网络信息安全分享(2023年10月)
一、 国内网络与信息安全预警信息
(一) 病毒预警信息通报。
窃密病毒“JS Botnet”
“JS Botnet”是一种通过网页检测用户行为,窃取网民信息的窃密程序。。攻击者利用虚假色情网站,通过在其网页中植入Cloud9 JavaScript Botnet 来控制用户浏览器,之后窃取浏览器Cookie、进行键盘记录、发起挖矿,甚至利用用户电脑发起DDoS攻击并通过远程投递漏洞利用代码执行载荷进而完全控制用户电脑。
Cloud9 Botnet售卖者还提供了控制台模块,攻击者利用控制台能够实现对被攻击设备的管理,其部分功能包括:命令功能示例、当前执行任务、捕获日志、编辑执行任务、在线Bot列表、网络日志。
感染此类恶意扩展或无意中访问到这类站点,不仅会泄露隐私,还可能造成浏览器被迫挖矿,成为攻击的“肉鸡”发动各类攻击。更有风险被投递漏洞攻击代码,造成整个电脑被黑客控制。
对于此类攻击,建议开启安全软件的网页防护功能,避免在不知情情况下,电脑被攻击。
(二)安全漏洞预警信息通报
根据通报工作组统计国家信息安全漏洞库(CNNVD) 发布的漏洞周报 2023 年 35—38 期,共发布新增漏洞1831个,其中超危漏洞210个,高危漏洞515个,中危漏洞1055个,低位漏洞51个。建议各单位对照漏洞描述检查本单位网络与信息统,视情况下载补丁修补漏洞,避免造成网络安全事件。
请各单位高度重视信息系统供应链安全,建立软硬件设 备供应链清单,跟踪 CNVD、CNNVD 等平台发布的漏洞情报, 及时掌握发现漏洞并联系厂商开展整改工作。重点漏洞通报如下:
WordPress plugin Forminator 代码问题漏洞(CNNVD-202308-2285)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Forminator 1.24.6版本及之前版本存在代码问题漏洞,该漏洞源于upload_post_image()函数允许将文件上传到服务器后会再进行文件类型验证。攻击者利用该漏洞可以在受影响站点的服务器上上传任意文件,从而远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
Mozilla Firefox 安全漏洞(CNNVD-202308-2392)
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 存在安全漏洞。攻击者利用该漏洞可以执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/
Linux kernel 安全漏洞(CNNVD-202308-2226)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在安全漏洞,该漏洞源于在nftables子组件中发现包含内存释放后重用问题。攻击者利用该漏洞导致系统崩溃和敏感信息泄露。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lore.kernel.org/netdev/20230810070830.24064-1-pablo@netfilter.org/ SAMSUNG Mobile devices 安全漏洞(CNNVD-202309-431)
SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。SAMSUNG Mobile devices 6.24.2.011之前版本存在安全漏洞,该漏洞源于输入验证不正确。攻击者利用该漏洞可以写入任意文件。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://security.samsungmobile.com/serviceWeb.smsb?year=2023&month=09
Google Chrome 安全漏洞(CNNVD-202309-419)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 116.0.5845.179之前版本存在安全漏洞。攻击者利用该漏洞通过特制的HTML页面可执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop.html
WordPress plugin Media from FTP 安全漏洞(CNNVD-202309-241)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Media from FTP 11.17之前版本存在安全漏洞,该漏洞源于权限管理不当。攻击者利用该漏洞可以移动文件位置或执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/0d323b07-c6e7-4aba-85bc-64659ad0c85d
SAP BusinessObjects Business Intelligence Platform 信息泄露漏洞(CNNVD-202309-912)
SAP BusinessObjects Business Intelligence Platform是德国思爱普(SAP)公司的一款完备的商务分析平台。该平台集SAP 数据整合产品、数据管理产品和商务智能 (BI) 产品于一身,可消除系统集成难题,快速、轻松地部署高性能的商务分析软件。SAP BusinessObjects Business Intelligence Platform 420、430版本存在信息泄露漏洞。攻击者利用该漏洞可以查看受到限制的敏感信息,从而对机密性、完整性和可用性造成严重影响。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html
Microsoft SharePoint 安全漏洞(CNNVD-202309-807)
Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员及其信息。
