月度安全态势:8月最值得关注的网络安全动态
2024-8-29 10:9:42 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

《月度网络安全态势》是虎符智库、安全内参联合奇安信Cert、《网安26号院》定期发布的月度网安动态,涵盖网络安全政策法规、网络安全事件、网络安全漏洞等信息,可以快速掌握全球网络安全领域的重大事件,及时把脉网空安全趋势。
如需长期订阅安全态势或开展定制性研究,请联系小编(微信 security4)

一 、法规政策

要点:国内,网络安全监管强化在各行业持续深入。财政部、就智能网联汽车安全,工信部、自然资源部均发布文件规制。财政部修订印发《会计信息化工作规范》强化会计信息化安全;国家发改委就《电力监控系统安全防护规定》修订版公开征求意见。 
国际上,全球首部全面监管人工智能的法规——欧盟《人工智能法案》正式生效。法案致力于推动普及值得信赖的人工智能,将人工智能系统造成的风险分为四类,风险等级越高,管控越严格。 

1、财政部修订《会计信息化工作规范》《会计软件基本功能和服务规范》,强化会计信息化安全和数据保密要求 
8月7日,财政部修订印发了《会计信息化工作规范》及《会计软件基本功能和服务规范》,自2025年1月1日起施行。《会计信息化工作规范》共6章50条,与原规范相比强化了会计信息化安全,全面要求单位统筹考虑会计信息化的系统安全、网络安全、涉密安全、跨境安全等,强化会计数据在生成、传输、存储等环节的安全风险防范。《会计软件基本功能和服务规范》共8章47条,与原规范相比加强了会计软件及服务对会计数据的多维度保障,要求会计软件应当保证会计数据的真实、完整、安全传输,能够完整接收和读取电子凭证,并通过验签等方式检查电子凭证合法性和真实性,应当满足数据保密性的要求,支持对重要敏感数据的加密存储和传输,保障会计数据不被篡改。 
2、《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见 
8月7日,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》,现公开征求意见。该文件提出了互联网平台停服数据处理基本要求,规定了重要数据处理的要求,适用于指导互联网平台数据处理者开展数据安全保护工作,也可为主管监管部门实施安全监管或安全评估提供参考。
3、三部门印发《加快构建新型电力系统行动方案(2024—2027年)》
8月6日,国家发展改革委、国家能源局、国家数据局制定并公布了《加快构建新型电力系统行动方案(2024—2027年)》。该文件多处涉及安全,包括优化加强电网主网架,保障电力安全稳定供应和新能源高质量发展;推进构网型技术应用,提升系统安全稳定运行水平;制定修订一批配电网标准,推动构建系统完备、科学规范、安全可靠的配电网标准体系;建设一批虚拟电厂,完善虚拟电厂的市场准入、安全运行标准和交易规则等。
4、《标识密码认证系统密码及其相关安全技术要求》等2项国家标准公开征求意见 
8月2日,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 标识密码认证系统密码及其相关安全技术要求》和《数据安全技术 数据接口安全风险监测方法》现已形成标准征求意见稿,现公开征求意见。其中,前者规定了标识密码认证系统的系统组成架构,及其密钥生成、管理以及公开参数查询等服务的技术要求,适用于标识密码认证系统的设计、开发、使用和检测。后者给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点,适用于指导各类组织开展的数据接口安全风险监测活动。 
