2024年1月安全资讯
本月漏洞统计及增长情况
根据国家信息安全漏洞库(CNNVD)统计,在过去四周内新增安全漏洞共 2304个, 2024年1月21日CNNVD 采集安全漏洞 590个,与前一周(890个)相比增加了 33.71%。
近五周漏洞新增数量统计图
漏洞预警
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
经过整理分析,认为本月最具影响性的漏洞如下:
1.VMware Aria Automation和VMware Cloud Foundation 安全漏洞
漏洞信息详情:
CVE-ID:CVE-2023-34063
发布日期:2024-01-16
漏洞评估:超危
受影响系统:虚拟化平台
漏洞描述:
VMware Cloud Foundation和VMware Aria Automation都是美国威睿(VMware)公司的产品。VMware Cloud Foundation是一套一体化混合云平台。该平台包括运维自动化、基础架构自动配置和集成式生命周期管理等功能。VMware Aria Automation是一个现代工作流自动化平台,可简化并自动执行复杂的数据中心基础架构任务,以提高可延展性和敏捷性。
VMware Aria Automation和VMware Cloud Foundation 存在安全漏洞,该漏洞源于缺少访问控制,攻击者利用该漏洞可以对远程组织和工作流程进行未经授权的访问。
解决建议:
https://www.vmware.com/security/advisories/VMSA-2024-0001.html/
2. Microsoft .NET和Microsoft Visual Studio 安全漏洞
漏洞信息详情:
CVE-ID: CVE-2024-0057
发布日期:2024-01-09
漏洞评估:超危
受影响系统:Windows
漏洞描述:
Microsoft Visual Studio和Microsoft .NET都是美国微软(Microsoft)公司的产品。Microsoft Visual Studio是一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具。Microsoft .NET是一个致力于敏捷软件开发、快速应用开发、平台无关性和网络透明化的软件框架。
Microsoft .NET和Microsoft Visual Studio存在安全漏洞。攻击者利用该漏洞可以绕过某些功能。
解决建议:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057/
3. Apache Tomcat 安全漏洞
漏洞信息详情:
CVE-ID:CVE-2024-21733
发布日期:2024-01-19
漏洞评估:高危
受影响系统:服务器
漏洞描述:
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
Apache Tomcat 8.5.7版本至8.5.63版本、9.0.0-M11版本至9.0.43版本存在安全漏洞。攻击者利用该漏洞可以获取敏感信息。
解决建议:
https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
4. Redis 安全漏洞
漏洞信息详情:
CVE-ID: CVE-2023-41056
发布日期:2024-01-09
漏洞评估:超危
受影响系统:服务器
漏洞描述:
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。
Redis 7.0.9版本和7.2.4之前的7.2.x版本存在安全漏洞,该漏洞源于在某些情况下Redis可能会错误地处理内存缓冲区的大小,这可能会导致堆溢出和潜在的远程代码执行。
解决建议:
https://github.com/redis/redis/commit/e351099e1119fb89496be578f5232c61ce300224
5.Apache IoTDB 安全漏洞
漏洞信息详情:
CVE-ID:CVE-2023-46226
发布日期:2024-01-15
漏洞评估:超危
受影响系统:服务器
漏洞描述:
Apache IoTDB是美国阿帕奇(Apache)基金会的一款为时间序列数据设计的集成数据管理引擎,它能够提供数据收集、存储和分析服务等。
Apache IoTDB 1.0.0 到 1.2.2版本存在安全漏洞,攻击者利用该漏洞可以通过 UDF 执行远程代码。
解决建议:
https://lists.apache.org/thread/293b4ob65ftnfwyf62fb9zh8gwdy38hg
