20230523第41期｜安全漏洞一周播报

本期漏洞情况态势

本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞483个，其中高危漏洞230个、中危漏洞224个、低危漏洞29个。漏洞平均分值为6.43。本周收录的漏洞中，涉及0day漏洞428个（占89%），其中互联网上出现“Vehicle Booking System文件上传漏洞、SIYUCMS远程代码执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数15110个，与上周（4646个）环比增加2.25倍。

图1 CNVD收录漏洞近10周平均分值分布图

重点安全漏洞信息

1、Huawei产品安全漏洞

Huawei HiLink AI Life是中国华为（Huawei）公司的全屋智能解决方案。Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是提供一个基于微内核的全场景分布式操作系统。Huawei BiSheng-WNM FW是一款华为打印机。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问未经授权的信息，导致恶意隐藏应用程序图标，造成拒绝服务等。

CNVD收录的相关漏洞包括：Huawei HiLink AI Life授权问题漏洞、Huawei EMUI和HarmonyOS拒绝服务漏洞（CNVD-2023-38960）、Huawei EMUI和HarmonyOS信息泄露漏洞、Huawei EMUI和HarmonyOS安全绕过漏洞、Huawei EMUI和HarmonyOS双重释放漏洞、Huawei BiSheng-WNM FW拒绝服务漏洞（CNVD-2023-39039、CNVD-2023-39041、CNVD-2023-39040）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-36105、CNVD-2023-36108、CNVD-2023-36107、CNVD-2023-36109、CNVD-2023-36112、CNVD-2023-36115、CNVD-2023-36114）、Google Android代码执行漏洞（CNVD-2023-36113）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37156

https://www.cnvd.org.cn/flaw/show/CNVD-2023-38960

https://www.cnvd.org.cn/flaw/show/CNVD-2023-38962

https://www.cnvd.org.cn/flaw/show/CNVD-2023-38961

https://www.cnvd.org.cn/flaw/show/CNVD-2023-38964

https://www.cnvd.org.cn/flaw/show/CNVD-2023-39039

https://www.cnvd.org.cn/flaw/show/CNVD-2023-39041

https://www.cnvd.org.cn/flaw/show/CNVD-2023-39040

2、Schneider Electric产品安全漏洞

Schneider Electric StruxureWare Data Center Expert是法国施耐德电气（Schneider Electric）公司的一种监控软件。适用于各种组织监控其全公司范围内的电力、制冷、安全、环境。Schneider Electric Igss Data Server是一个交互式图形Scada系统的数据服务器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送特制的消息来获取操作和读取IGSS项目报告目录中的文件，导致远程代码执行等。

CNVD收录的相关漏洞包括：Schneider Electric StruxureWare Data Center Expert操作系统命令注入漏洞、Schneider Electric StruxureWare Data Center Expert访问控制错误漏洞（CNVD-2023-37594）、Schneider Electric StruxureWare Data Center Expert访问控制错误漏洞（CNVD-2023-37593、CNVD-2023-37592）、Schneider Electric StruxureWare Data Center Expert代码注入漏洞（CNVD-2023-37598、CNVD-2023-37597）、Schneider Electric IGSS Data Server缓冲区溢出漏洞（CNVD-2023-38194）、Schneider Electric IGSS Data Server访问控制错误漏洞（CNVD-2023-38195）。除“Schneider Electric StruxureWare Data Center Expert操作系统命令注入漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37595

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37594

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37593

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37592

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37598

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37597

https://www.cnvd.org.cn/flaw/show/CNVD-2023-38194

https://www.cnvd.org.cn/flaw/show/CNVD-2023-38195

3、Adobe产品安全漏洞

Adobe Substance 3D Stager是美国奥多比（Adobe）公司的一个虚拟3D工作室。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取超出已分配内存结构的末尾，在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Substance 3D Stager越界读取漏洞（CNVD-2023-37604、CNVD-2023-37603、CNVD-2023-37606、CNVD-2023-37605、CNVD-2023-37608、CNVD-2023-37607）、Adobe Substance 3D Stager缓冲区溢出漏洞（CNVD-2023-37602、CNVD-2023-37601）。除“Adobe Substance 3D Stager越界读取漏洞（CNVD-2023-37608、CNVD-2023-37603）”外其余漏洞的综合评级为 “高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37604

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37603

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37602

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37601

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37606

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37605

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37608

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37607

4、IBM产品安全漏洞

IBM Maximo Asset Management是美国国际商业机器（IBM）公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。IBM Business Automation Workflow是一个集成平台，可帮助业务用户大规模地快速自动完成业务运营的各个方面。IBM UrbanCode Deploy（UCD）是一套应用自动化部署工具。该工具基于一个应用部署自动化管理信息模型，并通过远程代理技术，实现对复杂应用在不同环境下的自动化部署等。IBM WebSphere Application Server（WAS）是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。IBM Financial Transaction Manager for SWIFT Services是一款金融事务管理器产品。该产品主要用于监控、跟踪和报告金融支付和交易。IBM Safer Payments是美国IBM公司的第一个真正的支付处理认知欺诈预防解决方案。帮助客户创建定制的、用户友好的决策模型。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感密码信息，注入恶意的JavaScript脚本等。

