobile Chipset 缓冲区错误漏洞（CNNVD-202303-881）

SAMSUNG Mobile Chipset 是韩国三星（SAMSUNG）公司的一系列 芯片。 SAMSUNG Mobile Chipset 和 Baseband Modem Chipset 的 Exynos 850、Exynos 980、Exynos 1080、Exynos 1280、Exynos 2200、Exynos Modem 5123、Exynos Modem 5300、Exynos Auto T5123、Exynos W920 存在缓冲区错误漏洞，该漏洞源于在解码紧急号码列表时对参数验证 不充分，从而导致基于堆的缓冲区溢出。 目前厂商已发布升级补丁以修复漏洞，参考链接： https://semiconductor.samsung.com/support/quality-support/product-security-updates/

Microsoft PostScript Printer Driver 安全漏洞 （CNNVD-202303-1010） Microsoft PostScript Printer Driver 是美国微软（Microsoft） 公司的用于 PostScript 打印机的驱动程序。 Microsoft PostScript Printer Driver 存在安全漏洞。以下产 品 和 版 本 受 到 影 响 ： Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows 10 Version 1809 for ARM64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 20H2 for x64-based Systems,Windows 10 Version 20H2 for 32-bit Systems,Windows 10 6 Version 20H2 for ARM64-based Systems,Windows 11 version 21H2 for x64-based Systems,Windows 11 version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。 目前厂商已发布升级补丁以修复漏洞，参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24913

SAP NetWeaver AS 授权问题漏洞（CNNVD-202303-1022）

SAP NetWeaver AS 是德国思爱普（SAP）公司的一款 SAP 网络应 用服务器。它不仅能提供网络服务，还是 SAP 软件的基本平台。 SAP NetWeaver AS 7.50 版本存在授权问题漏洞，该漏洞源于缺 少身份验证检查。攻击者利用该漏洞可以读取和修改敏感信息。 目前厂商已发布升级补丁以修复漏洞，参考链接： https://launchpad.support.sap.com/#/notes/3252433

WordPress Plugin 404like SQL 注入漏洞（CNNVD-202303-1522）

WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。 WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个 应用插件。 WordPress Plugin 404like 1.0.2 版本及之前版本存在 SQL 注 入漏洞，该漏洞源于程序对参数 searchWord 的处理不当导致。 目前厂商已发布升级补丁以修复漏洞，参考链接： https://github.com/wp-plugins/404like/releases/tag/1.1.0

Apache OpenOffice 参数注入漏洞（CNNVD-202303-1952）

Apache OpenOffice 是美国阿帕奇（Apache）基金会的一款开源 的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、 数据库等。 Apache OpenOffice documents 存在参数注入漏洞。攻击者利用 6 该漏洞通过使用任意参数调用内部宏的链接，激活链接后，可以执行 任意脚本。 目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lists.apache.org/thread/xr6tl91jj2jgcq8pdbrc4d8w13s6xn80

IBM Aspera 代码问题漏洞（CNNVD-202303-1637）

IBM Aspera 是美国国际商业机器（IBM）公司的一套基于 IBM FASP 协议构建的快速文件传输和流解决方案。 IBM Aspera Faspex 4.4.2 版本存在代码问题漏洞，该漏洞源于 在处理 XML 数据时容易受到 XML 外部实体注入攻击。攻击者利用该漏 洞可以执行任意命令。 目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/6964694

二、行业网络安全工作开展情况

（一）第四届国际工业信息安全应急大会在京召开

3月23日，第四届国际工业信息安全应急大会在北京召开，大会由北京市通州区人民政府与国家工业信息安全发展研究中心联合主办，工业信息安全产业发展联盟与国家网络安全产业园区（通州园）联合承办。

工业和信息化部网络安全管理局局长隋静在会上致辞表示，工业和信息化部从完善政策制度、提升服务能力、健全标准体系等方面持续推动工业领域网络安全工作，下一步将提升网络安全监测应急能力、推动分类分级管理落地见效、加强网络安全国际对话合作，开创工业领域网络安全工作新局面。