病毒预警
计算机病毒是人为制造的,有破坏性,又有传染性和潜伏性的,对计算机信息或系统起破坏作用的程序。它不是独立存在的,而是隐蔽在其他可执行的程序之中。
经过分析整理,认为本月最具影响性和破坏性的恶意软件如下:
1. 大批Linux设备遭到蠕虫攻击
病毒名称:
病毒类型:蠕虫
影响的平台:Linux
病毒行为:
研究人员表示,一种新的自我复制恶意软件正肆虐全球各地的Linux设备,这种恶意软件并利用复杂步骤隐藏其内部加密货币挖掘恶意软件。这种蠕虫是Mirai的定制版本,而Mirai是一种僵尸网络恶意软件,可以感染基于Linux的服务器、路由器、网络摄像头及其他所谓的物联网设备。
Mirai于2016年曝光,当时它被用来实施创纪录的分布式拒绝服务(DDoS)攻击,导致了当年互联网的关键部分瘫痪。创建者很快发布了底层源代码,此举使得全球各地的众多威胁组织能够将Mirai纳入到各自的攻击活动中。一旦操控Linux设备,Mirai便将其用作感染其他高危设备的平台,这种设计使其成为蠕虫,即意味着它会自我复制。
传统上,当一个受感染的设备扫描互联网寻找接受Telnet连接的其他设备时,Mirai及许多变种就会传播开来。然后,受感染的设备尝试通过猜测默认和常用的凭据对,以破解telnet密码。一旦成功,新感染的设备就会使用同一种技术攻击其他设备。Mirai主要用于发动DDoS攻击,垃圾流量巨大,这也给了僵尸网络一股巨大的力量。
2. VBA 脚本中发现新的 Phobos 勒索软件变种
病毒名称:FAUST
病毒类型:勒索病毒
影响的平台:Windows
病毒行为:
近期发现了一种名为“FAUST”的 Phobos 勒索软件新变种,该变种令人担忧,因为它可以在网络环境中保持持久性,并创建多个线程以实现高效执行。
研究人员在 1 月 25 日的博客文章中表示,他们通过发现一份 Office 文档发现了这一点,该文档包含旨在传播 FAUST 勒索软件的 Visual Basic (VBA) 脚本。
研究人员表示,攻击者使用 Gitea 服务存储多个以 Base64 编码的文件,每个文件都携带恶意二进制文件。当这些文件被注入系统内存时,它们会发起文件加密攻击。
Phobos 勒索软件家族于 2019 年出现,此后参与了多次网络攻击。Phobos 勒索软件通常会附加带有唯一扩展名的加密文件,并要求以加密货币支付赎金以获得解密密钥。研究人员表示,他们已经捕获并报告了 Phobos 系列的多个勒索软件变体,包括 EKING 和 8Base。
虽然建议用户不要点击可疑链接是一种基本防御措施,但显然还需要采取更强有力的措施,企业应考虑先进的网络安全策略,包括定期软件更新、员工网络安全培训以及采用全面的安全系统来检测和减轻此类威胁。
应对这种威胁的最安全方法是完全禁用 Office 中的 VBA,但是,如果这不是一个选择,组织至少可以使用 Windows 防御攻击面减少来禁用 VBA 中的‘高风险’功能,例如阻止 Office 应用程序创建子进程或创建可执行内容。
厂商动态
2024年1月10日,微软发布了2024年1月份的月度例行安全公告,修复了多款产品存在的53个安全漏洞。修复了Windows 11、Windows 10、Windows Server 2022、Windows Server 2008、SharePoint Server 2019和Office 2019等产品的漏洞。
利用上述漏洞,攻击者可进行欺骗,绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。
需重点关注的有以下漏洞:
1.1、Windows Hyper-V远程执行代码漏洞
CVE:CVE-2024-20700
严重性:严重
漏洞影响:远程代码执行
受影响的软件:
Windows 11
Windows 10
Server 2022
Server 2019
1.2、Windows Kerberos安全功能绕过漏洞
CVE:CVE-2024-20674
严重性:严重
漏洞影响:安全功能绕过
受影响的软件:
Windows 11
Windows 10
Server 2016
Server 2008
Server 2008 R2
Server 2012
Server 2012 R2
Server 2022
Server 2019
1.3、Win32k权限提升漏洞
CVE:CVE-2024-20683
严重性:重要
漏洞影响:权限提升
受影响的软件:
Windows 11
Windows 10
Server 2016
Server 2008
Server 2008 R2
Server 2012
Server 2012 R2
Server 2022