CNVD收录的相关漏洞包括：IBM Maximo Asset Management跨站脚本漏洞（CNVD-2023-37159）、IBM Business Automation Workflow跨站脚本漏洞（CNVD-2023-37162）、IBM UrbanCode Deploy信息泄露漏洞（CNVD-2023-37161）、IBM WebSphere Application Server信任管理问题漏洞、IBM Financial Transaction Manager for SWIFT Services跨站脚本漏洞（CNVD-2023-37163）、IBM Safer Payments加密问题漏洞、IBM WebSphere Application Server跨站脚本漏洞（CNVD-2023-37168）、IBM Maximo Asset Management信息泄露漏洞（CNVD-2023-37167）。其中，“IBM Safer Payments加密问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37159

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37162

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37161

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37164

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37163

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37165

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37168

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37167

高级威胁情报解读

1、Water Orthrus 的新活动提供 Rootkit 和网络钓鱼模块

自 2021 年以来，研究人员一直在跟踪称为 Water Orthrus 的威胁行为者的活动，该行为者通过按安装付费 (PPI) 网络分发 CopperStealer 恶意软件。威胁行为者出于不同目的多次升级和修改恶意软件，例如注入网络广告、获取个人信息和窃取加密货币。我们认为它们与 2019 年报告为“ Scranos ”的威胁活动有关。2023 年 3 月观察到两个传播新恶意软件的活动，研究人员将其命名为 CopperStealth 和 CopperPhish。这两种恶意软件都具有与 CopperStealer 相似的特征，并且很可能是由同一作者开发的，相信这些活动很可能是 Water Orthrus 的新活动。这篇博文讨论了研究人员对 CopperStealth 和 CopperPhish 感染链的分析，以及它们与 Water Orthrus 的相似之处。

披露时间：2023年5月15日

情报来源：

https://www.trendmicro.com/en_us/research/23/e/water-orthrus-new-campaigns-deliver-rootkit-and-phishing-modules.html

2、OilAlpha：可能是支持胡塞组织的组织，目标是整个阿拉伯半岛的实体

自 2022 年 5 月以来，研究人员一直在跟踪威胁组织 OilAlpha 正在进行的活动，并将其与可能支持亲胡塞运动议程的威胁行为者联系起来。

该组织极有可能将与非政府、媒体、国际人道主义和发展部门相关的实体作为目标。几乎可以肯定，目标实体在也门、安全、人道主义援助和重建事务上有共同利益。据报道，该组织的行动包括针对参加沙特阿拉伯政府主导的谈判的人员；再加上使用模仿与沙特阿拉伯政府和阿联酋人道主义组织（以及其他组织）有关的实体的欺骗性 Android 应用程序。在撰写本文时，研究人员怀疑攻击者的目标是 Houthis 想要直接访问的个人。

OilAlpha 威胁参与者极有可能参与间谍活动，因为手持设备是 SpyNote 和 SpyMax 等远程访问工具 (RAT) 的目标。此外还观察到 njRAT 样本与与该组织相关的 C2 进行通信，这使得 OilAlpha 可能使用其他恶意软件进行测试或攻击操作。

披露时间：2023年5月16日

情报来源：

https://www.recordedfuture.com/oilalpha-likely-pro-houthi-group-targeting-arabian-peninsula

3、介绍SideWinder 基础设施的详细信息

SideWinder 是最活跃、最多产的威胁行为者之一。据报道，2021 年 6 月至 11 月期间该团体目标在亚洲有多达61 个组织活动。这篇博文提供了以前未知的，且属于APT组织SideWinder 基础设施的详细信息。此外，研究人员分享了Shodan的搜寻规则，以帮助网络安全专家、威胁搜寻者和企业网络安全团队抢先制止并防止 SideWinder 攻击。SideWinder 的服务器可以使用这篇博文中描述的几种搜索规则来检测。研究人员检测到55 个以前未知的 IP 地址，SideWinder 可以在未来的攻击中使用这些地址。SideWinder 使用已识别的服务器作为模仿巴基斯坦、中国和印度政府组织的域记录。

披露时间：2023年5月17日

情报来源：

https://www.group-ib.com/blog/hunting-sidewinder/

4、Lemon Group以预感染设备为起点开展网络犯罪业务

介绍了名为 "Lemon Group "的威胁行为者在市场上销售的预感染设备上建立的赚钱业务和货币化战略。它还概述了这些设备是如何被感染的，使用的恶意插件，以及这些团体的职业关系。据报道，2016 年，Triada恶意软件被植入多台设备，2019 年，谷歌证实了第三方供应商在未通知 OEM 公司的情况下使用 OEM 图像的案例。研究人员发现该团伙至少从 2018 年就将其变成了一家犯罪企业并建立了网络。

将该恶意软件确定为 Guerrilla，并由Lemon Group根据其面向客户页面的 URL 部署（研究人员首次报告 SMS PVA 僵尸网络活动后更改了其网站 URL）确定了他们后端的基础设施，包括恶意插件和命令与控制 (C&C) 服务器，并观察到重叠：Guerrilla 恶意软件与 Triada 运营商的通信和/或网络流的交换。

披露时间：2023年5月17日

情报来源：

https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html

本文来源：CNVD漏洞平台、奇安信威胁情报中心