2023年12月安全资讯
本月漏洞统计及增长情况
根据国家信息安全漏洞库(CNNVD)统计,在过去四周内新增安全漏洞共 2430个, 2023年12月17日CNNVD 采集安全漏洞 872个,与前一周(682个)相比增加了 27.86%。
近五周漏洞新增数量统计图
漏洞预警
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
经过整理分析,认为本月最具影响性的漏洞如下:
1.Apache Dubbo 代码问题漏洞
漏洞信息详情:
CVE-ID:CVE-2023-29234
发布日期:2023-12-15
漏洞评估:超危
受影响系统:服务器
漏洞描述:
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。
Apache Dubbo 3.1.0至3.1.10版本,3.2.0至3.2.4版本存在代码问题漏洞,该漏洞源于存在反序列化漏洞。
解决建议:
https://cn.dubbo.apache.org/zh-cn/download/
2. Huawei HarmonyOS 安全漏洞
漏洞信息详情:
CVE-ID: CVE-2023-46773
发布日期:2023-12-05
漏洞评估:超危
受影响系统:HarmonyOS
漏洞描述:
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。
Huawei HarmonyOS 存在安全漏洞,该漏洞源于模块存在权限管理漏洞。成功利用此漏洞可能导致提权。
解决建议:
https://consumer.huawei.com/cn/support/bulletin/2023/12/
3. Google Android 安全漏洞
漏洞信息详情:
CVE-ID:CVE-2023-40082
发布日期:2023-12-04
漏洞评估:超危
受影响系统:Android
漏洞描述:
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。
Google Android 存在安全漏洞,该漏洞源于 system 中的漏洞可能远程代码执行。
解决建议:
https://openvpn.net/security-advisory/access-server-security-update-cve-2023-46849-cve-2023-46850/
4. EspoCRM 代码问题漏洞
漏洞信息详情:
CVE-ID: CVE-2023-5966
发布日期:2023-11-30
漏洞评估:超危
受影响系统:服务器
漏洞描述:
EspoCRM是一套开源的基于Web的客户关系管理系统(CRM)。该系统提供销售自动化、社区和客户支持等功能。
EspoCRM 7.2.5 版本存在代码问题漏洞,该漏洞源于存在任意 PHP 代码执行。
解决建议:
https://www.espocrm.com/es/
5.Sudo 安全漏洞
漏洞信息详情:
CVE-ID:CVE-2023-42465
发布日期:2023-12-22
漏洞评估:超危
受影响系统:Linux、Unix
漏洞描述:
Sudo是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序。
Sudo 1.9.15 之前版本存在安全漏洞,该漏洞源于容易受到 ROWHAMMER 攻击,可以绕过SUDO身份验证。
解决建议:
https://github.com/sudo-project/sudo/commit/7873f8334c8d31031f8cfa83bd97ac6029309e4f
病毒预警
计算机病毒是人为制造的,有破坏性,又有传染性和潜伏性的,对计算机信息或系统起破坏作用的程序。它不是独立存在的,而是隐蔽在其他可执行的程序之中。
经过分析整理,认为本月最具影响性和破坏性的恶意软件如下:
1. 新型 AsyncRAT 攻击活动爆发
病毒名称:AsyncRAT
病毒类型:远程访问木马
影响的平台:Windows
病毒行为:
2023 年 12 月,全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司发布了其 2023 年 11 月《全球威胁指数》报告。上月,研究人员发现了一起新型 AsyncRAT 攻击活动,其中恶意 HTML 文件被用来传播隐蔽的恶意软件。