Microsoft SharePoint存在安全漏洞。攻击者利用该漏洞可以提升权限。以下产品受到影响:Microsoft SharePoint Enterprise Server 2016,Microsoft SharePoint Server 2019,Microsoft SharePoint Server Subscription Edition。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36764
WordPress plugin wpDataTables 代码问题漏洞(CNNVD-202309-761)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin wpDataTables 2.1.66之前版本存在代码问题漏洞,该漏洞源于在反序列化数据之前不会验证输入数据。攻击者利用该漏洞可反序列化任意数据,从而可以远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/1ab192d7-72ac-4f12-8a51-f28ee4db91bc
Mitsubishi Electric FA engineering software 安全漏洞(CNNVD-202309-1930)
Mitsubishi Electric FA engineering software是日本三菱电机(Mitsubishi Electric)公司的一个工程软件。提供提高设计和调试的效率,减少停机时间和保护数据。
Mitsubishi Electric FA engineering software存在安全漏洞,该漏洞源于默认权限分配错误。攻击者利用该漏洞可以执行恶意代码,可能导致信息泄露、篡改、删除或拒绝服务。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-010_en.pdf
IBM Personal Communications 安全漏洞(CNNVD-202309-2015)
IBM Personal Communications是美国国际商业机器(IBM)公司的用于 Microsoft Windows 的主机通信和终端仿真包。现在具有完整的 64 位架构,具有虚拟终端 (VT) 仿真和系统网络架构 (SNA) 应用程序支持,并提供一个访问不同主机系统上的数据和应用程序的平台。
IBM Personal Communications 14.05版本、14.06版本和15.0.0版本存在安全漏洞,该漏洞源于访问控制不当。攻击者利用该漏洞可将权限升级为SYSTEM用户。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/7031707
SAMSUNG Memory Card & UFD Authentication Utility PC Software 代码问题漏洞(CNNVD-202309-1173)
SAMSUNG Memory Card & UFD Authentication Utility PC Software是韩国SAMSUNG公司的一款存储卡和 UFD 身份验证实用程序。
SAMSUNG Memory Card & UFD Authentication Utility PC Software 1.0.1之前版本存在安全漏洞。本地攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://semiconductor.samsung.com/support/quality-support/product-security-updates/
二、 行业网络安全工作开展情况
(一)《信息系统密码应用设计指南》等4项网络安全国家标准获批发布
根据2023年9月7日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第9号),全国信息安全标准化技术委员会归口的4项国家标准正式发布。具体清单如下:
(二)国家标准《信息安全技术 网络安全保险应用指南》公开征求意见
信安秘字〔2023〕132号
全国信息安全标准化技术委员会归口的国家标准《信息安全技术 网络安全保险应用指南》现已形成标准征求意见稿。
根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站
(三)中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》
日前,中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》(以下简称《指导意见》),对网络侵权信息举报工作进行系统谋划和整体安排,旨在维护保障广大网民网络合法权益。
中央网信办有关负责人指出,近年来,网络侵权信息时有出现、屡禁不绝,扰乱网络传播秩序,侵害网民网络合法权益,社会反映强烈。网络侵权信息举报工作是网信部门践行网上群众路线的重要举措。制定出台《指导意见》,对推动网络生态治理,更好维护保障广大网民网络合法权益具有重要意义。
中央网信办有关负责人指出,《指导意见》明确网络侵权信息举报工作两大任务。一是切实保护公民个人网络合法权益。要求各地网信部门把握举报受理重点内容和重点领域;建立网络暴力信息举报快速处置通道,从严处置首发、首转、多发、煽动传播网络暴力信息的账号;加强特殊群体网络合法权益保护,优先保护未成年人网络合法权益。二是切实维护企业网络合法权益。要求开设线上涉企举报专区,健全举报查证机制,强化举报政策指导,重点受理处置侵害企业及企业家名誉的虚假不实信息、违法网站和账号,优化网上营商环境,支持各类企业做大做优做强。
中央网信办有关负责人强调,网络侵权成本低、维权成本高,是当前网民举报维权过程中面临的难点问题。《指导意见》要求各地网信部门优化举报服务,完善制度规范,统一研判标准,强化技术支撑,健全处置机制,满足广大网民多层次多样化举报需求。要求各地网信部门压紧压实网站平台主体责任,指导属地网站平台完善分级分类处置举措,建立“限时加私”“争议标签”等工作机制,提升处置效果;严格督导检查,加大惩处力度。
(四)两高一部发布《关于依法惩治网络暴力违法犯罪的指导意见》
最高人民法院、最高人民检察院、公安部9月25日联合发布《关于依法惩治网络暴力违法犯罪的指导意见》(下称《意见》)。依照《意见》规定,检察机关对严重危害社会秩序和国家利益的侮辱、诽谤犯罪行为,应当依法提起公诉,对损害社会公共利益的网络暴力行为可以依法提起公益诉讼。
