一周网安动态
Weekly Network Security
2023-04-24 周一
20230417-20230423
LEISHI
# 内容预览 #
政策法规
1、五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》
2、五月正式实施!一文带你看懂《关基保护要求》
3、征求意见‖《汽车远程升级(OTA)信息安全测试规范》
安全事件
1、西门子元宇宙暴露敏感企业数据
2、安卓恶意软件渗入60个Google Play应用,安装量达1亿次
3、被盗的 ChatGPT 高级帐户在暗网上出售
4、工信部:我国开源软件开发者数量突破 800 万,位居全球第二
5、马斯克称:美国政府及情报机构可监视推特所有私聊信息
6、生成式人工智能、深度合成技术与算法推荐的关联与合规要点
7、微软 SQL 服务器遭黑客入侵,所有文件都被加密
8、2023 年“铁拳”行动重点打击“刷单炒信”等 8 类违法行为
9、谷歌云平台现“鬼魂漏洞”,能让恶意软件隐身
漏洞情报
1、Google Chrome V8类型混淆漏洞(CVE-2023-2033)安全风险通告
2、【已复现】Vm2 沙箱逃逸漏洞(CVE-2023-30547)安全风险通告
3、MySQL Server 拒绝服务漏洞
4、Oracle WebLogic Server 远程代码执行漏洞
5、Apache Druid 远程代码执行漏洞
6、泛微 Ecology OA SQL 注入漏洞
# 政策法规 #
01
五部门联合发布《关于调整网络安全
专用产品安全管理有关事项的公告》
近日,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会共同发布《关于调整网络安全专用产品安全管理有关事项的公告》(以下简称《公告》)。
《公告》依据《中华人民共和国网络安全法》、《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(2017年第1号)、《国家认监委 工业和信息化部 公安部 国家互联网信息办公室关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》(2018年第12号)、《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》(2022年第1号),旨在加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测,调整网络安全专用产品安全管理有关事项公告如下:
消息来源:
02
五月正式实施!一文带
你看懂《关基保护要求》
2022年11月,全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关基保护要求》),将于2023年5月1日正式实施。市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《关基保护要求》发布宣贯会。《关基保护要求》是继《关保条例》后,我国首个发布的关键信息基础设施安全保护标准,对于我国关键信息基础设施安全保护有着极为重要的指导意义。
消息来源:
https://www.freebuf.com/articles/neopoints/364168.html
03
征求意见‖《汽车远程升级
(OTA)信息安全测试规范》
由中国智能网联汽车产业创新联盟(以下简称“联盟”)提出,国家智能网联汽车创新中心(以下简称“创新中心”)牵头的《汽车远程升级(OTA)信息安全测试规范》标准已形成征求意见稿。现面向全体会员及其他有关单位广泛征求意见。征求意见时间为2023年4月7日-5月8日。
消息来源:
https://www.freebuf.com/news/364263.html
# 安全事件 #
01
西门子元宇宙暴露敏感企业数据
最近,Cybernews研究团队发现西门子元界(一个旨在为其工厂和办公室创建数字“孪生”的平台)正在泄露敏感信息。这些信息一旦被那些攻击者拿到,很可能会对该公司和其他使用其服务的大公司产生毁灭性的后果,包括勒索软件攻击。西门子表示这个问题目前已经得到解决。
3月1日,Cybernews研究团队发现一个托管在metaverse.siemens.com域名上的环境文件,里面包含了ComfyApp的凭证和端点。此外,研究团队还发现西门子泄露了WordPress里的四组用户信息,以及系统中的三套后台和身份验证端点URL。另外,研究人员发现西门子办公管理平台ComfyApp的用户凭证也被曝光。
消息来源:
https://www.freebuf.com/news/363957.html
02
安卓恶意软件渗入60个Google
Play应用,安装量达1亿次
一个名为 "Goldoson "的新安卓恶意软件通过60个应用程序渗透到了Google Play中,下载量超过1亿次。
消息来源:
https://www.bleepingcomputer.com/news/security/android-malware-infiltrates-60-google-play-apps-with-100m-installs/
03
被盗的 ChatGPT 高
级帐户在暗网上出售
根据Check Point的研究,自3月以来,被盗的ChatGPT帐户凭据的交易,尤其是高级帐户的交易,在暗网上呈上升趋势。
消息来源:
https://www.csoonline.com/article/3693569/stolen-chatgpt-premium-accounts-up-for-sale-on-the-dark-web.html
04
工信部:我国开源软件开发者数
量突破 800 万,位居全球第二
据央视《新闻联播》4 月 17 日报道,记者从工信部了解到,我国开源软件开发者数量突破 800 万,位居全球第二。
IT之家查询获悉,工信部已制定实施《“十四五”软件和信息技术服务业发展规划》,对加快开源发展、繁荣开源生态作出战略部署,提出明确要求。去年 9 月,工信部指出下一步将继续面向关键软件领域布局开源项目,优化开源社区,完善开源相关治理规则,加快繁荣国内开源生态。
消息来源:
https://www.secrss.com/articles/53527
05
马斯克称:美国政府及情报机
构可监视推特所有私聊信息
推特首席执行官埃隆·马斯克近日在采访中表示,他上任之前得知美国政府可以完全访问推特用户的私聊信息,这让他感到非常震惊。马斯克此前在接受塔克·卡尔森(Tucker Carlson)采访的片段中表示,之前推特管理层一直和政府机构有所联系,因为政府机构有时候会安排他们直接禁止推特上的一些内容。
消息来源:
06
生成式人工智能、深度合成技术
与算法推荐的关联与合规要点
国务院早在2017年就发布了《新一代人工智能发展规划》,强调人工智能是引领未来的战略性技术,要把人工智能发展放在国家战略层面来系统布局,预计到2025年,国家会“初步建立人工智能法律法规、伦理规范和政策体系,形成人工智能安全评估和管控能力”。近几年,以ChatGPT为代表的生成式人工智能技术高速发展,世界各国的企业都在纷纷研发相关产品或服务,但是这种技术在为社会带来便利的同时也带来了相关的法律风险。在此背景下,国家网信办发布了《生成式人工智能服务管理办法(征求意见稿)》(以下简称《办法》),明确了生成式人工智能的定义,以及相关产品和服务提供者的合规义务,对生成式人工智能进行专项监管,逐步完善中国人工智能法律体系。