会上，中国科学院院士尹浩以“把握工业信息安全发展态势 合力应对工业信息安全挑战”为主题作主旨发言。他表示，随着工业数据的不断积累沉淀，其在赋能需求分析、过程优化、敏捷开发、营销决策等方面发挥的作用不断显现，企业生产方式、运营模式和商业范式也在发生深刻变革。因此，在搜集、存储、使用、加工、传输、销毁的全生命周期过程中的信息安全都面临着泄漏、篡改、滥用、违规、非法访问、流量异常等诸多挑战。

对此，尹浩院士提出了新形势下的应对措施，即提升工业信息安全保障能力、培育工业信息安全漏洞生态、加大工业信息安全领域核心技术创新和产业支持、推动工业信息安全产业升级、加大工业数据信息安全保护力度、强化工业信息安全领域国际交流合作等。

随后，国内外业界专家围绕工业信息安全实现路径范式选择、网络攻击防范应对、安全赋能业务发展等方面发表了主题演讲，分享了最新技术成果和实践经验。此次会议有来自中国、俄罗斯、法国、以色列等21个国家和地区的政府官员、国际组织代表、企业家、专家学者等共计200余人现场参会。

国际工业信息安全应急大会展览于22日至24日在国家网络安全产业园区（通州园）同期举行。安恒信息、绿盟科技、启明星辰、中电安科、博智安全、国泰网信等网络安全领域上市公司及专精特新“小巨人”企业参加展览。安恒信息相关负责人表示，“随着工业企业数字化、智能化转型的加速，以及工控安全事件的频发，越来越多的工业企业开始重视工业控制系统信息安全，围绕网络安全、数据安全、终端安全等领域的工业企业市场前景广阔。”

（二）工信部印发《电信领域违法行为举报处理规定》

近日，工信部印发《电信领域违法行为举报处理规定》的通知，规定所称举报，是指公民、法人或者其他组织（以下简称举报人）向电信主管部门反映电信业务经营者或者其他相关主体涉嫌违反电信监督管理有关规定线索、请求依法查处的行为。举报人委托他人代为举报的，应当提供举报人和被委托人的真实姓名（名称）、有效联系方式、相关证照以及授权委托书等材料。授权委托书应当载明委托事项、权限和期限，由举报人和被委托人签名（盖章）。

（三）国新办发布《新时代的中国网络法治建设》白皮书

白皮书介绍，进入新时代，在习近平新时代中国特色社会主义思想指引下，中国将依法治网作为全面依法治国和网络强国建设重要内容，努力构建完备的网络法律规范体系、高效的网络法治实施体系、严密的网络法治监督体系、有力的网络法治保障体系，网络法治建设取得历史性成就。中国的网络法治建设不仅有力提升了中国互联网治理能力，也为全球互联网治理贡献了中国智慧和中国方案。

（四）工信部发布关于进一步提升移动互联网应用服务能力的通知

近年来，工业和信息化部大力推动提升移动互联网应用服务质量，切实维护用户合法权益，取得积极社会成效，但部分企业服务行为不规范、相关环节责任落实不到位等问题仍时有发生。为优化服务供给，改善用户体验，维护良好的信息消费环境，促进行业高质量发展，依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规规章，通知中公布26条措施：一是聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等，针对性提出改善用户服务感知的12条措施。二是从行业协同规范发展、上下游联防共治的角度出发，抓住当前移动互联网服务的5类关键主体，即APP开发运营者、分发平台、SDK（软件开发工具）、终端和接入企业，提出14条措施。

三、3月国内外网络信息安全情况摘要

（一）首批10亿个人涉疫数据销毁

2023 年 3 月 2 日，无锡市举行涉疫个人数据销毁仪式，首批销毁 10 亿余条此前出于疫情防控及服务目的存储在城市大数据中心的个人信息数据。

（二）Microsoft Word远程代码执行漏洞 (CVE-2023-21716)