5、工信部 市监总局就《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知》公开征求意见 
8月1日,工业和信息化部装备工业一司联合市场监管总局质量发展局组织编制了《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)》,现公开征求意见。该文件正文共4章10条,包括总体要求、加强组合驾驶辅助准入与召回管理、强化汽车软件在线升级协同管理、保障措施。该文件要求,企业要落实智能网联汽车产品质量和生产一致性、产品安全主体责任,持续确保汽车数据安全、网络安全、OTA升级、功能安全和预期功能安全等保障能力有效,严格履行OTA升级管理和备案承诺,以及事件事故报告要求。6、自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》,强化地理信息安全监管 7月26日,自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》。该文件共10条,包括依法开展智能网联汽车相关测绘活动,加强智能网联汽车涉测绘行为管理,严格涉密、敏感地理信息数据管理,从严审核把关导航电子地图,落实地理信息数据存储和出境要求,强化地理信息安全监管,鼓励地理信息安全应用探索,优化地理信息公共服务,营造安全发展的良好氛围,强化工作落实。 
7、《中国人民银行关于进一步加强征信信息安全管理的通知》修订版公开征求意见
7月26日,中国人民银行拟对《中国人民银行关于进一步加强征信信息安全管理的通知》部分条款进行修改,起草了《修改<中国人民银行关于进一步加强征信信息安全管理的通知>有关公告(征求意见稿)》,现公开征求意见。该文件要求加强征信信息查询管理,人工查询实现查审分离,自动查询要严格设置规则、专人管理,查得的数据要按照高敏感型数据进行全流程安全管理。该文件提出建立征信信息安全监管走访机制,根据监管走访情况由运行或接入机构调整其用户管理权限。 
8、两部门《国家网络身份认证公共服务管理办法》公开征求意见
7月26日,公安部、国家互联网信息办公室起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。该文件共16条,主要包括四个方面的内容:一是明确了国家网络身份认证公共服务和“网号”“网证”等概念;二是明确了公共服务的使用方式和场景;三是强调了公共服务平台和互联网平台的数据和个人信息保护义务;四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。该文件提出,对自愿选择使用“网号”“网证”的用户,除法律法规有特殊规定或者用户同意外,互联网平台不得要求用户另行提供明文身份信息,最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。
9、国家发改委《电力监控系统安全防护规定》公开征求意见,强化供应链管理 
7月25日,国家发展改革委组织修订了《电力监控系统安全防护规定》(发改委2014年第14号令),形成《电力监控系统安全防护规定》(公开征求意见稿),现向社会公开征求意见。该文件共6章38条,包括总则、安全技术、安全管理、应急措施、监督管理、附则。该文件提出,电力监控系统安全防护应坚持“安全分区、网络专用、横向隔离、纵向认证”结构安全原则,强化安全免疫、态势感知、动态评估和备用应急措施。该文件细化了安全分区保护粒度,强化了安全接入区设置及防护要求,补充了业务横纵向交互、设备选型、安全加固、态势感知等技术要求,以及应急备用等管理措施。该文件首次提出电力监控系统专用安全产品目录及技术规范,以强化供应链管理。 
