网络信息安全分享(2023年5月)
一、国内网络与信息安全预警信息
(一) 病毒预警信息通报。
1.黑客利用“明星塌房”大肆传播病毒
近段时间以来,随着明星塌房事件密集曝出,有不法分子开始利用“明星塌房”来传播病毒,利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。
例如,国内杀毒软件厂商火绒发现,一种名为RdPack的病毒伪装成某热点明星私密聊天文件(XXXXX聊天记录曝光.exe),在微信群中大肆传播。该经安全人员分析发现,运行病毒后会释放并静默执行RdViewer远控软件,攻击者可通过RdViewer远控软件来操控受害者终端,并执行如文件窃取、监控麦克风和摄像头等恶意功能。
而在不久前,该厂商还发现另一款名为DcRat的后门病毒新变种,伪装成各类吸引眼球的文件,在微信等社交平台上传播,并诱导用户打开,随后实施收集信息等恶意行为。火绒官方表示,该病毒启动后,会从CC服务器下载执行shellcode,在shellcode中会内存加载.NET后门模块来躲避杀毒软件的查杀,为了防止自身暴露,病毒还会结束安全工具和安全软件进程。
但只要稍加甄别,就会发现,虽然病毒会伪装成.mp4、.png等多种格式,但无一例外最终的后缀名都是.exe的程序安装文件,只要对来路不明的.exe文件提高警惕,就能很大程度上避免此类病毒攻击。
2.Money Message勒索病毒来袭
近期,一个名为“Money Message”的新勒索软件团伙,大肆攻击全球知名企业,加密、窃取用户数据并索要巨额赎金,该团伙已攻击多家大型企业,包括年收入近十亿美元的孟加拉国家航空公司(Biman airlines),以及世界知名计算机硬件提供商微星国际(MSI)等,据称,该团伙窃取了微星数据库快照、源代码、私钥和BIOS固件等总计1.5TB的数据,并要求支付四百万美元的赎金,否则将公开窃取的数据。
Money Message勒索病毒采用强大的ECDH和ChaCha20复杂算法加密用户数据,并使用json配置文件灵活设置加密策略,该方式加密强度较高,无法破解。
当加密完成后,Money Message勒索病毒会弹出勒索信,提示用户所有数据文件已被加密,需要支付赎金来解密,若用户自行恢复数据,就会使数据文件永久性损毁。
Money Message勒索病毒不会更改文件名和扩展名,应用程序、图片等文件被加密后,会提示版本不兼容无法执行或查看,文本文件被加密后,会显示为乱码,无法阅读和使用。
请各单位强化风险意识,加强安全防范,避免不必要的经济损失,及时修复相关系统漏洞,不使用弱密码或默认密码,定期更换密码。当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
(二) 安全漏洞预警信息通报。
根据通报工作组统计国家信息安全漏洞共享平台(CNVD)发布的漏洞周报2023年13—16期,共发布新增漏洞2402个,其中超危漏洞178个,高危漏洞628个,中危漏洞1514个,低位漏洞82个。建议各单位对照漏洞描述检查本单位网络与信息统,视情况下载补丁修补漏洞,避免造成网络安全事件。
请各单位高度重视信息系统供应链安全,建立软硬件设备供应链清单,跟踪CNVD、CNNVD等平台发布的漏洞情报,及时掌握发现漏洞并联系厂商开展整改工作。重点漏洞通报如下:
Apple macOS Monterey安全漏洞(CNNVD-202303-2273)
Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。Apple macOS Monterey存在安全漏洞。攻击者利用该漏洞可导致系统意外终止或损坏内核内存。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://support.apple.com/en-us/HT213677
WordPress plugin WP Statistics SQL注入漏洞(CNNVD-202303-2217) WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin WP Statistics 14.0之前版本存在SQL注入漏洞,该漏洞源于程序在SQL语句拼接之前没有对用户输入的参数进行转义,从而导致SQL注入。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/18b7e93f-b038-4f28-918b-4015d62f0eb8
Linux kernel资源管理错误漏洞(CNNVD-202303-2640)
Linux Kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux Kernel存在资源管理错误漏洞,该漏洞源于在fs/nfsd/nfs4proc.c的nfsd4_ssc_setup_dul函数中发现存在内存释放后重用情况,从而导致系统崩溃,或者内核信息泄漏。目前厂商已发布升级补丁以修复漏洞,参考链接:
WordPress plugin WCFM Marketplace安全漏洞(CNNVD-202304-314)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin WCFM Marketplace存在安全漏洞,该漏洞源于缺少对各种AJAX操作的检查。目前厂商已发布升级补丁以修复漏洞,参考链接:
Cisco Secure Network Analytics安全漏洞(CNNVD-202304-306)
Cisco Secure Network Analytics是美国思科(Cisco)公司的一个网络流量分析(Nta)/网络检测和响应(Ndr)解决方案。用于提供对所有网络流量的实时监控。Cisco Secure Network Analytics存在安全漏洞,该漏洞源于程序对系统内存中解析到的用户数据清理不充分导致。目前厂商已发布升级补丁以修复漏洞,参考链接:
Dell Trusted Device Agent访问控制错误漏洞(CNNVD-202304-375)
Dell Trusted Device Agent是美国戴尔(Dell)公司的一个代理程序。Dell Trusted Device Agent 5.3.0之前版本存在访问控制错误漏洞,该漏洞源于该程序包含不正确的安装权限。攻击者利用该漏洞可以提升权限。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.dell.com/support/kbdoc/en-us/000209461/dsa2023-074
Apache Linkis代码问题漏洞(CNNVD-202304-618)
Apache Linkis是美国阿帕奇(Apache)基金会的一款中间件产品,可以在上层应用和底层数据引擎之间建立起有效的连接。Apache Linkis 1.3.1版本及之前版本存在代码问题漏洞,该漏洞源于程序缺乏对参数的有效过滤。攻击者利用该漏洞可以使用MySQL数据源和恶意参数触发数据反序列化,导致远程代码执行。目前厂商已发布升级补丁以修复漏洞,参考链接: https://lists.apache.org/thread/18vv0m32oy51nzk8tbz13qdl5569y55l
Microsoft Windows Network Load Balancing安全漏洞(CNNVD-202304-858) Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。Microsoft Windows Network Load Balancing存在安全漏洞。以下产品和版本受到影响:Windows Server 2012 R2,Windows Server 2012 R2(Server Core installation),Windows Server 2019,Windows Server 2016,Windows Server 2016(Server Core installation),Windows Server 2019(Server Core installation),Windows Server 2012,Windows Server 2012(Server Core installation),Windows Server 2008 for 32-bit Systems 6 Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation),Windows Server 2022,Windows Server 2022(Server Core installation)。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28240
Linux kernel安全漏洞(CNNVD-202304-1200)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在安全漏洞,该漏洞源于程序没有对用户提供的数据进行正确验证。攻击者可以利用该漏洞可以提升权限并在内核环境中执行任意代码。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/torvalds/linux/commit/05b252cccb2e5c3f56119d25de684b4f810ba4
Google Android安全漏洞(CNNVD-202304-1650)
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在安全漏洞,该漏洞源于nci_hmsgs.c组件的nci_snd_set_routing_cmd函数缺少边界检查,从而导致越界写入。攻击者利用该漏洞可以执行任意代码。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://source.android.com/security/bulletin/2023-04-01
Oracle Health Sciences Applications安全漏洞(CNNVD-202304-1545) Oracle Health Sciences Applications是美国甲骨文(Oracle)公司的一套用于医疗保健行业的临床研发解决方案。Oracle Health Sciences Applications 7.0.0.1版本及之前版本的Core组件存在安全漏洞。攻击者利用该漏洞获取对关键数据或所有Oracle Health Sciences InForm可访问数据的未授权创建、删除或修改权限,从而导致部分程序拒绝服务。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.oracle.com/security-alerts/cpuapr2023.html
Linux kernel缓冲区错误漏洞(CNNVD-202304-1726)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。6 Linux kernel存在缓冲区错误漏洞,该漏洞源于在RDMA(一种绕过远程主机操作系统内核访问其内存中数据的技术中存在越界读取问题。本地攻击者利用该漏洞可导致系统崩溃或权限提升。目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lore.kernel.org/linux-rdma/
二、行业网络安全工作开展情况
(一)四部门发布《关于开展网络安全服务认证工作的实施意见》
近日,国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合发布《关于开展网络安全服务认证工作的实施意见》(以下简称《意见》)。