Server 2019
1.4、Windows Kernel权限提升漏洞
CVE:CVE-2024-20698
严重性:重要
漏洞影响:权限提升
受影响的软件:
Windows 11
Windows 10
Server 2022
Server 2019
1.5、Remote Desktop Client远程代码执行漏洞
CVE:CVE-2024-21307
严重性:重要
漏洞影响:远程代码执行
受影响的软件:
Windows 11
Windows 10
Server 2016
Server 2008
Server 2008 R2
Server 2012
Server 2012 R2
Server 2022
Server 2019
1.6、Windows HTML Platforms安全功能绕过漏洞
CVE:CVE-2024-20652
严重性:重要
漏洞影响:安全功能绕过
受影响的软件:
Windows 11
Windows 10
Server 2016
Server 2008
Server 2008 R2
Server 2012
Server 2012 R2
Server 2022
Server 2019
1.7、Microsoft Common Log File System权限提升漏洞
CVE:CVE-2024-20653
严重性:重要
漏洞影响:权限提升
受影响的软件:
Windows 11
Windows 10
Server 2016
Server 2008
Server 2008 R2
Server 2012
Server 2012 R2
Server 2022
Server 2019
1.8、Win32k权限提升漏洞
CVE:CVE-2024-20686
严重性:重要
漏洞影响:权限提升
受影响的软件:
Server 2022
1.9、Windows Cloud Files Mini Filter Driver权限提升漏洞
CVE:CVE-2024-21310
严重性:重要
漏洞影响:权限提升
受影响的软件:
Windows 11
Windows 10
Server 2022
Server 2019
1.10、Microsoft SharePoint Server远程执行代码漏洞
CVE:CVE-2024-21318
严重性:重要
漏洞影响:远程代码执行
受影响的软件:
SharePoint Server Subscription Edition
SharePoint Server 2019
SharePoint Enterprise Server 2016
修复建议:
(1)应及时进行MicrosoftWindows版本更新并且保持Windows自动更新开启。
(2)前往以下微软官方网站手动下载对应补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec
在当月公告链接中打开对应CVE:
下拉选择对应版本进行下载:
点击download,在弹窗中选择更新包:
2. Oracle发布2024年1月的安全公告
2024年1月16日,Oracle发布了2024年1月份的安全更新,修复了其多款产品存在的389个安全漏洞。受影响的产品包括:Oracle Database Server数据库(3个)、Oracle Audit Vault and Database Firewall(5个)、Oracle Big Data Spatial and Graph(1个)、Oracle Essbase(3个)、Oracle GoldenGate(1个)、Oracle Graph Server and Client(1个)、Oracle NoSQL Database(1个)、Oracle Commerce(5个)、Oracle Communications Applications(43个)、Oracle Communications(55个)、Oracle Construction and Engineering(6个)、电子商务套装软件Oracle E-Business Suite(19个)、Oracle Enterprise Manager(12个)、Oracle Financial Services Applications(71个)、中间件产品Fusion Middleware(39个)、Oracle Analytics(17个)、Oracle Hyperion(11个)、Oracle Java SE(13个)、Oracle JD Edwards(9个)、Oracle MySQL数据库(40个)、Oracle PeopleSoft(4个)、Oracle Retail Applications(6个)、Oracle Siebel CRM(2个)、Oracle Supply Chain(6个)、Oracle Systems(9个)和Oracle Utilities Applications(7个)。
