安天网络行为检测能力升级通告（20230108）

点击上方"蓝字"

关注我们吧！

安天长期跟踪分析流量侧网络活动，甄别抓取恶意网络行为，研发配套新的检测方法与手段，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

01

网络流量威胁趋势

近期智能扬声器、WiFi路由器等多种IoT设备曝出存在漏洞，同时上千台Citrix服务器受到两个已修复的严重漏洞的影响，建议用户及时自查并更新至安全版本。

近期网络安全事件涉及LockBit、Royal、Ragnar Locker、PureCoder等组织。

本期活跃的安全漏洞信息

1

Firefox代码执行漏洞（CVE-2022-38478）

2

NepxionDiscovery远程代码执行漏洞（CVE-2022-23463）

3

XStream拒绝服务漏洞（CVE-2022-41966）

4

LinuxKernel 远程代码执行漏洞（CVE-2022-47939）

值得关注的安全事件

1

上千台Citrix服务器易受到两个严重漏洞的影响

近日，研究人员警告称，数以千计的Citrix ADC和网关部署仍然存在风险，容易受到两个严重漏洞的影响，即使该品牌服务器在此之前已经修复了这两个严重漏洞。第一个漏洞是CVE-2022-27510，已于2022年11月8日修复，其可影响两种Citrix产品的身份验证绕过，攻击者可以利用它获得对设备的未授权访问、执行远程桌面或绕过登录暴力破解保护。第二个漏洞被跟踪为CVE-2022-27518，已于2022年12月13日披露并修补，其允许未经身份验证的攻击者，在易受攻击的设备上执行远程命令并控制它们。但当Citrix发布安全更新修复漏洞时，攻击者已经在大规模利用 CVE-2022-27518漏洞了。

2

严重的Linux内核漏洞影响启用了KSMBD的SMB服务器

近期，研究人员发现KSMBD存在严重的安全漏洞，该漏洞CVSS得分为10.0。KSMBD是一个Linux内核服务器，它在内核空间实现SMB3协议，用于通过网络共享文件。该漏洞存在于SMB2_TREE_DISCONNECT命令的处理过程中，是由于在对象执行操作之前没有验证对象的存在，攻击者可以利用此漏洞在内核上下文中执行任意代码。建议使用 KSMBD的用户必须更新到8月之后发布的Linux内核版本——5.15.61及以上版本。

02

安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增网络攻击行为特征涉及后门木马、远程命令执行漏洞、远程代码注入等高风险，涉及勒索木马、窃密木马、恶意木马等中风险，还包括侦查扫描、访问敏感目录等低风险。

03

更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2023010419，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.2 SP1及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，对网络安全形势研判给出专业解读。

往期回顾