20230321第33期｜安全漏洞一周播报

本期漏洞情况态势

▼本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞301个，其中高危漏洞192个、中危漏洞98个、低危漏洞11个。漏洞平均分值为7.44。本周收录的漏洞中，涉及0day漏洞179个（占59%），其中互联网上出现“JeeCMS跨站脚本漏洞（CNVD-2023-17600）、WUZHI CMS跨站脚本漏洞（CNVD-2023-17601）”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数30996个，与上周（28859个）环比增加7%。

漏洞信息

▼重点安全漏洞

1.Adobe产品安全漏洞

Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe Premiere Rush是美国奥多比（Adobe）公司的一套跨平台的视频编辑软件。Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致敏感内存泄露，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Bridge堆缓冲区溢出漏洞（CNVD-2023-17020、CNVD-2023-17019）、Adobe Bridge越界读取漏洞（CNVD-2023-17018）、Adobe Photoshop输入验证错误漏洞（CNVD-2023-17021）、Adobe Photoshop越界写入漏洞（CNVD-2023-17022）、Adobe Premiere Rush堆栈缓冲区溢出漏洞、Adobe After Effects越界读取漏洞（CNVD-2023-17024）、Adobe Animate内存错误引用漏洞。除“Adobe Bridge越界读取漏洞（CNVD-2023-17018）、Adobe After Effects越界读取漏洞（CNVD-2023-17024）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17020

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17019

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17018

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17021

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17022

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17023

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17024

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17047

2.Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过特制的HTML页面绕过内容安全策略，泄露跨域数据，提升权限等。

CNVD收录的相关漏洞包括：Google Chrome V8类型混淆漏洞（CNVD-2023-12021）、Google Android Kernel权限提升漏洞（CNVD-2023-12019）、Google Chrome iframe Sandbox代码问题漏洞、Google Chrome安全特制问题漏洞、Google Chrome信息泄露漏洞（CNVD-2023-12025、CNVD-2023-14253、CNVD-2023-14290、CNVD-2023-14291）。其中，除“Google Android Kernel权限提升漏洞（CNVD-2023-12019）、Google Chrome信息泄露漏洞（CNVD-2023-12025）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12021

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12019

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12023

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12027

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12025

https://www.cnvd.org.cn/flaw/show/CNVD-2023-14253

https://www.cnvd.org.cn/flaw/show/CNVD-2023-14290

https://www.cnvd.org.cn/flaw/show/CNVD-2023-14291

3.D-Link产品安全漏洞

D-Link DIR-605L是中国D-Link公司的一款无线路由器。本周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞导致远程代码执行或服务中断。

CNVD收录的相关漏洞包括：D-Link DIR-605L缓冲区溢出漏洞（CNVD-2023-17668、CNVD-2023-17667、CNVD-2023-17666、CNVD-2023-17670、CNVD-2023-17669、CNVD-2023-17673、CNVD-2023-17672、CNVD-2023-17671）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17668

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17667

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17666

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17670

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17669

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17673

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17672

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17671

4.Dell产品安全漏洞

Dell PowerScale OneFS是美国戴尔（Dell）公司的提供横向扩展NAS的PowerScale OneFS操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过多个受影响字段存储恶意HTML或JavaScript代码，获取敏感信息，导致系统崩溃等。

CNVD收录的相关漏洞包括：Dell PowerScale OneFS跨站脚本漏洞、Dell PowerScale OneFS缓冲区溢出漏洞、Dell PowerScale OneFS日志信息泄露漏洞（CNVD-2023-12626、CNVD-2023-12625、CNVD-2023-12630、CNVD-2023-12627）、Dell PowerScale OneFS信任管理问题漏洞、Dell PowerScale OneFS操作系统命令注入漏洞。其中，“Dell PowerScale OneFS日志信息泄露漏洞（CNVD-2023-12626、CNVD-2023-12627）、Dell PowerScale OneFS信任管理问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12615

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12614

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12626

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12625

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12623

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12627

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12631

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12630

5.Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面从进程内存中获取潜在的敏感信息，通过特制的HTML页面导致堆损坏等。

CNVD收录的相关漏洞包括：Google Chrome DevTools组件类型混肴漏洞、Google Chrome Crash reporting组件缓冲区溢出漏洞、Google Chrome Core资源管理错误漏洞、Google Chrome Autofill组件代码问题漏洞、Google Chrome V8类型混淆漏洞（CNVD-2023-17527）、Google Chrome UMA组件缓冲区溢出漏洞（CNVD-2023-17526）、Google Chrome DevTools资源管理错误漏洞（CNVD-2023-17525）、Google Chrome Web Audio API组件缓冲区溢出漏洞。其中，除“Google Chrome Autofill组件代码问题漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17524

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17523

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17522

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17521

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17527

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17526

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17525

https://www.cnvd.org.cn/flaw/show/CNVD-2023-17528

高级威胁情报解读

1.韩国 ANDROID 银行业务的威胁——FAKECALLS

“低调行事，高瞄准”是研究人员在最近的Android恶意软件研究中所发现的特点。一种名为FakeCalls的Android特洛伊木马，可以冒充20多个金融应用程序并模仿与银行或金融服务员工的电话对话，这种攻击称为语音网络钓鱼。FakeCalls恶意软件针对韩国市场，不仅能够实现其主要目的，还能从受害者的设备中提取私人数据。

研究人员发现了2500多个FakeCalls恶意软件样本，使用了各种组合的仿冒金融组织，并实施了反分析（也称为逃避）技术。恶意软件开发人员特别关注其恶意软件的保护，使用了几种我们之前在野外从未见过的独特逃避技术。

在报告中，描述所有遇到的反分析技术，并展示了如何缓解它们，深入探讨了恶意软件功能的关键细节，并解释了如何保护自己免受此类威胁。

披露时间：2023年3月14日

情报来源：

https://research.checkpoint.com/2023/south-korean-android-banking-menace-fakecalls/

2.CatB 勒索软件通过 MSDTC 服务 DLL 劫持来窃取数据

CatB 勒索软件系列（有时称为 CatB99 或 Baxtoy）于 2022 年底首次被发现，自 11 月以来一直在稳定地观察到活动。由于他们通过 Microsoft 分布式事务处理协调器 (MSDTC) 持续使用 DLL 劫持来提取和启动勒索软件有效载荷，该组织的活动受到了关注。

勒索笔记中的字符串相似性以及勒索软件有效负载留下的修改表明 CatB 可能是 Pandora 勒索软件的演变或直接更名，Pandora 勒索软件在 2022 年初至中期活跃，目标是汽车行业。

在这篇文章中，研究人员对 CatB 勒索软件及其对合法 MSDTC 服务的滥用进行了技术分析，描述了其规避策略、加密行为以及窃取凭据和浏览器数据的尝试。

披露时间：2023年3月13日

情报来源：

https://www.sentinelone.com/blog/decrypting-catb-ransomware-analyzing-their-latest-attack-methods/

3.近期TA569攻击活动的分析报告

研究人员在2月26日发布了关于TA569攻击活动的分析报告。TA569是一个多产的攻击团伙，利用了多种类型的注入方式、流量分配系统(TDS)和payload，包括但不限于SocGholish。TA569被认为是一个初始访问代理(IAB)或独立的网络犯罪团伙，其TTP在过去几个月中发生了变化。目标访问遭到TA569注入攻击的网站时，其浏览器会解释注入的JavaScript，满足特定条件后会抛出一个诱饵，如虚假的浏览器更新。这些诱饵用于分发各种恶意软件payload，包括信息窃取程序或RAT。

披露时间：2023年02月26日

情报来源：

https://www.proofpoint.com/us/blog/threat-insight/ta569-socgholish-and-beyond

4.Emotet 再次出击，恢复垃圾邮件操作

Emotet 是一种著名的银行木马，通常通过包含恶意附件的垃圾邮件进行传播。打开电子邮件附件后，恶意软件将被下载并加载到设备的内存中，最终从远程命令与控制 (C&C) 服务器接收命令。它还窃取受害者的电子邮件和联系人，用于未来的表情垃圾邮件活动，还可以下载其他有效负载，如 Cobalt Strike，经常导致勒索软件攻击。

Emotet 曾经是传播最广泛的恶意软件，但它的势头一直在逐渐减弱，其之前在 2022 年 11 月发起的垃圾邮件活动仅持续了两周。尽管如此，经过三个月的不活动后，Emotet 僵尸网络已重新开始发送恶意电子邮件并通过重建其网络在全球范围内感染设备。3 月 7 日，美国东部标准时间上午 8 点，僵尸网络恢复发送恶意电子邮件并感染全球用户。

研究人员在 3 月 7 日发布的一条推文表明，Emotet 重新浮出水面，并使用 Epoch4 服务器分发包含大小超过 500MB 的恶意文档附件的垃圾邮件。根据我们在 2023 年 3 月 7 日至 3 月 9 日期间观察到的情报，Emotet 垃圾邮件机器人活动在地理上分散在超过 16 个国家/地区。

披露时间：2023年03月10日

情报来源:

https://blog.cyble.com/2023/03/10/emotet-strikes-again-resuming-spamming-operations/

5.BatLoader滥用谷歌搜索广告分发恶意软件

3月9日，研究人员发布报告披露了BATLOADER利用谷歌搜索广告来分发Vidar Stealer和Ursnif的活动。2023年2月中旬，研究人员发现了通过代码注入在一个制造业客户的端点上执行Ursnif的尝试。随后的调查发现，该感染是目标用户在谷歌上搜索Adobe Reader的结果。此外，除了Ursnif或Vidar等标准payload外，BatLoader还执行Cobalt Strike，研究人员认为这样做是为了对系统进行预处理以便进一步入侵。

披露时间：2023年03月09日

情报来源：

https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

本文来源：CNVD漏洞平台、奇安信威胁情报中心