20230131第27期｜安全漏洞一周播报

本期漏洞情况态势

▼本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞531个，其中高危漏洞255个、中危漏洞242个、低危漏洞34个。漏洞平均分值为6.55。本周收录的漏洞中，涉及0day漏洞410个（占77%），其中互联网上出现“TP-Link TL-WR841N跨站脚本漏洞、Online Diagnostic Lab Management System SQL注入漏洞（CNVD-2023-04335）”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数4853个，与上周（4084个）环比增加19%。

漏洞信息

▼重点安全漏洞

1.Apache产品安全漏洞

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Traffic Server（ATS）是一套可扩展的HTTP代理和缓存服务器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞请求安全资源，执行任意代码等。

CNVD收录的相关漏洞包括：Apache OFBiz代码注入漏洞（CNVD-2023-03919、CNVD-2023-03918）、Apache OFBiz代码问题漏洞（CNVD-2023-03920）、Apache Traffic Server输入验证错误漏洞（CNVD-2023-03923、CNVD-2023-03927、CNVD-2023-03926、CNVD-2023-03925、CNVD-2023-03924）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03919

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03918

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03920

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03923

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03927

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03926

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03925

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03924

2.Google产品安全漏洞

Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。Google Chrome是一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，提升权限，在系统上执行任意代码，导致越界内存读取或崩溃等。

CNVD收录的相关漏洞包括：Google TensorFlow缓冲区溢出漏洞（CNVD-2023-03935、CNVD-2023-03936）、Google Chrome安全绕过漏洞（CNVD-2023-04547）、Google Android权限提升漏洞（CNVD-2023-04551、CNVD-2023-04552、CNVD-2023-04553）、Google Chrome Forms代码执行漏洞、Google Chrome Extensions代码执行漏洞（CNVD-2023-04555）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03935

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03936

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04547

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04551

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04552

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04553

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04554

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04555

3.Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞使脚本在无效对象状态下执行导致绕过安全限制，执行任意代码，造成浏览器崩溃等。

CNVD收录的相关漏洞包括：Mozilla Firefox缓冲区溢出漏洞（CNVD-2023-03061、CNVD-2023-03062、CNVD-2023-03064、CNVD-2023-03066）、Mozilla Firefox资源管理错误漏洞（CNVD-2023-03067、CNVD-2023-03063）、Mozilla Firefox代码问题漏洞（CNVD-2023-03065）、Mozilla Firefox访问控制错误漏洞（CNVD-2023-03068）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87643

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87642

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87644

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87648

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87647

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87646

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87650

https://www.cnvd.org.cn/flaw/show/CNVD-2022-87649

4.SAP产品安全漏洞

SAP Host Agent是德国思爱普（SAP）公司的一套支持操作系统监视、数据库监视和系统实例监视等多项生命周期管理任务的代理程序。SAP BusinessObjects Business Intelligence Platform是一款完备的商务分析平台。该平台集市场领先的 SAP 数据整合产品、数据管理产品和商务智能(BI) 产品于一身，可消除系统集成难题，快速、轻松地部署高性能的商务分析软件。SAP NetWeaver AS是一款SAP网络应用服务器。它不仅能提供网络服务，且还是SAP软件的基本平台。SAP Bank Account Management是一个银行账户管理系统。SAP BPC MS是一个业务规划与整合应用程序。提供规划、预算、预测和财务合并功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行非法SQL命令窃取数据库敏感数据，导致跨站脚本攻击，任意代码执行等。

CNVD收录的相关漏洞包括：SAP Host Agent访问控制错误漏洞、SAP BusinessObjects Business Intelligence Platform跨站脚本漏洞（CNVD-2023-03049）、SAP BusinessObjects Business Intelligence Platform CMC application跨站脚本漏洞、SAP NetWeaver AS访问控制错误漏洞、SAP Bank Account Management信息泄露漏洞、SAP BusinessObjects Analysis(Edition For Olap)代码注入漏洞、SAP BPC MS SQL注入漏洞、SAP NetWeaver Application Server跨站脚本漏洞（CNVD-2023-04301）。其中，“SAP BusinessObjects Business Intelligence Platform CMC application跨站脚本漏洞、SAP NetWeaver AS访问控制错误漏洞、SAP BusinessObjects Analysis(Edition For Olap)代码注入漏洞、SAP BPC MS SQL注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

补丁获取链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03050

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03049

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03048

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03052

https://www.cnvd.org.cn/flaw/show/CNVD-2023-03051

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04300

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04302

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04301

5.WordPress plugin LetsRecover SQL注入漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。本周，WordPress plugin LetsRecover被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04535

6.Online Diagnostic Lab Management System SQL注入漏洞（CNVD-2023-04335）

验证描述

Online Diagnostic Lab Management System是在线诊断实验室管理系统。

Online Diagnostic Lab Management System v1.0版本存在SQL注入漏洞，该漏洞源于缺少对外部输入SQL语句的验证，攻击者可利用该漏洞获取数据库敏感信息。

验证信息

POC链接：

https://github.com/vickysuper/Cve_report/blob/master/vendors/oretnom23/online-diagnostic-lab-management-system/SQLi-3.md

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-04335

7.Siemens Automation License Manager 路径遍历漏洞（CNNVD-202301-657）

Siemens Automation License Manager是德国西门子（Siemens）公司的一款用于Siemens产品的许可证管理器。

Siemens Automation License Manager存在路径遍历漏洞，该漏洞源于无法正确验证文件夹的根路径。攻击者利用该漏洞可以修改根目录之外的文件和文件夹。

补丁获取链接：

https://cert-portal.siemens.com/productcert/pdf/ssa-476715.pdf

8. Cisco Industrial Network Director 安全漏洞（CNNVD-202301-982）

Cisco Industrial Network Director（IND）是美国思科（Cisco）公司的一套工业自动化管理系统。该系统通过对工业以太网基础设施的可视化操作来实现自动化管理。Cisco Industrial Network Director存在安全漏洞。攻击者利用该漏洞可以访问敏感数据或执行跨站点脚本攻击。

补丁获取链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ind-fZyVjJtG

高级威胁情报解读

1.疑似Kasablanka组织近期针对俄罗斯的攻击活动分析

APT组织通常会使用一些不常见的文件类型来承载恶意代码，以提高针对杀毒软件的免杀概率，比如近年来我们监测到被滥用的光盘映像文件(.iso)和虚拟硬盘文件(.vhd)，使用这两种格式的文件可以有效的规避MOTW机制。

在2022年9月至12月，疑似Kasablanka组织一直对俄罗斯进行攻击，其攻击对象包括俄罗斯联邦政府合作署、俄罗斯阿斯特拉罕州对外通信部等，并且部分利用了vhdx文件的样本查杀率一直为0。

对捕获的样本进行分析整理，Kasablanka组织通过社会工程学处理后的鱼叉邮件为入口进行攻击，附件为虚拟磁盘映像文件，里面嵌套了包括lnk文件、压缩包、可执行文件等多种下阶段载荷的执行文件。在攻击初期最终执行的是商业木马Warzone RAT，在攻击后期研究人员观察到执行的木马变成了Loda RAT。

披露时间：2023年01月22日

情报来源：

https://mp.weixin.qq.com/s/b0FSKQ6D3MvlA8yX3v4IUg

2.龙珠防红工具携带木马针对运维网管人员的攻击活动分析

近日，奇安信威胁情报中心通过恶意域名监测系统发现大量源IP请求域名 ss.xfiles[.]eu[.]org，而该域名于2022年9月2日被标记为恶意；我们在云沙箱发现了一个回连该域名的恶意样本，通过对该样本的分析发现它是从一个龙珠防红工具的网站下载的，由于该工具在百度搜索引擎中排名比较靠前，所以推测有较大数量的主机被控制，于是我们第一时间针对该攻击事件进行了详细分析。

龙珠防红站点描述该工具是一款浏览器防红、防封小工具，攻击者利用国内运营人员和网管用户需求，搭建网站并购买百度搜索推广排名服务，诱使下载龙珠防红工具，实现对受害主机远程控制、键盘记录等窃密行为。

披露时间：2023年01月17日

情报来源：

https://x.threatbook.com/v5/article?threatInfoID=40910

3.APT组织“GroupA21”组织借官方文档对巴基斯坦发起攻击

GroupA21组织是疑似来自印度的APT组织，又名“幼象”、“babyelephant”等，该组织至少自 2017 年开始活跃，持续针对南亚地区的巴基斯坦、斯里兰卡、马尔代夫和孟加拉等国的政府、军事、外交、情报、原子能和高校等行业和机构开展网络间谍活动的APT组织。该组织在攻击方法及资产上喜欢模仿印度组织“SideWinder”，在归因上也带来一定困难。

微步情报局近期通过威胁狩猎系统捕获到一起GroupA21组织的攻击活动，经过分析有如下发现：

攻击者利用官方网站的正常PDF文件作为诱饵，在文件内携带恶意LNK文件启动诱饵及木马文件。

攻击者使用的最终载荷为WarHawk自研木马以及NetWire、CobaltStrike等公开木马，除此外我们还发现了部署Sliver的C2服务器。

微步在线通过对相关样本、IP 和域名的溯源分析，提取多条相关 IOC ，可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。

披露时间：2023年01月18日

情报来源：

https://x.threatbook.com/v5/article?threatInfoID=41550

4.Apache Kylin-SparkExecutable-命令执行

Kylin的多维数据集设计器函数在覆盖配置覆盖菜单中的系统参数时存在命令注入漏洞。RCE可以通过关闭参数值“--conf=”周围的单引号来实现，以将任何操作系统命令注入到命令行参数中。

披露时间：2023年01月24日

情报来源:

https://ti.dbappsecurity.com.cn/vul/DAS-T104695

5.禅道研发项目管理系统命令注入漏洞

近日，安全服务团队监测到网上公开披露了一个禅道研发项目管理系统命令注入漏洞。未经身份验证的攻击者利用权限绕过漏洞进入后台，之后通过命令注入漏洞在目标系统上实现任意执行代码，请相关用户尽快采取措施进行防护。

披露时间：2023年01月23日

情报来源：

https://nti.nsfocus.com/threatNotice

6.印度尼西亚国防承包商PT Pindad 遭数据泄露

印度尼西亚一家专门从事军事和商业项目的国有公司PT Pindad遭遇数据泄露。据报道，一个伪装成美国国家安全局（UsNSA）的威胁行为者一直在暗网出售被盗数据，包括有关印度尼西亚国防制造业的重要信息。据消息人士透露，被泄露的数据包括PNS ID、NIP（员工识别号码）、职位以及行业敏感信息。目前，事件还在持续调查中。

披露时间：2023年01月24日

情报来源：

https://ti.nsfocus.com/security-news/llOpR

本文来源：CNVD漏洞平台、CNNVD安全动态、微步在线、安恒威胁分析平台、绿盟科技威胁情报中心、奇安信威胁情报中心