AsyncRAT 是一种远程访问木马 (RAT),因能够在不被察觉的情况下远程监控和操纵计算机系统而备受关注。该恶意软件在上个月前十排行榜中位列第六,它利用 PowerShell 和 BAT 等多种文件格式实施进程注入。在上个月发现的 AsyncRAT 攻击活动中,收件人会收到一封包含嵌入式链接的电子邮件,一旦点击链接,便会触发下载一个恶意 HTML 文件,继而引发一系列事件。这意味着该恶意软件可以将自身伪装成受信任的应用以逃避检测。
与此同时,下载程序 FakeUpdates 在沉寂两个月后重返头号恶意软件排行榜。该恶意软件的分发框架使用 JavaScript 编写,通过部署受感染的网站来诱骗用户运行虚假的浏览器更新,并通过许多其他恶意软件引致进一步破坏。
AsyncRAT 攻击活动的爆发和 FakeUpdates 的卷土重来都凸显了一种趋势,即攻击者开始利用看似简单的方法绕过传统防御机制。这表明企业需要采用多层防护方法,不仅要识别已知威胁,还要能够识别、防御和响应新型攻击向量,以防患于未然。
2. Microsoft Office老漏洞正在被利用
病毒名称:Agent Tesla
病毒类型:远程木马
影响的平台:Windows
病毒行为:
近期,攻击者在网络钓鱼活动中积极利用六年多前首次发现的 Microsoft Office 漏洞来传播Agent Tesla恶意软件。
Agent Tesla 是一种基于.NET的高级键盘记录器和远程访问木马,能够收集敏感数据并将其传输到攻击者的远程服务器,犯罪分子正在使用伪装成发票的虚假Excel文档来欺骗用户。
Microsoft Office 公式编辑器中存在一个编号为 CVE-2017-11882 ( CVSS 7.8) 的漏洞,允许攻击者执行任意恶意代码,开受感染的 Excel 文件后,即使没有用户交互,也会开始下载其他恶意组件。
首先,恶意软件会加载一个模糊的Visual Basic脚本,然后下载一个带有加密 DLL 的 JPG 文件。 McAfee于 2023 年9月详细描述了这种隐写术方法 。为了最终启动恶意软件,DLL 文件被嵌入到Windows程序集注册工具(RegAsm.exe) 中。
安全专业人员必须不断更新自己的感染技术知识库,并更新使用的实际软件,以防止黑客利用已有数十年历史的安全漏洞。这是有效保护网络环境的有效方法。
厂商动态
2023年12月12日,微软官方发布了12月份的风险通告,微软官方强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
本月更新公布了36个漏洞,漏洞类型包括特权提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。
需重点关注的有以下漏洞:
1.1、Microsoft Power Platform Connector 欺骗漏洞
CVE:CVE-2023-36019
严重性:严重
1.2、Internet Connection Sharing (ICS) 远程代码执行漏洞
CVE:CVE-2023-35630
严重性:严重
1.3、Internet Connection Sharing (ICS) 远程代码执行漏洞
CVE:CVE-2023-35641
严重性:严重
1.4、Windows MSHTML Platform 远程代码执行漏洞
CVE:CVE-2023-35628
严重性:严重
1.5、Azure Connected Machine Agent 权限提升漏洞
CVE:CVE-2023-35624
严重性:高危
1.6、Azure Machine Learning Compute Instance for SDK 用户信息泄露漏洞
CVE:CVE-2023-35625
严重性:高危
1.7、AMD:CVE-2023-20588 AMD 推测性泄露安全通知
CVE:CVE-2023-20588
严重性:高危
1.8、Windows Bluetooth Driver 远程代码执行漏洞
CVE:CVE-2023-35634
严重性:高危
1.9、Microsoft Dynamics 365 Finance and Operations 拒绝服务漏洞
CVE:CVE-2023-35621
严重性:高危
1.10、Microsoft Dynamics 365 (on-premises) 跨站点脚本漏洞
CVE:CVE-2023-36020
严重性:高危
1.11、Microsoft Outlook 信息泄露漏洞
CVE:CVE-2023-35636
严重性:高危
1.12、Microsoft Outlook for Mac 欺骗漏洞
CVE:CVE-2023-35619
严重性:高危
1.13、Microsoft Word 信息泄露漏洞
CVE:CVE-2023-36009
