20230104第24期丨网络数据安全要闻一周播报

本期漏洞情况态势

▼本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞474个，其中高危漏洞215个、中危漏洞228个、低危漏洞31个。漏洞平均分值为6.45。本周收录的漏洞中，涉及0day漏洞341个（占72%），其中互联网上出现“Etaplighting Etap Safety Manager跨站脚本漏洞、Food Ordering Management System SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数47744个，与上周（36292个）环比增加32%。

漏洞信息

▼重点安全漏洞

1.Siemens产品安全漏洞

Siemens Parasolid是德国西门子（Siemens）公司的一个几何建模内核。Siemens Simcenter STAR-CCM+是德国西门子（Siemens）公司的一个完整的多物理场解决方案，可对真实条件下工作的产品和设计进行仿真。Siemens SICAM PAS/PQS是德国西门子（Siemens）公司的一款带有用于能源自动化和电能质量操作系统的软件。Siemens Solid Edge是德国西门子（Siemens）公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。Siemens LOGO! 8 BM是德国西门子（Siemens）公司的一个用于工业环境用于Windows平台的编程软件。Siemens Industrial Edge Management是德国西门子（Siemens）公司的一个平台，用于在靠近车间的计算平台上托管来自不同供应商的应用程序。Siemens Desigo PX是德国西门子（Siemens）公司的一套楼宇自动化控制系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以root权限执行任意系统命令，在应用程序崩溃时发送消息并创建拒绝服务条件等。

CNVD收录的相关漏洞包括：Siemens Parasolid越界写入漏洞（CNVD-2022-89757）、Siemens Simcenter STAR-CCM+权限提升漏洞、Siemens SICAM PAS/PQS输入验证错误漏洞、Siemens Solid Edge堆缓冲区溢出漏洞（CNVD-2022-89764）、Siemens LOGO! 8 BM输入验证错误漏洞（CNVD-2022-89766）、Siemens LOGO! 8 BM缓冲区溢出漏洞（CNVD-2022-89767）、Siemens Industrial Edge Management信任管理问题漏洞、多款Siemens产品操作系统命令注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89757

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89758

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89760

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89764

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89766

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89767

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91613

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91640

2.Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android拒绝服务漏洞（CNVD-2022-89771、CNVD-2022-89772、CNVD-2022-89773）、Google Android代码执行漏洞（CNVD-2022-89774、CNVD-2022-89776）、Google Android信息泄露漏洞（CNVD-2022-89775）。其中，“Google Android权限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android代码执行漏洞（CNVD-2022-89774、CNVD-2022-89776）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89770

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89771

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89772

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89773

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89774

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89775

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89776

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89777

3.IBM产品安全漏洞

IBM Security Verify Governance Identity Manager是IBM一款基于网络设备的集成，主要用以业务为中心的规则、活动和流程。IBM Spectrum Control（前称Tivoli Storage Productivity Center）是美国国际商业机器（IBM）公司的一套存储资源管理软件。该软件可以为多个存储系统提供监控、自动化和分析。IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本，有利于尽早发现工程流程中的需求错误，加快产品上市。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞向内部网络或本地文件系统发出任意请求，获取敏感信息，在Web UI中嵌入任意JavaScript代码等。

CNVD收录的相关漏洞包括：IBM Security Verify Governance Identity Manager信息泄露漏洞（CNVD-2022-91125）、IBM Spectrum Control弱加密漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2022-91128）、IBM Cognos Analytics服务器端请求伪造漏洞、IBM Cognos Analytics跨站脚本漏洞（CNVD-2022-91132）、IBM Cognos Analytics敏感信息泄露漏洞（CNVD-2022-91131）、IBM Cognos Analytics日志注入漏洞、IBM Engineering Requirements Quality Assistant输入验证错误漏洞。其中，“IBM Spectrum Control弱加密漏洞、IBM Cognos Analytics服务器端请求伪造漏洞、IBM Cognos Analytics日志注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91125

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91129

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91128

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91133

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91132

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91131

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91130

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91136

4.Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞在浏览器上下文中执行恶意JavaScript。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2022-91149、CNVD-2022-91148、CNVD-2022-91147、CNVD-2022-91146、CNVD-2022-91152、CNVD-2022-91151、CNVD-2022-91150、CNVD-2022-91156）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91149

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91148

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91147

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91146

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91152

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91151

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91150

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91156

5.LibreNMS命令注入漏洞（CNVD-2022-91160）

LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。本周，LibreNMS被披露存在命令注入漏洞，该漏洞源于service_ip、hostname和service_param参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91160

6.Etaplighting Etap Safety Manager跨站脚本漏洞

验证描述

ETAP Safety Manager是一款管理系统，用户观察、配置和维护紧急照明。

Etaplighting Etap Safety Manager 1.0.0.32版本存在跨站脚本漏洞，该漏洞源于action参数在返回给用户之前未正确清理，攻击者可利用该漏洞在受影响站点上下文中的用户浏览器会话中执行任意HTML/JS代码。

验证信息

POC链接：

https://www.gabriel.urdhr.fr/2022/02/07/selenium-standalone-server-csrf-dns-rebinding-rce/

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91652

7.WordPress plugin JoomSport SQL注入漏洞（CNNVD-202212-3535）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin JoomSport 5.2.8之前版本存在SQL注入漏洞，该漏洞源于在SQL语句中未正确清理和转义某些参数。攻击者利用该漏洞可以执行SQL注入攻击。