Microsoft Word的RTF解析器（wwlib）中存在远程代码执行漏洞，未经身份认证的远程攻击者可通过发送的带有特制RTF文件的电子邮件，并诱导用户打开来利用此漏洞，成功利用此漏洞可能在目标系统上以该用户权限执行代码。该漏洞存在至少14年，使用预览窗格对文件进行预览也会触发此漏洞，Outlook预览窗格可作为此漏洞攻击媒介。鉴于此产品用量较大，建议客户尽快更新至最新版本。

（三）东财交易软件反复宕机上热搜榜

3月21日早盘，东方财富交易软件出现反复“崩了“的情形，在上午10：00左右，多位网友在社交媒体爆料，东方财富软件“崩了”，无法正常登录交易，随后约半个小时后，测试发现东方财富交易软件已经恢复正常登录和交易。3月31日晚间，西藏证监局发布公告称，东方财富(22.890, 2.86, 14.28%)证券在3月21日的网络安全事件中存在论证测试不充分等问题，决定对其采取责令改正的监督管理措施。

东方财富当晚公告了该罚单，并表示，公司和东方财富证券高度重视前述问题，将严格按照西藏证监局的相关要求，深入开展整改，严肃内部问责，进一步加强研发测试、上线、升级变更及运维管理，进一步完善应急预警、处置、报告机制，确保信息系统安全平稳运行，并在规定期限内及时向监管部门提交相关报告。

（四）宏碁(Acer)约160GB的敏感数据泄露并在黑客论坛出售

中国台湾科技公司宏碁(Acer Inc.)的大量数据泄露。攻击者Kernelware在一个流行的黑客论坛上出售他们声称在2023年2月中旬从Acer窃取的160GB数据。攻击者透露被盗数据包含技术手册、软件工具、后端基础设施详细信息、BIOS映像、ROM文件、ISO文件和替换数字产品密钥(RDPK)等。作为攻击证据，攻击者公开了Acer V206HQL显示屏的技术示意图、文档、BIOS定义和机密文档的屏幕截图。Acer确认其供维修技术人员使用的文件服务器被入侵，但是客户数据并未受影响。

（五）Cisco披露YoroTrooper针对CIS国家政府和能源组织的攻击

Cisco在3月14日披露了一个新的攻击团伙YoroTrooper，主要针对独立国家联合体(CIS)国家的政府和能源组织。该团伙至少从2022年6月开始活跃，已经入侵了一个从事医疗保健的重要欧盟机构、世界知识产权组织(WIPO)和多个欧洲大使馆。YoroTrooper的工具包括商品和自定义信息窃取程序、远程访问木马和基于Python的恶意软件，感染链由恶意快捷方式文件(LNK)和可选的诱饵文件组成。

（六）Google在三星Exynos芯片组中发现18个安全漏洞

Google Project Zero在移动设备、可穿戴设备和汽车中使用的三星Exynos芯片组中发现了18个漏洞。其中4个漏洞较为严重，可导致从互联网到基带的远程代码执行，包括CVE-2023-24033和其它3个尚未分配CVE-ID的漏洞。攻击者只需要知道目标的电话号码就可以利用这些漏洞，无需与用户交互。三星已经向其它供应商提供了解决受影响芯片组中这些漏洞的安全更新，但每个制造商针对其设备的补丁时间表会有所不同。在补丁可用之前，用户可以通过禁用Wi-Fi通话和LTE语音(VoLTE)来防止基带远程代码执行攻击。

（七）AT&T某供应商被黑导致其约900万客户的数据泄露

AT&T通知约900万客户其信息已经泄露，因为它的一家营销供应商在1月份遭到了黑客攻击。泄露数据包括客户姓名、无线账号、无线电话号码和邮件地址等，以及部分客户的无线费率计划、逾期金额和付款金额等。该公司补充说，其系统并未受影响，泄露数据主要与设备升级资格有关。AT&T拒绝透露供应商的身份，但The Register表示，电子邮件营销公司Mailchimp在1月份曾遭到攻击，攻击者获得了100多个客户账户的访问权限。