严重性:高危
1.14、Microsoft WDAC OLE DB provider for SQL Server 远程代码执行漏洞
CVE:CVE-2023-36006
严重性:高危
1.15、Windows DNS 欺骗漏洞
CVE:CVE-2023-35622
严重性:高危
1.16、Windows Cloud Files Mini Filter Driver 特权提升漏洞
CVE:CVE-2023-36696
严重性:高危
1.17、Microsoft Defender 拒绝服务漏洞
CVE:CVE-2023-36010
严重性:高危
1.18、DHCP Server Service 信息泄露漏洞
CVE:CVE-2023-35643
严重性:高危
1.19、DHCP Server Service 拒绝服务漏洞
CVE:CVE-2023-35638
严重性:高危
1.20、DHCP Server Service 信息泄露漏洞
CVE:CVE-2023-36012
严重性:高危
1.21、Windows DPAPI(数据保护应用程序编程接口)欺骗漏洞
CVE:CVE-2023-36004
严重性:高危
1.22、Internet Connection Sharing (ICS) 拒绝服务漏洞
CVE:CVE-2023-35642
严重性:高危
1.23、Windows Ancillary Function Driver for WinSock 特权提升漏洞
CVE:CVE-2023-35632
严重性:高危
1.24、Windows 内核特权提升漏洞
CVE:CVE-2023-35633
严重性:高危
1.25、Windows 内核拒绝服务漏洞
CVE:CVE-2023-35635
严重性:高危
1.26、Windows Sysmain Service 权限提升
CVE:CVE-2023-35644
严重性:高危
1.27、Local Security Authority Subsystem Service 特权提升漏洞
CVE:CVE-2023-36391
严重性:高危
1.28、Windows 内核拒绝服务漏洞
CVE:CVE-2023-35635
严重性:高危
1.29、Windows Media 远程代码执行漏洞
CVE:CVE-2023-21740
严重性:高危
1.30、Microsoft ODBC Driver 远程代码执行漏洞
CVE:CVE-2023-35639
严重性:高危
1.31、Windows Telephony Server 权限提升漏洞
CVE:CVE-2023-36005
严重性:高危
1.32、Microsoft USBHUB 3.0 Device Driver 远程代码执行漏洞
CVE:CVE-2023-35629
严重性:高危
1.33、Win32k 特权提升漏洞
CVE:CVE-2023-36011
严重性:高危
1.34、Win32k 特权提升漏洞
CVE:CVE-2023-35631
严重性:高危
1.35、XAML Diagnostics 特权提升漏洞
CVE:CVE-2023-36003
严重性:高危
影响范围:
Windows Media
Microsoft Edge (Chromium-based)
Microsoft Office Outlook
Microsoft Dynamics
Microsoft Windows DNS
Azure Connected Machine Agent
Azure Machine Learning
Windows MSHTML Platform
Windows USB Mass Storage Class Driver
Windows Internet Connection Sharing (ICS)
Windows Win32K
Windows Kernel
Microsoft Bluetooth Driver
Windows DHCP Server
Windows ODBC Driver
Windows Kernel-Mode Drivers
XAML Diagnostics
Windows DPAPI (Data Protection Application Programming Interface)
Windows Telephony Server
Microsoft WDAC OLE DB provider for SQL
Microsoft Office Word
Windows Defender
Microsoft Power Platform Connector