10、《中华人民共和国保守国家秘密法实施条例》修订版颁布 要求加强保密基础设施建设和关键保密科学技术产品配备
7月22日,国务院总理李强日前签署国务院令,公布修订后的《中华人民共和国保守国家秘密法实施条例》,自2024年9月1日起施行。该文件共6章74条,包括总则、国家秘密的范围和密级、保密制度、监督管理、法律责任、附则。该文件要求,县级以上人民政府应当加强保密基础设施建设和关键保密科学技术产品的配备。该文件提出,涉密信息系统按照涉密程度分为绝密级、机密级、秘密级,机关、单位应当按照国家保密规定,对绝密级信息系统每年至少开展一次安全保密风险评估,对机密级及以下信息系统每两年至少开展一次安全保密风险评估,涉密信息系统中使用的信息设备应当安全可靠,以无线方式接入涉密信息系统的,应当符合国家保密和密码管理规定、标准。 
11、联合国通过打击网络犯罪公约》
8月9日,联合国打击网络犯罪公约特委会一致投票通过了《联合国打击网络犯罪(使用信息和通信技术系统实施的犯罪)公约》。该文件系网络领域首个由联合国主持制定的普遍性国际公约,将在全球范围内为打击网络犯罪国际合作提供法律框架,对网络空间国际法发展也有重大意义。该文件规定,在调查任何根据国家法律可判处至少四年监禁的犯罪时,成员国可以向其他国家当局要求提供与该犯罪相关的任何电子证据,也可以向互联网服务提供商索取数据。 
12、欧盟《人工智能法案》正式生效,推动普及值得信赖的人工智能 
8月1日,欧盟《人工智能法案》于今日正式生效。该法案是全球首部全面监管人工智能的法规。欧盟介绍,制定《人工智能法案》的目的在于,在维护民主、人权和法治的同时,推动普及值得信赖的人工智能。根据使用方法而非技术本身造成的影响风险进行分类。风险分为四类,风险等级越高,管控越严格。其中,风险最高的情况包括:为唆使犯罪而利用人工智能技术操纵人的潜意识;使用高级监控摄像机等,将人脸识别等生物识别技术实时应用于犯罪搜查等。这些情况是被“禁止”的。第二高风险的情况包括:基于犯罪心理画像的犯罪预测、在入学考试和录用考试测评中应用人工智能。人类有义务保存和管理使用人工智能技术的历史记录。许多国家和地区正在制定人工智能管制规则,欧盟新规则可能为后来者提供重要借鉴。 
13、美国白宫发布《联邦风险和授权管理计划现代化》备忘录,推动联邦政府加速安全采用云服务。
7月25日,美国白宫管理和预算办公室(OMB)发布《联邦风险和授权管理计划(FedRAMP)现代化》备忘录(M-24-15),以应对云市场变化和各机构对多样化任务交付的需求,推动联邦政府加速安全采用云服务。FedRAMP是美国联邦机构采用云服务必须遵守的安全合规项目。该备忘录从多个方面加强FedRAMP,从而改革云安全授权计划。包括规定FedRAMP需实现“严格审查”功能,并要求云服务提供商(CSPs)快速缓解任何安全架构中的弱点,以保护联邦机构免受最“突出的威胁”。应建立自动化流程,用于输入、使用并重用安全评估和审查,以减少参与者的负担,并加快云解决方案的实施进度等。 
14、美国海军陆战队发布新版《人工智能战略》
7月10日,美国海军陆战队发布《人工智能战略》,将指导其整合人工智能技术工作。该战略提出改善海军陆战队态势的五个关键目标,包括全面了解可由人工智能提供解决方案的特定任务问题;提高部队各级人员在建立、支持和维护人工智能系统及相关技术方面的专业技能;改善基础设施并制定和发布标准;建立人工智能政策、管理和沟通渠道;加强与国防部其他部门、国际盟友、工业界和学术界合作等。该文件是海军陆战队推进数字现代化的重要里程碑。