为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出以下意见。
一、网络安全服务认证工作坚持“统一管理、共同实施、统一标准、规范有序”的基本原则。市场监管总局、中央网信办、工业和信息化部、公安部根据职责,加强认证工作的组织实施和监督管理,鼓励网络运营者等广泛采信网络安全服务认证结果,促进网络安全服务产业健康有序发展。
二、网络安全服务认证目录由市场监管总局会同中央网信办、工业和信息化部、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。认证规则和认证标志由市场监管总局征求中央网信办、工业和信息化部、公安部意见后另行制定发布。
三、市场监管总局、中央网信办、工业和信息化部、公安部联合组建由政府部门、科研机构、认证机构、标准化机构、网络安全服务机构和用户等相关方参与的网络安全服务认证技术委员会,协调解决认证体系建设和实施过程中出现的技术问题,研究提出认证目录、认证规则编写修订工作建议等。
四、从事网络安全服务认证活动的认证机构应当依法设立,符合《认证认可条例》《认证机构管理办法》规定的基本条件,具备从事网络安全服务认证活动的专业能力,并经市场监管总局根据各部门职责征求中央网信办、工业和信息化部、公安部意见后批准取得资质。
五、网络安全服务认证机构应当根据认证委托人提出的认证委托,按照网络安全服务认证基本规范、认证规则开展认证工作,建立可追溯工作机制对认证全过程完整记录。
六、网络安全服务认证机构应当公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态,并按照有关规定报送网络安全服务认证实施情况及认证证书信息。
七、通过认证的网络安全服务机构应当按照有关法律法规、标准规范等开展网络安全服务工作,确保持续符合认证要求。
八、市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理,依法查处认证违法行为。
九、网信部门、工业和信息化部门、公安部门依据各自职责,推动认证结果采信应用,加强网络安全服务监督管理,促进网络安全服务产业发展,依法查处有关违法行为。
(二)国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》
为促进生成式人工智能技术健康发展和规范应用,4月11日,国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》(以下简称《管理办法》)。
《管理办法》共计二十一条,其中“生成式人工智能”指的是,基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。
《管理办法》指出,利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(提供者),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。
利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。用于生成式人工智能产品的预训练、优化训练数据,应满足以下要求:
(一)符合《中华人民共和国网络安全法》等法律法规的要求;
(二)不含有侵犯知识产权的内容;
(三)数据包含个人信息的,应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形;
(四)能够保证数据的真实性、准确性、客观性、多样性;
(五)国家网信部门关于生成式人工智能服务的其他监管要求。
生成式人工智能产品研制中采用人工标注时,提供者应当制定符合本办法要求,清晰、具体、可操作的标注规则,对标注人员进行必要培训,抽样核验标注内容的正确性。
提供者还应当建立用户投诉接收处理机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求;发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。
提供者应当根据国家网信部门和有关主管部门的要求,提供可以影响用户信任、选择的必要信息,包括预训练和优化训练数据的来源、规模、类型、质量等描述,人工标注规则,人工标注数据的规模和类型,基础算法和技术体系等。
(三)五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》
近日,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会共同发布《关于调整网络安全专用产品安全管理有关事项的公告》(以下简称《公告》)。
《公告》依据《中华人民共和国网络安全法》、《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(2017年第1号)、《国家认监委 工业和信息化部 公安部 国家互联网信息办公室关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》(2018年第12号)、《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》(2022年第1号),旨在加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测,调整网络安全专用产品安全管理有关事项公告如下:
一、自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
具备资格的机构是指列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构。
