教育網運行整體平穩,沒有發現重大的安全事件。在病毒與木馬方面,數據顯示,2024年一季度以來,勒索病毒的攻擊數量又呈現增長趨勢。目前勒索病毒的產業模式已經升級到RaaS(軟件即服務)模式,攻擊目標也指向那些價值更高的服務器。由于RaaS模式會大大降低勒索攻擊的門檻,后期這類攻擊也將呈現繼續增長的趨勢。
近期新增嚴重漏洞評述
1.微軟2024年4月的例行安全更新共包含微軟產品的安全漏洞152個。鑒于漏洞帶來的風險,提醒用戶盡快使用系統自帶的更新功能進行安全更新。這些漏洞中需要特別關注的有以下幾個。
SmartScreen
提示安全功能繞過漏洞(CVE-2024-29988)。該漏洞是由于系統未充分實現“標記網頁”(MotW)功能導致的。遠程攻擊者可以構造惡意的攻擊程序,引誘用戶點擊并利用該漏洞繞過SmartScreen的安全風險提示,進而在系統上執行惡意代碼。目前該漏洞已在互聯網上檢測到在途的攻擊。
Windows代理驅動程序漏洞(CVE-2024-26234)。該漏洞允許攻擊者使用合法的Windows硬件驅動證書為惡意程序進行簽名,從而使得惡意程序可以繞過安全限制在系統中執行。目前該漏洞已在互聯網上檢測到在途的攻擊。
Defender for
IoT關鍵RCE漏洞(CVE-2024-21322、CVE-2024-21323、CVE-2024-29053)。上述漏洞存在于DefenderforIoT軟件中,24.1.3版本前的該軟件中包含多個高危安全漏洞,其中一個漏洞利用了該軟件的自動更新功能,可能會導致惡意的更新包被安裝到系統上;另一個利用路徑遍歷漏洞,允許經過身份驗證的用戶上傳任意文件;還有一個則可以通過向系統發送惡意構造的數據包來執行任意代碼。需要關注的是,這三個漏洞都需要攻擊者擁有合法的系統身份后才可進行攻擊。
2.Netfilter是Linux內核內置的一個框架。近期有安全研究人員披露了Netfilter中存在一個權限提升漏洞(CVE-2024-1086),本地攻擊者利用此漏洞可將普通用戶權限提升至root權限。目前該漏洞的攻擊PoC(概念驗證代碼)已經在網絡上被公開,各Linux發行版本也在陸續發布補丁程序,建議用戶關注并及時升級。
3.JumpServer是目前國內使用較為廣泛的開源堡壘機系統,近期JumpServer官方發布了安全公告,用于修補之前版本中存在的兩個安全漏洞(CVE-2024-29201和CVE-2024-29202)。前者允許較低權限的用戶繞過系統的驗證機制,在系統上執行任意代碼;后者則允許經過身份證驗證的用戶構建惡意的laybook模板,利用Ansible中的Jinja2模板引擎在Celery容器中執行任意代碼,并從主機中竊取敏感信息或操縱數據庫。建議用戶盡快將JumpServer升級到最新的3.10.7版本。
4.Oracle公司發布了今年第二季度的安全公告,公告中涉及 Oracle
WebLogicServer中存在的兩個信息泄露漏洞(CVE-2024-21006/CVE-2024-21007),由于CCERT月報T3/IIOP協議存在缺陷,未經身份驗證的攻擊者可通過T3/IIOP協議向受影響的服務器發送惡意請求,訪問目標系統上的敏感信息。建議使用了相關組件的用戶盡快進行升級。
5.Fortinet
FortiClient是美國飛塔(Fortinet)公司的一套移動終端安全解決方案。最近飛塔公司的安全公告中提及FortiClinet
Linux
客戶端軟件存在一個安全漏洞(CVE-2023-45590),惡意的攻擊者引誘用戶訪問特定的網頁資源即可利用該漏洞在用戶的系統上執行任意命令。目前廠商已經在最新版本中修補了相關漏洞,建議使用了相關產品的用戶盡快進行升級。
安全提示
日前GitHub的comment文件上傳系統中被曝存在一個漏洞,用戶可以將文件上傳到指定GitHub
comment中(即便該條comment并不存在),而系統會自動生成下載鏈接,此鏈接包括存儲庫的名稱及其所有者。由于鏈接存在于GitHub的官方網站上,可能會誘使受害者認為相關文件是合法的。這也再次將開源軟件供應鏈安全問題暴露在大眾面前,學校使用的外購或自主開發軟件中或多或少都使用了開源代碼,如何保證其供應鏈的安全將是后期學校網絡安全生態中重要的一環。
來源:《中國教育網絡》
作者:鄭先偉(中國教育和科研計算機網應急響應組)
責編:項陽