二、网络安全事件

要点:勒索软件攻击依然是网络攻击的主要形式,在全球月度安全事件中占有较高比例,高达57%。勒索攻击造成工厂停产、支付系统瘫痪,甚至影响到血液供应。勒索赎金的数量也创出新高,凸显出勒索攻击的全球性泛滥到了需各国携手治理的阶段。此外,海量数据泄露也是安全事件的重要内容。 
本月度,影响最深远的还是CrowdStrike导致的全球IT系统宕机事件,导致航班停飞、医院手术取消,政府和金融服务中断。此次事故导致全球近千万台Windows蓝屏死机,影响范围超过了2017年永恒之蓝勒索病毒事件,被称为史上最大的IT系统宕机事件。这凸显出在数智化时代信息基础设施的脆弱性,如何通过多元化的系统选择规避此类肯定会发生的事件是行业主要需要考虑的问题。

1、特朗普竞选团队在大选期间被黑,部分敏感数据外泄 
8月10日,Politico消息,美国前总统唐纳德·特朗普的竞选团队日前确认,其部分内部通信资料已被黑客获取。特朗普竞选团队引用微软8月9日发布的一份报告的说法,将此归咎于“对美国怀有敌意的外国势力”。该报告称,伊朗黑客“在2024年6月向一名美国总统竞选的高级官员发送了一封鱼叉式网络钓鱼邮件,成功入侵其邮箱账号。”微软并未确认邮件针对的是哪一家竞选团队,也拒绝发表评论。此前,多家知名媒体收到来自一个匿名账号发送的电子邮件,其中包含了特朗普竞选团队内部的文件。
2、美国金融巨头因勒索攻击损失近2亿元,超1600万用户数据泄露 
8月7日,SecurityWeek消息,美国抵押贷款巨头LoanDepot通过SEC报告披露,今年1月曝光的勒索软件攻击相关的费用总计2690万美元(约合人民币1.92亿元)。公司当时遭受勒索软件攻击后,为了应对攻击导致数据被加密的情况,选择将一些系统下线。几周后,LoanDepot通知当局,超过1600万人的个人信息可能已被泄露,泄露信息包括姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码和金融账号。LoanDepot最新财报显示,该事件给公司造成了2690万美元损失,包括“调查和补救网络安全事件的成本、客户通知和身份保护的成本、专业费用(比如法律费用、诉讼和解费用以及佣金担保)”。 
3、巴黎奥运会比赛场馆遭勒索软件攻击 
8月6日, Politico消息,巴黎检察官办公室披露,法国国家博物院网络的IT系统上周日遭到勒索软件攻击。该网络内共有约40个博物馆,其中包括被改造为巴黎奥运会击剑和跆拳道比赛场馆的巴黎大皇宫。巴黎检察官办公室表示,奥运赛事未受到此次攻击影响。官方称,自奥运会开赛以来,法国已经阻止了数十起网络攻击。 
4、美国知名电子大厂因勒索攻击损失超1.2亿元,此前曾停运两周 
8月5日,BleepingComputer消息,美国知名电子制造服务提供商Keytronic披露,由于5月的一次勒索软件攻击,该公司遭受了超过1700万美元(约合人民币1.2亿元)的损失。Keytronic在SEC文件中表示,此次攻击影响了支持机器人操作和公司功能的业务应用程序,导致其墨西哥和美国站点受干扰被迫暂停运营两周。Keytronic称,“由于这一事件,公司产生了约230万美元的额外费用,并推测在第四季度损失了约1500万美元的收入。这些订单大部分是可恢复的,预计将在2025财年内完成。”虽然Keytronic尚未将此攻击归因于特定的威胁团伙,但Black Basta勒索软件团伙在5月下旬声称对此负责,并泄露了他们所说的从公司系统中窃取的所有数据。Keytronic是全球最大的印刷电路板组件(PCBA)制造商之一,在美国、墨西哥、中国和越南设有工厂。 
5、近30亿人个人数据遭暗网售卖,美国一背调公司被起诉 