Windows Local Security Authority Subsystem Service (LSASS)
Windows Cloud Files Mini Filter Driver
修复建议:
(1)应及时进行MicrosoftWindows版本更新并且保持Windows自动更新开启。
(2)前往以下微软官方网站手动下载对应补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec
在当月公告链接中打开对应CVE:
下拉选择对应版本进行下载:
点击download,在弹窗中选择更新包:
安全资讯
1. 日产澳大利亚公司遭到网络攻击
Bleeping Computer 网站消息,Akira 勒索软件团伙声称成功入侵了日本汽车制造商日产汽车澳大利亚分公司的内部网络系统。
12 月 22 日,Akira 勒索软件团伙在其泄漏博客上添加了一个新的“受害者”,并表示其成员从日产汽车制造商的内部网络系统中窃取了约 100GB 的文件资料。不仅如此,威胁攻击者还宣称鉴于日产汽车公司拒绝支付赎金,接下来会陆续把盗取的敏感业务和客户数据泄露到网上。
2023 年 3 月,Akira 勒索软件团伙首次浮出水面,再迅速“积累”了大量来自不同行业的受害者后引起了人们的广泛关注。2023 年 6 月,Akira 勒索软件运营商开始部署其加密程序的 Linux 变种,据悉该变种专门针对企业环境中广泛使用的 VMware ESXi 虚拟机。
从 Bleeping Computer 此前发布的信息来看,一旦成功实施网络攻击活动,Akira 勒索软件组织要求受害者支付的赎金从 20 万美元到数百万美元不等,具体取决于被入侵组织的规模。
数据泄露事件发生后,日产公司在其网站上添加了一个新的更新,确认了威胁攻击者已经成功侵入了其在澳大利亚和新西兰的一些网络系统,但尚未对披露的网络攻击事件进行归因。
日产汽车方面表示,目前公司仍在调查事件的影响以及个人信息是否被访问,虽然暂时无法确认网络事件的严重程度,但已经在积极组织安全专家团队,努力恢复受攻击影响的系统。
2. 印度 IT 巨头 HCLTech 遭遇勒索攻击
印度 IT 公司 HCL Technologies 向当地监管机构通报了 12 月 20 日发生的网络攻击。该公司在向印度国家证券交易所提交的文件中通知其一个云项目已被勒索软件渗透。
公司秘书 Manish Anand 表示,整个 HCLTech 网络没有受到影响,网络安全和数据保护是公司的首要任务。
目前正在相关利益相关者的参与下对该事件进行详细调查,以确定根本原因和必要的纠正措施。
总部位于诺伊达的 HCL Technologies 是全球最大的科技公司之一,在 52 个国家拥有超过 22.5 万名员工,2023 财年收入达 130 亿美元。网络攻击发生后,该公司股价下跌3.24%。
印度大型企业今年已经面临勒索软件攻击。因此,今年3月,印度最大的药品制造商太阳制药公司证实遭受了一次攻击,公司数据和员工个人信息被盗。
2022 年 10 月,塔塔电力报告了一次网络攻击,影响了其价值数十亿美元的能源业务。当时,塔塔并未将此事件称为勒索软件攻击,但表示需要恢复系统并隔离受影响的网络,以保护业务的其他部分。
4 月,印度计算机应急响应小组 ( CERT-In ) 表示,2022 年该国组织遭受勒索软件攻击的报告增加了 53%。值得注意的是,受影响最大的是信息技术和金融部门以及制造业。勒索软件越来越多地针对关键基础设施组织,破坏关键服务以获取压力和赎金。
3. 网络攻击导致乌克兰最大电信运营商瘫痪
乌克兰最大的电信运营商 Kyivstar成为“强大的黑客攻击”的受害者,中断了客户对移动和互联网服务的访问。
Kyivstar 隶属于荷兰跨国电信服务公司 VEON,为近 2500 万移动用户和超过 100 万家庭互联网客户提供服务。
该公司表示,这次袭击是与俄罗斯战争的“结果”,并已通知执法部门和特殊国家部门。虽然 Kyivstar 正在努力恢复服务,但互联网监管机构指出,该电信公司基本上处于离线状态。
尽管如此,Kyivstar 尚未提供有关攻击性质以及导致关闭的原因的详细信息。没有证据表明订户的个人数据在该事件中受到损害。
Kyivstar在 Facebook 上发布的更新中表示:“网络稳定后,所有因黑客攻击而无法使用公司服务的订户和企业客户肯定会获得赔偿。”
亲俄罗斯的黑客组织KillNet 声称对 Telegram 的攻击负责,但没有提供任何其他证据来支持其说法。
Kyivstar 在后续帖子中表示,其“专家和合作伙伴已尽最大努力从网络攻击的后果中恢复网络”,数据和短信服务预计将在未来 24 小时内上线。
