20230111第25期丨网络数据安全要闻一周播报

本期漏洞情况态势

▼本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞346个，其中高危漏洞112个、中危漏洞208个、低危漏洞26个。漏洞平均分值为6.15。本周收录的漏洞中，涉及0day漏洞290个（占84%），其中互联网上出现“Zettlr输入验证错误漏洞、WordPress Transposh WordPress Translation SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数4085个，与上周（47744个）环比减少91%。

漏洞信息

▼重点安全漏洞

1.IBM产品安全漏洞

IBM AIX是美国国际商业机器（IBM）公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行从网站信任的用户传输的恶意和未经授权的操作，通过AIX SMB客户端实现拒绝服务等。

CNVD收录的相关漏洞包括：IBM AIX拒绝服务漏洞（CNVD-2023-00804、CNVD-2023-00807、CNVD-2023-00806、CNVD-2023-00805、CNVD-2023-00810、CNVD-2023-00809、CNVD-2023-00808）、IBM DB2跨站请求伪造漏洞（CNVD-2023-00813）。其中，“IBM AIX权限提升漏洞（CNVD-2023-00805）、IBM DB2跨站请求伪造漏洞（CNVD-2023-00813）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00804

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00807

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00806

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00805

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00810

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00809

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00808

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00813

2.Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Pixel是美国谷歌（Google）公司的一款智能手机。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，获得提升的权限，远程执行任意代码等。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-01051）、Google Pixel缓冲区溢出漏洞（CNVD-2023-01493、CNVD-2023-01492、CNVD-2023-01491、CNVD-2023-01490、CNVD-2023-01494、CNVD-2023-01499、CNVD-2023-01498）。其中，“Google Android权限提升漏洞（CNVD-2023-01051）、Google Pixel缓冲区溢出漏洞（CNVD-2023-01492、CNVD-2023-01490）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01051

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01493

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01492

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01491

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01490

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01494

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01499

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01498

3.Huawei产品安全漏洞

Huawei ws7200-10是中国华为（HUAWEI）公司的一款无线路由器。Huawei CV81-WDM FW是中国华为（Huawei）公司的一款激光多功能打印机。Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei Magic UI是一个智能设备操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过暴力破解获取密码，可能导致系统敏感信息泄露，获得打印机的最高权限，导致服务异常等。

CNVD收录的相关漏洞包括：Huawei WS7200-10访问控制错误漏洞、Huawei CV81-WDM FW输入验证不足漏洞、Huawei CV81-WDM FW命令注入漏洞、Huawei CV81-WDM FW输入校验漏洞（CNVD-2023-01056、CNVD-2023-01060）、Huawei EMUI和Magic UI拒绝服务漏洞（CNVD-2023-01057）、Huawei EMUI和Huawei Magic UI越界写入漏洞、Huawei EMUI和Magic UI越界写入漏洞（CNVD-2023-01059）。其中，除“Huawei WS7200-10访问控制错误漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01053

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01054

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01055

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01056

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01057

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01058

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01059

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01060

4.Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞在浏览器上下文中执行恶意JavaScript。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2023-00009、CNVD-2023-00605、CNVD-2023-00604、CNVD-2023-00603、CNVD-2023-00608、CNVD-2023-00607、CNVD-2023-00606、CNVD-2023-00611）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00009

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00605

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00604

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00603

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00608

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00607

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00606

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00611

5.Tenda i22缓冲区溢出漏洞

Tenda i22是中国腾达（Tenda）公司的一款无线接入点。本周，Tenda i22被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞提交特殊的请求，可以在系统上下文执行任意代码或者使应用程序崩溃。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-00010

6.Zettlr输入验证错误漏洞

验证描述

Zettlr是一款用于专业编辑Markdown文件的最全面的编辑器。

Zettlr 2.3.0版本存在输入验证错误漏洞，该漏洞源于应用程序无CSP策略，在渲染markdown文件之前未正确验证内容，攻击者可利用该漏洞查看本地的任意文件。

验证信息

POC链接：

https://fluidattacks.com/advisories/avicii/

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-01488

7.WordPress plugin Dokan SQL注入漏洞（CNNVD-202212-2927）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Dokan 3.7.6之前版本存在SQL注入漏洞，该漏洞源于在SQL语句使用参数之前没有正确地对其进行清理和转义。攻击者利用该漏洞执行SQL注入攻击。

补丁获取链接：

https://wpscan.com/vulnerability/fd416d99-1970-418f-81f5-8438490d4479

8. Apache Tapestry 代码问题漏洞（CNNVD-202212-1863）

Apache Tapestry是美国阿帕奇（Apache）基金会的一款使用Java语言编写的Web应用程序框架。

Apache Tapestry 3.x版本存在代码问题漏洞，该漏洞源于其允许对不受信任的数据进行反序列化导致攻击者可以实现远程代码执行。

补丁获取链接：

https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj

高级威胁情报解读

1.波兰警告亲俄黑客组织Ghostwriter发动袭击

GhostWriter 至少从 2017 年开始活跃，此前观察到它冒充立陶宛、拉脱维亚和波兰的记者，向当地观众传播虚假信息和反北约言论。

近日，波兰政府警告称，GhostWriter 近期一直关注波兰，试图侵入电子邮件账户收集信息，并控制社交媒体账户传播虚假信息。俄罗斯黑客攻击的目标是公共领域和国家组织、战略能源和军备供应商以及其他重要实体。其公告中的一个案例是“GhostWriter”组织建立了冒充政府域名 gov.pl 的网站，向据称得到欧洲资金支持的波兰居民宣传虚假经济补偿。单击嵌入式按钮“以了解有关该程序的更多信息”会将受害者带到一个钓鱼网站。