8月2日,BloombergLaw消息,一份在佛罗里达南区美国地方法院提交的起诉文件显示,今年4月,一家以“国家公共数据业务”(National Public Data)为名的背景调查公司Jerico Pictures Inc.发生了数据泄露事件,暴露了近30亿人的个人信息。此前4月8日,一家名为USDoD的网络犯罪团伙在一个暗网论坛上发布了名为“国家公共数据”的数据库,声称拥有29亿人的个人数据,并将该数据库以350万美元的价格出售。如果确认,这次泄露可能是有史以来影响人数最多的一次。2013年雅虎的一次泄露事件曾暴露了大约30亿人的数据。根据投诉,为开展业务,国家公共数据从非公开来源抓取了数十亿人的个人身份信息,这意味着原告在不知情的情况下向该公司提供了他们的数据。一些被曝光的信息包括社会安全号码、现居地址、几十年来的曾居地址、全名、亲属信息,其中一些亲属甚至已去世近二十年。截至提交投诉时,Jerico Pictures Inc.仍未向受影响的个人发出通知或警告。 
6、勒索软件致使数百家印度小型银行支付系统瘫痪 
8月1日,路透社消息,因技术服务提供商C-Edge Technologies遭受勒索软件攻击,近300家印度本地小型银行的支付系统被迫暂时关闭。负责监管支付系统的印度国家支付公司(NPCI)表示,为避免攻击影响扩大化,已临时禁止C-Edge Technologies访问NPCI运营的零售支付系统,期间使用C-Edge服务的银行的客户将无法使用支付功能。有消息人士称,受影响的大多是小型银行,只有约0.5%的NPCI交易会受到影响。 
7、美国重要血液中心遭勒索攻击,数百家医院启动“血液短缺”应急程序 
7月31日,The Record消息,因勒索软件攻击关闭部分系统,美国大型血液中心OneBlood的运营能力骤降。OneBlood发布声明称,“为了维持运转,我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间,还会影响库存可用性。为了进一步管理血液供应,我们已要求250多家接受我们服务的医院启动关键的血液短缺程序,并在一段时间内保持该状态。”OneBlood表示,目前正在与网络安全专家以及联邦和州官员合作解决这一危机。OneBlood向美国东南部多个州的数百家医院提供血液及其他医疗物资。 
8、一财富50强企业向勒索软件支付了超5.4亿元赎金 
7月30日,The Stack消息,美国安全厂商Zscaler发布报告称,2024年初发现一家财富50强企业向勒索软件团伙Dark Angels支付了7500万美元(约合人民币5.42亿元)。Zscaler未透露受害者的名字,加密货币情报公司Chainalysis在社交平台上证实了这一消息。成功索要赎金的黑暗天使一跃成为今年最值得关注的勒索软件团伙。这一金额是此前公开报道的勒索软件赎金最高纪录的近两倍。2021年3月,美国保险巨头CNA Financial遭受勒索软件攻击后被迫支付4000万美元(约合人民币2.89亿元)。
9、美国政府最大IT服务商发生数据泄露事件 
7月24日,彭博社消息,知情人士透露,黑客泄露了从美国联邦政府最大IT服务提供商之一的Leidos Holdings Inc.公司窃取的内部文件。Leidos发言人表示:“我们已经确认,这是源于之前第三方供应商Diligent的数据泄露事件,所有必要的通知已在2023年发出。此次事件并未影响我们的网络或任何敏感客户数据。”根据2023年6月在马萨诸塞州提交的文件显示,Leidos使用Diligent系统来托管内部调查中收集的信息。Diligent发言人表示,这次泄露的数据似乎源自2022年其子公司Steele Compliance Solutions遭遇的黑客事件。该子公司于2021年被收购。当时包括Leidos在内的客户不到15家。Leidos主要客户如美国国防部、国土安全部和NASA未立即回应置评请求。 
10、工控安全公司发现新型恶意软件FrostyGoop,曾致乌克兰一城市供暖系统关闭,部分居民在寒冬下停暖近2天 