在此期间,另一个与俄罗斯有关的黑客组织 Solntsepyok在 Telegram 上声称“对 Kyivstar 的网络攻击承担全部责任”,并补充说该组织“摧毁了 10,000 台计算机、4,000 多台服务器、所有云存储和备份系统”。
该组织还表示,之所以攻击这家电信服务提供商,是因为该服务提供商向乌克兰武装部队以及该国的国家机构和执法机构提供通信服务。
4.欧洲:数百家电商网站泄露了用户支付信息
欧洲刑警组织在12月22日发布的新闻稿中,称由 17 个国家联合参与的执法行动已发现数百个电商平台存在恶意脚本攻击,其用户的信用卡或支付卡数据已遭到泄露。
这项已进行两个月的执法行动由希腊牵头,欧洲刑警组织参与协调,并得到网络安全公司Group-IB和 Sansec 的支持。该行动在443家电商网站上发现了窃密脚本,根据Group-IB分享的情报,已发现了包括 ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter 和 R3nin在内的 23 个 JavaScript 嗅探器。
这些恶意脚本以难以被捉摸的行为而闻名,例如滥用 Google 跟踪代码管理器来更新其恶意代码片段,以及模仿 Google Analytics 代码来躲避网站代码检查期间的检测。
在窃取攻击中,黑客将工具或恶意软件嵌入电商网站,拦截和窃取支付卡号、验证码、姓名和送货地址等数据,并将信息上传到攻击者控制的服务器。
研究人员称,者利用窃取的数据执行未经授权的交易,例如在线购买,或 将其转售给 暗网市场上的其他网络犯罪分子。用户通常不知道他们的数据已被泄露,直到攻击者已进行未经授权的交易。
根据Recorded Future在去年发布的报告,2022年,在暗网平台上出售、由窃密器导致的支付信息泄露已达 4560 万条,而在2023年度的报告中,研究人员指出这一数据在迅速上升,被盗的支付卡数量将达1.19亿张,其中有5000万张来自美国。
欧洲刑警组织建议,电商平台应使用具有特定网络浏览功能的恶意软件监视器;确保员工的 MFA 和强密码策略,并对员工应对鱼叉式网络钓鱼攻击的能力进行培训;在电子商务平台上运行自动漏洞审核,包括定期安装的第三方组件;确保只有特定 IP 可以访问您商店的控制面板,拒绝员工从未知地点访问;确保及时安装安全补丁和关键软件更新;实施内容安全策略 (CSP) 和子资源完整性 (SRI)。
5. 美国第二大互联网供应商泄露3600万用户数据
12月18日,美国第二大互联网服务供应商Xfinity 透露,10月份发生的一起网络攻击泄露了多达近3600万用户的敏感数据。
Xfinity由康卡斯特公司所属,为美国用户提供宽带互联网和有线电视等服务。
该公司表示,攻击是受Citrix Bleed的 CVE-2023-4966 漏洞影响,攻击者可能在 10 月 16 日至 19 日期间利用该漏洞获得了数据。经过调查,数据泄露具体影响了 35879455 人。
在对受影响的系统和数据进行额外审查后,Xfinity 于 2023 年 12 月 6 日得出结论,受影响范围内的用户信息包括用户名和哈希密码,甚至还包括部分用户的姓名、联系信息、社会安全号码后4位数、出生日期和以及密保问题答案。
目前Xfinity已要求用户重置密码以保护受影响的帐户,但有部分用户反馈已在上周收到了密码重置确认通知,不排除攻击者已经开始对用户账户权限下手。
就在1年前,Xfinity 用户也在绕过双因素身份验证的大范围凭据填充攻击中遭到黑客攻击,被入侵的账户随后被用来重置其他服务的账户密码,包括 Coinbase 和 Gemini 加密货币交易。
网络安全公司 Mandiant 表示,至少从 2023 年 8 月下旬起,Citrix 漏洞就已被作为零日漏洞并被积极利用,以窃取验证会话和劫持账户。官方已于今年10月发布了修补补丁,该公司还警告说,即使在安装安全更新后,被劫持的会话仍然存在。根据被劫持账户的权限,但Mandiant 警告称,即使在安装安全更新后,被劫持的会话仍然存在,攻击者可能会利用该方法进行横向移动或破坏更多账户。
中国国家信息安全漏洞库:
http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台
http://www.cnvd.org.cn/
FreeBuf网络安全行业门户
https://www.freebuf.com/
嘶吼安全平台
https://www.4hou.com/
安全问题通常是复杂多变的,对文档的内容如有疑问,可以通过我公司提供的值班电话(020-88524296),向安全专家进行咨询,我们将从客观性和技术可行性角度为用户解答。