本次安全更新涉及的漏洞中,共包括229个高危漏洞,336个可被远程利用漏洞。Oracle提醒广大用户,请及时下载补丁更新,避免引发漏洞相关的安全事件。
2.1、Oracle WebLogic Server安全功能绕过漏洞:未经身份验证的远程攻击者可通过该漏洞破坏系统完整性。
CVE:CVE-2024-20927
严重性:严重
受影响的软件:
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
2.2、Oracle WebLogic Server拒绝服务漏洞:未经身份验证的远程攻击者可通过T3, IIOP协议来利用此漏洞,成功利用此漏洞可泄露敏感信息。
CVE:CVE-2024-20931
严重性:重要
受影响的软件:
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
2.3、Oracle WebLogic Server安全功能绕过漏洞:未经身份验证的远程攻击者在诱导受害者交互后,可通过该漏洞破坏系统完整性或泄露敏感信息。
CVE:CVE-2024-20986
严重性:一般
受影响的软件:
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
安全资讯
1. 苹果修复了2024年的首个零日漏洞
本月,Apple 发布了安全更新,以解决今年首个可能针对 iPhone、Mac 和 Apple TV 攻击中所利用的零日漏洞。
修复的零日漏洞被追踪为CVE-2024-23222 [ iOS、macOS、tvOS、Safari ],是一个 WebKit 混淆漏洞,攻击者可以利用该漏洞在目标设备上获得代码执行。成功利用该漏洞后,威胁分子可以打开恶意网页后在运行易受攻击的 iOS、macOS 和 tvOS 版本的设备上执行任意恶意代码。
苹果公司尚未将这一安全漏洞的发现归因于安全研究人员,也未公布有关这些攻击的进一步细节。
Apple 通过改进 iOS 16.7.5 及更高版本、iPadOS 16.7.5 及更高版本、macOS Monterey 12.7.3 及更高版本以及 tvOS 17.3 及更高版本中的检查来解决 CVE-2024-23222。
受此 WebKit 零日漏洞影响的设备完整列表非常广泛,主要影响较旧和较新的型号,包括:
iPhone 8、iPhone 8 Plus、iPhone X、iPad 第 5 代、iPad Pro 9.7 英寸和 iPad Pro 12.9 英寸第 1 代iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini 第 5 代及更新机型、运行 macOS Monterey 及更高版本的 MacApple TV HD 和 Apple TV 4K(所有型号)。
虽然此零日漏洞可能仅用于有针对性的攻击,但Apple依旧强烈建议用户尽快进行新的安全更新。
2. 以色列最大移动运营商 Pelephone遭攻击
以色列最大移动运营商 Pelephone 的工作受到黑客活动分子的干扰,加沙仍然完全缺乏互联网。据 监控全球互联网的非营利组织 NetBlocks 称,Pelephone 网络于 1 月 23 日发生中断。“匿名苏丹”组织声称对其 Telegram 频道的袭击负责。
Pelephone 是以色列领先且历史最悠久的电信公司之一,拥有约 200 万用户。NetBlocks 援引用户报告,证实了 Pelephone 网络中断。
匿名苏丹组织声称对以色列最大的移动运营商和电信公司之一的基础设施造成了“毁灭性打击”。
匿名苏丹组织还表示,愿意为 Pelephone 网络整体健康造成的任何损害承担责任。
该组织发誓要继续对以色列发动袭击。与此同时,加沙仍然几乎完全无法接入互联网。据 NetBlocks 报道,自 1 月 22 日以来,加沙一直处于电信中断状态。该事件可能会严重限制大多数居民的沟通能力。
3. iPhone 应用程序滥用 iOS 推送通知来收集用户数据
1月25日,许多 iOS 应用程序正在使用推送通知触发的后台进程来收集有关设备的用户数据,从而可能允许创建用于跟踪的指纹配置文件。
发现这种做法的移动研究人员 Mysk 表示,这些应用程序绕过了苹果的后台应用程序活动限制,并对 iPhone 用户构成隐私风险。
在分析了 iOS 后台进程在接收或清除通知时发送哪些数据后,Mysk 发现这种做法比之前想象的要普遍得多,涉及许多拥有相当用户群的应用程序。