7月23日,美国工控安全公司Dragos发布报告,披露了一种旨在攻击工业控制系统的新型恶意软件FrostyGoop。Dragos表示,经与乌克兰当局沟通,在今年1月下旬,FrostyGoop曾被用于攻击乌克兰利沃夫市的暖气系统,导致超600栋公寓楼停暖近2天,当时室外温度低于零度。据悉,FrostyGoop恶意软件通过Modbus协议与工控设备交互,该协议被广泛用于工控环境,这意味着FrostyGoop也可被用于攻击其他公司和设施。Dragos称,FrostyGoop是该公司已发现的第九款专门针对工控系统的恶意软件。 
11、墨西哥ERP软件巨头云泄露超7亿条记录,内含密钥等敏感信息
7月23日,HackRead消息,安全研究员Jeremiah Fowler发现,墨西哥最大的ERP软件提供商之一ClickBalance,旗下一个云数据库暴露在公网未设置任何认证措施,导致7.69亿条记录泄露,恶意威胁行为者可以轻而易举地访问这些数据。Fowler向WebsitePlanet报告了这一问题。该报告指出,该数据库包含了潜在的敏感信息,如访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址。目前尚不清楚数据库暴露了多长时间,也不清楚是否有其他人访问过。Fowler发送了负责任的披露通知,几小时后该数据库限制了公共访问。 
12、Crowdstrike更新导致全球近千万台Windows蓝屏死机 
综合消息,7月19日中午开始,CrowdStrike问题更新导致全球Windows大面积蓝屏死机,致使航班停飞、火车晚点、银行异常、巴黎奥运服务受影响等,全球至少二十多个国家受到波及。由于事件发生时亚太地区在白天,美欧在夜晚,初期社交媒体上的反馈主要集中在亚太地区,主要是日本、澳大利亚。随着时间的推进,欧美用户也大量出现服务中断反馈。大量的机场、医院、媒体与银行由于系统的崩溃,导致服务中断,数以万计的航班延误取消,有些医院不得不转移病人,很多受影响企业的不得不提前放假。CrowdStrike于当天下午发布相关通知承认了这一问题,并承诺将在45分钟后修复。微软官方后续表示,估计CrowdStrike的更新影响了850万台Windows设备,占所有Windows设备不到1%。奇安信表示,基于其数据视野估计国内的CrowdStrike软件装机量在万级,相关单位数在百级,用户主要集中在北上广深等发达地区。受影响的主要是外企、外企在华分支机构及合资企业,大量这类机构中招,有反馈某个在华外企大量终端中的40%崩溃。 
13、美国家具巨头遭勒索攻击:工厂被迫关闭 业务受到严重影响 
7月17日,The Record消息,美国最大的家具公司之一巴西特家具(Bassett Furniture)表示,本月10日遭遇勒索软件攻击后被迫关闭部分IT系统,导致制造设施停运多天。该公司在15日公布的SEC文件中写道,黑客“通过加密某些数据文件扰乱了公司的业务运营”,迫使公司启动事件响应计划关闭部分系统。“公司的零售店和电子商务平台仍然开放,客户可以下单并购买现有商品。然而,公司目前的订单履行能力受到了影响。”巴西特家具罕见地承认,此次攻击“已经并且可能继续对公司的业务运营产生重大影响。” 
14、美国电信巨头AT&T几乎所有用户的电话记录泄露 
7月12日,TechCrunch消息,美国电话电报公司(AT&T)披露,将向约1.1亿客户通知发生了一起新的数据泄露事件。该公司发言人表示,网络犯罪分子窃取了“几乎所有”客户的电话记录。被盗数据包含从2022年5月1日至2022年10月31日期间移动和固定电话客户的电话号码,以及AT&T网络内的通话和短信记录,例如谁通过电话或短信联系了谁。被盗数据还包括2023年1月2日以后的小部分客户的较新记录,但未具体说明数量。AT&T在4月19日得知该事件,由于事涉重大,美国司法部和FBI两度同意推迟在SEC披露文件中公开事件。