此外，针对议会网站 ('sejm.gov.pl') 的 DDoS（分布式拒绝服务）的攻击，被归因于亲俄罗斯的所谓黑客活动主义者 NoName057(16)。攻击发生在议会通过决议承认俄罗斯是支持恐怖主义的国家后的第二天，公众无法访问该网站。

披露时间：2023年01月03日

情报来源：

https://www.bleepingcomputer.com/news/security/poland-warns-of-attacks-by-russia-linked-ghostwriter-hacking-group/

2. 攻击者对哥伦比亚银行发起SQL注入攻击以部署BitRAT恶意软件

最近有报告称，攻击者一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼电子邮件的诱饵，最终目标是在受害者系统上部署BitRAT恶意软件。BitRAT是一种相当新的、臭名昭著的远程访问木马，其自2021年2月起便在地下网络犯罪市场和论坛上以相对较低的20美元价格进行销售。

据研究人员描述，攻击者主要通过对哥伦比亚一家合作银行的IT基础设施发起SQL注入攻击，以窃取银行敏感信息并制作令人信服的Excel诱饵文件。泄露的详细信息包括Cédula号码(哥伦比亚公民的国民身份证件），电子邮件地址，电话号码，客户姓名，付款记录，工资详细信息和地址等。此外，Excel文件包含一个高度混淆的宏，它会释放并执行一个可加载第二阶段dll文件的.inf负载。dll文件则最终使用WinHTTP库将BitRAT嵌入式有效负载从GitHub下载到受害者系统中的%temp%目录。

披露时间：2023年01月03日

情报来源：

https://blog.qualys.com/vulnerabilities-threat-research/2023/01/03/bitrat-now-sharing-sensitive-bank-data-as-a-lure

3.BlackCat勒索软件组织创建泄露受害者数据的网站

BlackCat勒索软件组织正在尝试一种新的迫使受害者支付赎金的策略，他们在公共互联网上创建一个欺诈网站，披露从受害者那里窃取的个人数据。

BlackCat勒索软件组织也被称为Alphv，据称从美国一家小型会计公司窃取了3.5GB的数据，所有这些数据显然都可以在这个欺诈网站上找到，该网站解析出的域名与该会计师事务所的合法域名只有一个微小的拼写错误。研究人员看到的数据似乎属于该会计师事务所的员工和客户，包括明文密码、员工详细信息、审计报告、客户的纳税申报单细节、驾驶执照和未经编辑的护照扫描件。

披露时间：2023年01月03日

情报来源：

https://www.govinfosecurity.com/blackcat-spoofs-victim-website-to-leak-stolen-data-a-20847

4.攻击者利用BitRAT恶意软件从银行窃取的敏感信息发起钓鱼攻击

据观察，一个新的恶意软件活动使用从银行窃取的敏感信息作为钓鱼电子邮件的诱饵，以丢弃名为 BitRAT的远程访问木马。这位未知的攻击者劫持了哥伦比亚一家合作银行的IT基础设施，利用这些信息制造令人信服的诱饵信息，引诱受害者打开可疑的Excel附件。目前发现了一个数据库转储的证据，其中包括418777条记录，据说这些记录是通过利用SQL注入错误获得的。泄露的细节包括Cédula号码（发给哥伦比亚公民的国家身份文件）、电子邮件地址、电话号码、客户姓名、付款记录、工资明细和地址等。没有迹象表明，这些信息以前曾在暗网或明网的任何论坛上共享过，这表明攻击者自己获得了客户数据，从而发起了网络钓鱼攻击。

披露时间：2023年01月04日

情报来源：https://ti.nsfocus.com/security-news/llOom

5.洛杉矶市住房管理局证实遭 LockBit勒索软件攻击

日前，洛杉矶市住房管理局（HACLA）证实，LockBit勒索软件组织的窃取了数据信息。据报道，LockBit勒索软件组织在其网站上表示，窃取了HACLA 15 TB的数据，若不在1月12日交付赎金就将数据公开。HACLA是美国最大、历史最悠久的公共住宅管理局之一。该机的年数预计超过10亿元，为该市19000多个家庭提供服务支持。目前，HACLA表示正在与网络安全专家合作以恢复系统，并解决此次事件。

披露时间：2023年01月05日

情报来源：

https://ti.nsfocus.com/security-news/lIOpx

6.Cricket 平台暴露了超过10万个客户数据条目

一个板球社区社交网络泄露了超过10万个用户输入和管理凭据。网络新闻研究人员发现，蟋蟀社交网站留下了一个包含电子邮件、电话号码、姓名、散列用户密码、出生日期和地址的开放数据库。大多数条目似乎是测试数据，但安全研究员表明，有些条目是来自实际网站用户的个人识别信息（PII）。即使存储的所有信息都是测试数据，将数据以明文形式保存也是对所采用的不良安全做法的尖锐指示。如果不加以控制，这将为不健全的做法悄悄进入生产环境带来不必要的风险。

披露时间：2023年01月05日

情报来源：

https://ti.nsfocus.com/security-news/llOpc

本文来源：CNVD漏洞平台、CNNVD安全动态、奇安信威胁情报中心、绿盟科技威胁情报中心。