中国针对人工智能宏观治理基调是“支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作,鼓励优先采用安全可信的软件、工具、计算和数据资源”。
消息来源:
https://thehackernews.com/2023/04/apple-releases-updates-to-address-zero.html
07
微软 SQL 服务器遭黑客入
侵,所有文件都被加密
近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。
入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。AhnLab表示,CLR Shell是一种CLR汇编恶意软件,该软件在接收入侵者的命令后可直接执行恶意入侵行为,运行模式有点类似于web服务器的webshell。
消息来源:
08
2023 年“铁拳”行动重点打击
“刷单炒信”等 8 类违法行为
IT之家 4 月 20 日消息,据央视新闻,市场监管总局印发了 2023 年“铁拳”行动方案,明确了重点打击的 8 类违法行为,其中包含“刷单炒信等虚假宣传”、”利用不公平格式条款侵害消费者权益“。
市场监管总局强调,当前在不少领域存在“刷单炒信”行为,呈现出组织化、规模化、职业化、隐蔽化等特点。2022 年,市场监管总局部署开展全国反不正当竞争专项执法行动,严厉查处“刷单炒信”等不正当竞争行为。全年全国各级市场监管部门共查办各类不正当竞争案件 9069 件,罚没金额 6.2 亿元。其中刷单炒信案件 738 件,罚没金额约 4868 万元。
消息来源:
https://www.ithome.com/0/687/836.html
09
谷歌云平台现“鬼魂漏
洞”,能让恶意软件隐身
据Dark Reading 4月21日消息,谷歌云平台 (GCP) 被曝存在一个安全漏洞,可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。
这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告,根据该团队 4 月 20 日发布的分析,恶意程序之所以进行隐藏,是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置,有了这些信息,攻击者就可以设计出极具迷惑性的网络钓鱼攻击。除此之外,攻击者还可能从Google Drive 中删除文件,从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击,从 Google Calendar、Photos 或 Docs 中敏感数据,等等。
消息来源:
https://www.freebuf.com/news/364315.html
# 漏洞情报 #
01
Google Chrome V8类型混淆漏洞
(CVE-2023-2033)安全风险通告
近日,奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
02
【已复现】Vm2 沙箱逃逸漏洞
(CVE-2023-30547)安全风险通告
近日,奇安信CERT监测到 VM2 沙箱逃逸漏洞(CVE-2023-30547),在 vm2 的源代码转换器异常清理逻辑中存在沙箱逃逸漏洞,攻击者可绕过 handleException() 并泄漏未清理的主机异常,进而逃逸沙箱实现任意代码执行。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
03
MySQL Server 拒绝服务漏洞
Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。
近日,Oracle 官方发布了2023年04月的关键补丁程序更新CPU(Critical Patch Update),修复了多个产品漏洞,其中包含一个Oracle MySQL Server中的拒绝服务漏洞,漏洞编号:CVE-2023-21912,漏洞危害等级:高危。未经身份验证的远程攻击者可通过 MySQL 协议网络访问MySQL Server,成功利用此漏洞可导致目标 MySQL Server 挂起或频繁重复崩溃,造成拒绝服务攻击。
消息来源:
https://loudongyun.360.net/leakDetail/50hzqXGEJG0%3D
04
Oracle WebLogic Server
远程代码执行漏洞
Oracle WebLogic Server 是行业领先的应用服务器,用于使用 Java EE 标准构建企业应用程序,并将它们部署在可靠、可扩展的运行时上。
2023年4月19日,Orcale 发布2023年4月安全咨询,其中中修复了多个产品漏洞,其中包含一个 Oracle WebLogic Server 远程代码执行漏洞,该漏洞允许未经身份验证的攻击者通过IIOP协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。漏洞编号:CVE-2023-21931,漏洞危害等级:高危。
消息来源:
https://loudongyun.360.net/leakDetail/V0ajUJVCHow%3D
05
Apache Druid
远程代码执行漏洞
Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。
近日,360漏洞云监测到Aapche Druid存在一个远程代码执行漏洞 ,Apache Druid截至目前的全版本都受到之前Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)的影响 ,导致攻击者可以利用该漏洞在Apache Druid服务器中触发远程代码执行漏洞。漏洞等级: 严重。
消息来源:
https://loudongyun.360.net/leakDetail/Jc7Z3SkRN78%3D
06
泛微 Ecology OA
SQL 注入漏洞
泛微协同管理应用平台(E-Cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
2023年4月18日,泛微E-Cology官方发布了补丁更新,修复了一处SQL注入漏洞,漏洞危害等级:高危。
由于泛微 Ecology 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击,从而可窃取数据库敏感信息。
消息来源:
https://loudongyun.360.net/leakDetail/RTeTpq7wlOc%3D
END
一周网安咨询由雷石安全实验室汇总整理
信息来源:
freebuf、安全客、安全内参、中国信息安全、
cnbeta、seebug,hacknews、奇安信CERT、360漏洞云
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...