补丁获取链接：

https://wpscan.com/vulnerability/5c96bb40-4c2d-4e91-8339-e0ddce25912f

8. IBM Domino 缓冲区错误漏洞（CNNVD-202212-3507）

IBM Domino是美国国际商业机器（IBM）公司的一套企业级应用程序开发平台。

IBM Domino存在安全漏洞。攻击者利用该漏洞可以使应用程序崩溃或通过特制的Lotus Ami Pro文件执行任意代码。

补丁获取链接：

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0102151

高级威胁情报解读

1.Operation Dragon Dance：悬在博彩行业上的达摩克里斯之剑

Miuuti Group，是一个针对博彩行业的攻击组，人员组成复杂，具有很强的流动性，可能与已知组织存在重叠，从 2015 年至今使用了多个通讯软件 0day 漏洞。最近几年，我们捕获到两个相同类型的 0day 漏洞。

其中，一个漏洞出现在远端客服软件网页版的访客姓名栏中，由于其未对“<>”进行过滤，导致了跨站漏洞的产生。在对应的 GET 请求中加入添加用户名的参数，可以主动远程修改访客用户名，从而达到执行js的效果，又因为此类软件常使用基于 Chrominum 和 Node.js 的 Electron来进行开发，一旦出现上述xss的问题则会导致 Native 层的 js 代码执行漏洞。攻击者通过这种方式在博彩公司内部立足，并进行进一步的横向渗透。

第二个漏洞则主要是通过聊天的方式触发的，受害者收到攻击者发送的包含 payload 的聊天内容后，该软件会在前台加载攻击者构造的 js 代码，调用和 native 交互的 API 从而在本地执行任意命令，实现每半小时请求一次 C2 服务器，之后会进入下一阶段的攻击，最终执行 Cobalt Strike 远控。此外，还观察到攻击者最终下发国产商业远控 workwin 执行。

披露时间：2022年12月27日

情报来源：

https://mp.weixin.qq.com/s/OkXzINwCPK2zLfY0_O8g7Q

2.APT-C-36（盲眼鹰）近期攻击活动分析

APT-C-36近期常采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压，密码基本为4位纯数字，解压后是伪装成PDF文件名的VBS脚本。

VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，内存加载远端下载的第一阶段DLL，该DLL继续内存加载第二阶段DLL。为了隐藏最终恶意代码，第二阶段DLL会将AsyncRAT或者NjRAT木马注入到傀儡进程RegAsm或AppLaunch.exe中执行。

最终加载的AsyncRAT或NjRAT木马都经过了混淆处理，并且加入了绕过AMSI机制的代码，这都表明该组织在不断优化其攻击武器。此外，攻击者为了攻击载荷下载不被拦截，常使用邮件服务器或者文本存储服务的网站（如Paste.ee）进行载荷保存。

披露时间：2022年12月27日

情报来源：

https://mp.weixin.qq.com/s/mTmJLHYC9bJDnphf_52JmA

3.Lazarus Group下属组织引入绕过 Windows MotW 保护新方法

BlueNoroff(也被称为APT38)是一个出于经济动机的APT组织，也是臭名昭著的Lazarus Group的一个下属组织。据观察，该团伙近期采用了能够绕过Windows Mark of the Web(MotW)保护的新技术。

BlueNoroff通常利用Word文档和快捷方式文件进行初步入侵。但由于当用户试图打开从互联网下载的Microsoft Office文件时，操作系统会在受保护的视图中打开它，这会限制嵌入式宏的执行(即Windows MotW保护)。为此，该组织最近采用了旨在规避MOTW的新方法：即利用光盘映像(.iso 扩展名）和虚拟硬盘(.vhd扩展名）文件形式传播恶意软件。此外，BlueNoroff还创建了大量冒充风险投资公司和银行的虚假域名，一些虚假域名被发现模仿ABF Capital、Angel Bridge、ANOBAKA、美国银行和三菱UFJ金融集团，但其中大部分域名位于日本。

披露时间：2022年12月27日

情报来源：

https://securelist.com/bluenoroff-methods-bypass-motw/108383/

4.波兰安全机构警告将应对亲俄黑客全方位、多手段的网络攻击

波兰安全机构警告说，自入侵乌克兰开始以来，波兰一直是亲俄黑客进行网络攻击的目标。

这些攻击针对波兰的几乎所有实体，包括政府服务、私人组织、媒体。

披露时间：2023年01月04日

情报来源：https://x.threatbook.com/v5/article?threatInfoID=41336

5.Exchange Server OWASSRF漏洞（CVE-2022-41080、CVE-2022-41082）

近日，绿盟科技CERT监测发现国外安全团队公开披露了对Exchange Server 漏洞的利用链的技术细节。经过身份认证的远程攻击者利用 Exchange Server 权限提升漏洞（CVE-2022-41080），在端点 OutlookWeb Application （OWA）获得在系统上下文中执行PowerShell的权限。之后具有执行 PowerShell 权限的攻击者通过 Exchange Server 远程代码执行漏洞（CVE-2022-41082）在目标系统上执行任意代码。以上利用链可绕过微软官方为＼＂ProxyNotShell＼＂所提供的缓解措施。请受影响的用户尽快采取措施进行防护。

披露时间：2022年12月30日

情报来源：

https://nti.nsfocus.com/threatNotice

6.Linux Kernel多个安全漏洞（CVE-2022-47939、CVE-2022-47940、CVE-2022-47942）

2022年12月26日，绿盟科技CERT监测到网上发布了Linux Kernel 中的多个安全漏洞，请相关用户尽快采取措施进行防护。

披露时间：2022年12月23日

情报来源：

https://nti.nsfocus.com/threatNotice

本文来源：CNVD漏洞平台、CNNVD安全动态、微步在线、奇安信威胁情报中心、绿盟科技威胁情报中心。