《意见》要求,准确适用法律,针对网络暴力的不同行为方式,分别以诽谤罪、侮辱罪、侵犯公民个人信息罪等定罪处罚。《意见》指出,基于蹭炒热度、推广引流等目的,利用互联网用户公众账号等推送、传播有关网络暴力违法犯罪的信息,符合刑法规定的,以非法利用信息网络罪定罪处罚。网络服务提供者对于所发现的有关网络暴力违法犯罪的信息不依法履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播或者有其他严重情节,符合刑法规定的,以拒不履行信息网络安全管理义务罪定罪处罚。
《意见》要求,对网络暴力违法犯罪,应当体现从严惩治精神,让人民群众充分感受到公平正义。要重点打击恶意发起者、组织者、恶意推波助澜者以及屡教不改者。实施网络暴力违法犯罪,具有以下五种情形之一的,依法从重处罚:针对未成年人、残疾人实施的;组织“水军”、“打手”或者其他人员实施的;编造“涉性”话题侵害他人人格尊严的;利用“深度合成”等生成式人工智能技术发布违法信息的;网络服务提供者发起、组织的。
《意见》强调,根据刑法第二百四十六条第二款的规定,实施侮辱、诽谤犯罪,严重危害社会秩序和国家利益的,应当依法提起公诉。对于网络侮辱、诽谤是否严重危害社会秩序,应当综合侵害对象、动机目的、行为方式、信息传播范围、危害后果等因素作出判定。同时,《意见》还明确,网络服务提供者对于所发现的网络暴力信息不依法履行信息网络安全管理义务,致使违法信息大量传播或者有其他严重情节,损害社会公共利益的,人民检察院可以依法向人民法院提起公益诉讼。
《意见》还就落实协助取证、加强立案监督、强化衔接配合、促进综合治理等作出明确规定。
各省、自治区、直辖市高级人民法院、人民检察院、公安厅(局),解放军军事法院、军事检察院,新疆维吾尔自治区高级人民法院生产建设兵团分院、新疆生产建设兵团人民检察院、公安局:
现将《关于依法惩治网络暴力违法犯罪的指导意见》予以印发,请认真贯彻执行。执行中遇到的重大问题,请分别报告最高人民法院、最高人民检察院、公安部。
三、9月国内外网络信息安全情况摘要
(一) 国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚
经查实,知网(CNKI)主要运营主体为同方知网(北京)技术有限公司、同方知网数字出版技术股份有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司三家公司,其运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。 9月1日,国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网(CNKI)违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网(CNKI)依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
(二)酒店巨头米高梅遭受勒索软件攻击
全球娱乐和酒店业巨头米高梅国际酒店集团(MGM Resrts International)遭到勒索软件攻击,其网站、预订系统和酒店电子钥匙卡系统受到严重影响。从恶意软件存储库 vx-underground 发布的推文来看,此次攻击活动幕后黑手是 ALPPV 勒索软件集团。该勒索软件团伙在 LinkedIn 上找到一名美高梅酒店的内部员工,然后致电服务台,数十分钟后,一个价值 339 亿美元的集团公司就被社工攻击“击穿了。
(三)网攻西北工业大学的美国安局人员真实身份锁定
14日,《环球时报》从国家计算机病毒应急处理中心和360获悉,在侦办西北工业大学网络攻击案过程中,我方成功提取了名为“二次约会”(Second Date)“间谍”软件的多个样本。在多国业内伙伴通力合作下,现已成功锁定对西北工业大学发起网络攻击的美国国家安全局工作人员的真实身份。
(四)思科以280亿美元现金收购Splunk
2023年9月21日,思科宣布以每股157美元的价格全现金收购网络安全公司Splunk。人工智能技术快速崛起是促成本次收购的主要原因之一。这是思科公司有史以来最大的一笔收购,也是该公司向软件和网络安全领域转型突围的标志性事件。
(五)Windows内核权限提升漏洞 (CVE-2023-35359)
Windows 内核权限提升漏洞(CVE-2023-35359)细节、POC及EXP在互联网上公开:由于Windows发生未处理的异常时,程序将尝试唤醒Windows错误报告(WER)服务进行日志记录和分析。当唤醒失败时,故障程序将创建一个WerFault.exe子进程来收集程序特定的信息。当故障程序是模拟当前用户的特权进程时,可以使用伪造的DOS设备映射来劫持进程创建,并以高完整性执行任意代码,最终实现权限提升。
(六)Mozilla紧急修补Firefox和Thunderbird中的WebP零日漏洞
Mozilla周二发布了安全更新,修复了Firefox和Thunderbird中的零日漏洞。该漏洞被标记为CVE-2023-4863,是WebP图像格式中的堆缓冲区溢出漏洞,在处理特制图像时可能导致任意代码执行。
(七)关于Linux kernel安全漏洞情况的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 安全漏洞(CNNVD-202309-2146、CVE-2023-42753)情况的报送。成功利用漏洞的攻击者可导致系统崩溃或提升本地用户权限。linux kernel 6.6、linux kernel 7.0、linux kernel 8.0、linux kernel 9.0等版本均受漏洞影响。目前,Linux官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
(八)关于libwebp开源库存在远程代码执行漏洞的安全公告
2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞(CNVD-2023-73247,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执行任意代码或敏感信息未授权访问。目前,该漏洞的利用细节和测试代码已公开,开源库厂商已发布新版本完成修复。CNVD建议受漏洞影响的产品(服务)厂商、信息系统运营者和用户尽快进行修复。