Apple 设计 iOS 时不允许应用程序在后台运行,以防止资源消耗并提高安全性。当不使用应用程序时,它们会被暂停并最终终止,因此它们无法监视或干扰前台活动。不过,在 iOS 10 中,苹果推出了一个新系统,允许应用程序在后台悄悄启动,以便在设备显示新的推送通知之前对其进行处理。
该系统允许接收推送通知的应用程序解密传入的有效载荷,并从其服务器下载更多内容,以丰富推送通知的内容,然后再提供给用户。完成这一步后,应用程序会再次终止。
研究人员认为,这些数据可用于指纹识别/用户特征分析,从而实现持续跟踪,而这在 iOS 系统中是被严格禁止的。
4.史上最大规模数据泄漏事件:260亿条个人信息曝光
近日安全研究人员发现了一个名为“泄漏之母”(”Mother of all Breaches,简称MOAB)的超级巨型数据泄露库,该库整合并重新索引了过去几年的泄漏数据,文件体积高达12TB,共260亿条记录,是迄今为止发现的最大规模的数据泄露事件。
这并非一般意义上的数据泄露事件,MOAB更像是一座由无数次泄露事件堆砌而成的信息宝库。研究人员推测,其背后极有可能隐藏着一个恶意行为者、数据供应商,或是某个处理大量数据的服务机构。
研究人员快速浏览泄漏数据库发现有数量惊人的来自先前数据泄露事件的记录。其中,来自中国即时通讯应用腾讯QQ的记录最多,达14亿条。此外,据称还有來自微博(5.04亿)、MySpace(3.6亿)、Twitter(2.81亿)、网易(2.61亿)Deezer(2.58亿)、LinkedIn(2.51亿)、AdultFriendFinder(2.2亿)、Adobe(1.53亿)、Canva(1.43亿)、京东(1.42亿)、VK(1.01亿)、优酷(1亿)、DailyMotion(8600万)、Dropbox(6900万)、Telegram(4100万)等众多公司和组织的记录,就连美国、巴西、德国、菲律宾、土耳其等国家的政府机构记录也未能幸免。
研究团队认为,MOAB的影响范围可能史无前例。由于许多人会重复使用用户名和密码,恶意行为者可以利用泄露信息发起大规模的凭证填充攻击。如果用户在Netflix账户和Gmail账户上使用了相同的密码,攻击者就可以利用此漏洞登录其他更敏感的账户。除此之外,被泄露数据的用户还可能成为鱼叉式网络钓鱼攻击的受害者,或收到大量垃圾邮件。
总而言之,MOAB的出现再一次敲响了网络安全警钟。我们每个人都应该提高安全意识,定期更换密码,使用不同密码保护不同的账户,并时刻警惕网络安全威胁。
5. 新的蓝牙漏洞可让黑客接管 iOS、Android、Linux 和 MacOS 设备
Android、Linux、macOS、iOS 和 Windows 中的蓝牙漏洞需格外留意,因为黑客可以利用它们未经授权访问易受攻击的设备。
蓝牙协议中的此类缺陷使威胁行为者能够窃取敏感数据、窃听通信并执行恶意操作。
网络安全专家 Marc Newlin 最近发现了一个新的蓝牙漏洞,该漏洞使威胁行为者能够接管 iOS、Android、Linux 和 MacOS 设备。
威胁参与者可以在没有用户确认的情况下利用新漏洞配对模拟蓝牙键盘并注入攻击。
安全研究人员发现并整理了影响 iOs、Android、Linux 和 macOS 的所有漏洞:
CVE-2024-0230 漏洞
CVE-2023-45866 漏洞
CVE-2024-21306 漏洞
HID 设备通过涵盖输入(按键、鼠标操作)、输出(命令、状态更改)和功能报告(设备设置)来使用报告进行通信。
这些报告与传输无关,通过 USB 或蓝牙到达主机。
已建立的蓝牙 HID 链路需要连接到两个端口。与端口 17 和 19 的键盘连接涉及配对和建立用于数据加密的链接密钥,绑定保存密钥。
同时,带外配对可通过 NFC 或 USB 等非蓝牙通道进行配对和绑定。配对功能定义主机或外围设备支持的身份验证机制,而易受攻击的设备通过支持未经身份验证的键盘配对,允许在未经用户确认的情况下进行配对。
这个问题在安卓系统上尤为明显,虽然谷歌发布了安全更新,但由于安卓系统的推送更新掌控在各家 OEM 厂商手中,因此消费者依然容易受到影响。
中国国家信息安全漏洞库:
http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台
http://www.cnvd.org.cn/
FreeBuf网络安全行业门户
https://www.freebuf.com/
嘶吼安全平台
https://www.4hou.com/
安全问题通常是复杂多变的,对文档的内容如有疑问,可以通过我公司提供的值班电话(020-88524296),向安全专家进行咨询,我们将从客观性和技术可行性角度为用户解答。