国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会发布更新《网络关键设备和网络安全专用产品目录》、《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。
二、自2023年7月1日起,停止颁发《计算机信息系统安全专用产品销售许可证》(简称销售许可证),产品生产者无需申领。此前已经获得销售许可证的产品在有效期内可继续销售或者提供。
三、自2023年7月1日起,停止执行《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)和《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。
四、国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一公布和更新符合要求的网络关键设备和网络安全专用产品清单,供社会查询和使用。
(四)中央网信办等三部门印发《深入推进IPv6规模部署和应用2023年工作安排》
4月27日,中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2023年工作安排》。《工作安排》明确了2023年工作目标:到2023年末,IPv6活跃用户数达到7.5亿,物联网IPv6连接数达到3亿,固定网络IPv6流量占比达到15%,移动网络IPv6流量占比达到55%。网络、应用基础设施承载能力和服务质量均优于IPv4,云平台和内容分发网络IPv6服务覆盖范围持续拓展。“IPv6+”创新生态和标准体系更加完善,IPv6网络安全防护能力不断巩固。
三、行业网4月国内外网络信息安全情况摘要
(一)阿里云数据库曝出两个严重漏洞
安全内参4月21日消息,阿里云数据库ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一组两个严重漏洞,可用于突破租户隔离保护机制,访问其他客户的敏感数据。
(二)臭名昭著的Genesis Market暗网市场被查封
近日,臭名昭著的Genesis Market暗网市场已经被彻底捣毁。Genesis Market 是黑客社区中只接受邀请的暗网论坛,自2018年3月开始活跃,用户遍布世界各地。美国司法部(DOJ)表示,该市场估计提供了超过150万台在世界各地被入侵的电脑,包含超过8000万个账户访问凭证。
(三)西部数据遭黑客入侵,My Cloud 服务中断
西部数据(Western Digital)于当地时间4月3日公开声称,公司系统网络遭到了入侵,某未经授权的访问者获得了对多个系统的访问权限。
(四)WordPress插件曝高危漏洞,影响上千万网站
黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞,该插件已被超过1200万个网站使用。这个漏洞是由NinTechNet研究员Jerome Bruandet于2023年3月18日发现的,并在本周分享了关于如何利用与WooCommerce一起安装时可以利用此漏洞的技术细节。经过身份验证的攻击者可以利用此漏洞创建管理员帐户,方法是启用注册并将默认角色设置为’管理员’、更改管理员电子邮件地址或通过更改siteurl将所有流量重定向到外部恶意网站等多种可能性。
(五)工信部通报37款存在侵害用户权益行为APP
4月20日,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部近期组织第三方检测机构对移动互联网应用程序(APP)进行检查。截至目前,尚有37款APP未完成整改,应在4月26日前完成整改落实。逾期不整改的将依法依规组织开展相关处置工作。
(六)VMware修复vRealize Log Insight的反序列化漏洞
VMware修复了vRealize Log Insight(现称为VMware Aria Operations for Logs)中的反序列化漏洞(CVE-2023-20864)。该漏洞可在低复杂性的攻击中被远程利用,以root身份执行任意命令。其CVSSv3评分为9.8,只有版本8.10.2受此漏洞影响。此次还修复了一个命令注入漏洞(CVE-2023-20865),拥有管理权限的攻击者可利用其以root身份执行任意命令。
(七)身份验证厂商OCR Labs数据泄露,危及大量银行客户
据Cybernews报道,全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件,导致较多银行和政府客户面临安全风险。
(八)微软 Azure 曝“设计缺陷”,暴露存储账户
The Hacker News 网站披露,研究人员发现微软 Azure 中存在一个”设计缺陷 ”,一旦攻击者成功利用,便可以访问存储帐户,甚至可在内部系统环境中横向移动,执行远程代码。
The Hacker News 在与 Orca 分享的一份新报告中表示,攻击者可以利用该缺陷,通过操纵 Azure 功能窃取更高特权身份的访问令牌、横向移动、秘密访问关键业务资产和执行远程代码(RCE),甚至有可能滥用和利用 Microsoft 存储帐户。
从微软的说法来看,Azure 在创建存储帐户时会生成两个 512 位的存储帐户访问密钥,这些密钥可用于通过共享密钥授权或通过使用共享密钥签名的 SAS令牌授权对数据的访问。更危险的是,这些访问密钥可以通过操纵 Azure 功能来窃取,这就给威胁攻击者留下了升级权限并接管系统的“后门”。
因为在部署 Azure Function 应用程序时会创建一个专用存储帐户,如果使用管理员身份来调用 Function 应用程序,则可能会滥用该标识来执行任何命令。Orca 研究人员 Roi Nisimi 指出一旦攻击者获得了具有强托管身份的 Function 应用程序的存储帐户,就可以代表自己运行代码,从而获得订阅权限升级(PE),攻击者就可以者可以提升权限、横向移动、访问新资源,并在虚拟机上执行反向 shell 了。