三、安全漏洞

要点:8月上旬,微软官方披露修复了Windows远程桌面许可服务远程代码执行漏洞(CVE-2024-38077),未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前网信办旗下漏洞平台CNVD、工信部漏洞平台NVDB均发布预警,建议受影响的用户即刻升级到最新版本。

1、微软8月补丁日多个产品安全漏洞风险通告 
8月14日,微软本月共发布了91个漏洞的补丁程序,修复了Windows WinSock、Microsoft Project、Windows Power Dependency Coordinator和Azure等产品中的漏洞。经研判,以下22个重要漏洞值得关注(包括7个紧急漏洞、14个重要漏洞、1个中等),如下表所示。鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。 

2、 微软RDL服务远程代码执行漏洞安全风险通告 
8月9日,奇安信CERT监测到官方修复Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077),该漏洞存在于Windows远程桌面许可管理服务(RDL)中,成功利用该漏洞的攻击者可以实现远程代码执行,获取目标系统的控制权,可能导致敏感数据的泄露、以及可能的恶意软件传播。该漏洞影响所有启用RDL服务的Windows Server服务器,特别是未及时更新2024年7月微软最新安全补丁的系统。需要注意,RDL服务并非默认启用,但出于扩展功能等目的,许多管理员会手动启用它,例如增加远程桌面会话的数量。在一些特定的场景中,如堡垒机和云桌面VDI环境,RDL服务的启用也是必需的。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 
3、Google Chrome ANGLE越界访问漏洞安全风险通告
8月7日,奇安信CERT监测到Google修复Google Chrome ANGLE越界访问漏洞(CVE-2024-7532),Chrome使用的2D/3D图形渲染引擎ANGLE中存在越界内存访问漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码或导致浏览器崩溃。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 
4、Roundcube Webmail多个XSS高危漏洞安全风险通告 
8月6日,奇安信CERT监测到官方修复Roundcube Webmail跨站脚本漏洞(CVE-2024-42008)和Roundcube Webmail跨站脚本漏洞(CVE-2024-42009)。Roundcube Webmail在处理HTML和SVG等附件的过程中存在跨站脚本漏洞。未经身份验证的攻击者可以窃取电子邮件、联系人和密码等敏感信息。鉴于之前的Roundcube Webmai漏洞曾多次在2023年被APT28、Winter Vivern等APT组织利用过,建议客户尽快做好自查及防护。 
5、Apache OFBiz授权不当致代码执行漏洞安全风险通告 
8月5日,奇安信CERT监测到官方修复Apache OFBiz授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的攻击者绕过原有的安全机制执行代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令。目前该漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。 
6、JumpServer多个高危后台漏洞安全风险通告 
7月19日,奇安信CERT监测到官方修复JumpServer后台文件写入漏洞(CVE-2024-40629)和JumpServer后台文件读取漏洞(CVE-2024-40628)。攻击者可以利用Ansible脚本读取或写入任意文件,从而导致Celery敏感信息泄露和远程代码执行。奇安信鹰图资产测绘平台数据显示,该批漏洞关联的国内风险资产总数为124880个,关联IP总数为22031个。目前该漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。 
7、Nacos Derby远程命令执行漏洞安全风险通告 
7月19日,奇安信CERT监测到官方修复Nacos Derby远程命令执行漏洞(QVD-2024-26473),由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,最终导致任意代码执行。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为40575个,关联IP总数为8171个。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。 
8、泛微e-cology9 WorkflowServiceXml SQL注入漏洞安全风险通告 
7月15日,奇安信CERT监测到泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)在野利用行为,在默认配置下,未授权攻击者可利用该漏洞执行任意SQL语句,从而造成任意命令执行。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为51855个,关联IP总数为8761个。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。IOC生产出来以后,就进入发挥其价值的使用阶段。

下载 月度安全态文件,请私信回复  “8月态势”

关于我们

虎符智库:国内高端网安智库,专注解读网络安全重大事件与技术趋势,提供高层决策参考。

安全内参:网络安全首席知识官,专注于网络安全产业发展和行业应用的高端媒体平台。

奇安信CERT:权威漏洞情报监测及研判,致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

网安26号院:奇安信每月出版的网络安全行业内部印刷出版物,面向行业从业者分享安全态势、安全建设经验,攻防一线趋势,致力于成为政企安全主管首选的工作参考读物。

订阅方式:

邮箱:[email protected]  微信:security4


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNjYwMTMyNQ==&mid=2247492115&idx=1&sn=2cbbf053a0012998474ce92822f58473&chksm=971d8f11a06a060768b9d6e3132597ba832fa17d9499ab84fc32419edbccdd6cb20276916c66&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh