安全热点周报（2023.4.17-2023.4.23）

安全资讯导视

01 五部门印发《关于调整网络安全专用产品安全管理有关事项的公告》

02 美国等七国政府机构联合发布数字产品网络安全指南

03 间谍软件厂商NSO去年至少使用了3个iOS零日漏洞利用链

政策法规解读

五眼联盟联合发布智慧城市网络安全指南

4月19日CISA官网消息，美国网络安全与基础设施安全局（CISA）、国家安全局、联邦调查局联合英国、澳大利亚、加拿大、新西兰等国国家网络安全中心发布《智慧城市网络安全最佳实践》指南文件。该指南概述了智能城市面临的风险，包括不断扩大和互联的攻击面、信息和通信技术供应链风险及基础设施运营日益自动化。为防范这些风险，指南提出了安全规划与设计、主动管理供应链风险及运营韧性三项建议，以帮助社区加强其网络态势。

原文链接：

https://www.cisa.gov/sites/default/files/2023-04/cybersecurity-best-practices-for-smart-cities_508.pdf

欧盟发布《网络团结法案》提案，以应对大规模网络攻击

4月19日Euractiv消息，欧盟委员会发布《网络团结法案》提案，希望促进欧盟范围内合作，为重大网络攻击做好应对准备。该提案提出，建立由欧盟各国与跨境安全运营中心共同组成的联盟级安全运营中心“网络护盾”，使用AI等技术监控和识别网络威胁，预计明年投入运营。该提案还提出，建立欧盟网络安全预备队，由可信赖和经认证的私营企业参与，加强网络应急制度应对重大网络事件。《网络团结法案》相关预算为11亿欧元（约合人民币83亿元）

原文链接：

https://www.euractiv.com/section/digital/news/eu-launches-cyber-solidarity-act-to-respond-to-large-scale-attacks/

《网络安全标准实践指南——网络数据安全风险评估实施指引》公开征求意见

4月18日全国信安标委官网消息，全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络数据安全风险评估实施指引》，公开征集意见。本指南给出了网络数据安全风险评估思路、流程和方法，明确了网络数据安全风险评估步骤和工作内容，基于数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别、评估安全风险，适用于数据处理者自行开展安全评估或者有关主管部门组织开展检查评估。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20230418101059

五部门印发《关于调整网络安全专用产品安全管理有关事项的公告》

4月17日网信办官网消息，国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会联合印发《关于调整网络安全专用产品安全管理有关事项的公告》。该文件指出，自2023年7月1日起，停止颁发《计算机信息系统安全专用产品销售许可证》，产品生产者无需申领。列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

原文链接：

http://www.cac.gov.cn/2023-04/17/c_1683373663312410.htm

美国等七国政府机构联合发布数字产品网络安全指南

4月13日CISA官网消息，美国网络安全与基础设施安全局（CISA）、国家安全局、联邦调查局联合英国、德国、荷兰、加拿大、澳大利亚、新西兰六国网络安全政府机构发布《改变网络安全风险的平衡：安全设计与默认安全的原则和方法》指南，鼓励数字产品供应商创建设计安全、默认安全的产品，确保数字产品的构建和配置方式能够防范恶意网络行为。该指南给出了3个保障数字产品安全的原则、12条安全设计策略建议、7条默认安全策略建议。

原文链接：

https://www.cisa.gov/sites/default/files/2023-04/principles_approaches_for_security-by-design-default_508_0.pdf

本周安全大事件

间谍软件厂商NSO去年至少使用了3个iOS零日漏洞利用链

4月18日SecurityWeek消息，公民实验室发布报告称，以色列商业间谍软件软件厂商NSO集团在2022年至少使用了三个此前未知的iOS零点击零日漏洞利用链。公民实验室在调查墨西哥人权主义者iPhone设备恶意软件感染事件时，意外发现了这些漏洞利用链。其中第一个被称为PwnYourHome，针对HomeKit和iMessage，至少从2022年10月起使用，用于攻击iOS 15和16设备。第二个被称为FindMyPwn，针对Find Me和iMessage，至少从2022年6月起使用，用于攻击iOS 15设备。第三个被称为LatentImage，仅出现在一台设备上，至少从2022年起使用。苹果在2022年10月和2023年1月收到相关报告，目前已知与这起事件相关的漏洞有CVE-2023-23529。苹果在去年修复了约12个iOS零日漏洞。

原文链接：
https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/

国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天

4月15日BleepingComputer消息，美国支付服务商NCR遭受勒索软件攻击，旗下POS机服务发生中断。NCR用于酒店服务的产品Aloha POS平台自4月12日发生故障以来，持续多天无法供客户正常使用。NCR在15日对外披露称，为Aloha POS平台提供支持的数据中心遭受到勒索软件攻击，已经影响了部分酒店客户的一定数量的附属Aloha应用程序。有Aloha POS客户在Reddit论坛上表示，中断事件已经导致其业务运营出现重大问题。BlackCat/ALPHV勒索软件团伙宣布为此负责。

原文链接：
https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/

重点关注漏洞

Apache Druid 远程代码执行漏洞安全风险通告

4月21日，奇安信CERT监测到Apache Druid远程代码执行漏洞。Apache Druid是一个高性能的实时大数据分析引擎，主要用于在线分析处理（OLAP）场景。在Apache Druid使用Apache Kafka加载数据的场景下，未经身份认证的远程攻击者可配置Kafka连接属性，从而利用CVE-2023-25194漏洞触发JNDI注入，最终执行任意代码。目前奇安信CERT已成功复现该漏洞，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

Strapi多个高危漏洞安全风险通告

4月21日，奇安信CERT监测到Strapi远程代码执行漏洞(CVE-2023-22621)和Strapi信息泄露漏洞(CVE-2023-22894)，当在可公开访问的条目上存在由超级管理员用户创建或更新的集合的条目时，未经身份验证的远程攻击者可以结合利用这两个漏洞，在受害者服务器上执行任意代码。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

Oracle WebLogic Server敏感信息泄露漏洞(CVE-2023-21979)安全风险通告

4月19日，奇安信CERT监测到Oracle WebLogic Server敏感信息泄露漏洞(CVE-2023-21979)。由于CVE-2023-21839漏洞未修补完全，未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器，低版本JDK下利用此漏洞可能导致远程代码执行，高版本JDK下可能导致敏感信息泄露。奇安信CERT已分析复现此漏洞。鉴于该漏洞在低版本JDK环境下影响较大，建议客户尽快做好自查及防护。

Oracle WebLogic Server敏感信息泄露漏洞(CVE-2023-21931)安全风险通告

4月19日，奇安信CERT监测到Oracle WebLogic Server敏感信息泄露漏洞(CVE-2023-21931)。由于CVE-2023-21839漏洞未修补完全，未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器，低版本JDK下利用此漏洞可能导致远程代码执行，高版本JDK下可能导致敏感信息泄露。奇安信CERT已分析复现此漏洞。鉴于该漏洞在低版本JDK环境下影响较大，建议客户尽快做好自查及防护。

Google Chrome Skia整数溢出漏洞安全风险通告

4月19日，奇安信CERT监测到Google Chrome Skia整数溢出漏洞(CVE-2023-2136)存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，目前官方已发布安全更新，建议用户尽快升级至最新版本。

Oracle多个产品高危漏洞安全风险通告

4月19日，Oracle官方发布了2023年4月的关键安全补丁集合更新CPU（Critical Patch Update），修复了多个漏洞包括CVE-2023-21912、CVE-2023-21996、CVE-2023-21931、CVE-2023-21964、CVE-2023-21979、CVE-2023-21956、CVE-2023-21960等。其中Oracle MySQL Server拒绝服务漏洞(CVE-2023-21912)、Oracle WebLogic Server 拒绝服务漏洞(CVE-2023-21996、CVE-2023-21964)、Oracle WebLogic Server 敏感信息泄露漏洞(CVE-2023-21931、CVE-2023-21979)影响较为严重。鉴于这些漏洞危害性较大，奇安信CERT建议客户尽快应用本次关键安全补丁集合（CPU）。

vm2沙箱逃逸漏洞(CVE-2023-30547)安全风险通告

4月18日，奇安信CERT监测到vm2沙箱逃逸漏洞(CVE-2023-30547)，在vm2的源代码转换器异常清理逻辑中存在沙箱逃逸漏洞，攻击者可绕过handleException()并泄漏未清理的主机异常，进而逃逸沙箱实现任意代码执行。目前奇安信CERT已成功复现该漏洞，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

Google Chrome V8类型混淆漏洞安全风险通告

4月17日，奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，建议客户尽快升级到安全版本。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！