安全热点周报（2023.4.10-2023.4.16）

安全资讯导视

01《商用密码管理条例（修订草案）》审议通过

02 美国政府更新零信任成熟度模型，将零信任转型作为长期目标

03 以色列地方灌溉系统遭敌对黑客攻击，农民田地无法浇水

政策法规解读

《商用密码管理条例（修订草案）》审议通过

4月14日中国政府网消息，国务院总理李强主持召开国务院常务会议，会议审议通过《商用密码管理条例（修订草案）》。会议指出，近年来，商用密码应用愈发广泛，在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安全观，进一步规范商用密码应用和管理，督促平台企业依法履行用户密码保护责任，确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势，建立健全商用密码科技创新促进机制，推动商用密码科技成果转化和产业化应用，促进商用密码市场持续健康发展。

原文链接：

http://www.gov.cn/yaowen/2023-04/14/content_5751582.htm

美国政府更新零信任成熟度模型，将零信任转型作为长期目标

4月11日CISA官网消息，美国网络安全与基础设施安全局（CISA）发布《零信任成熟度模型》第二版，旨在协助联邦机构制定零信任战略和实施计划，并展示CISA可提供的各类服务。第二版距离首版发布已经一年有余，主要针对首版反馈进行了修订。

首版将零信任成熟度阶段分为三阶段五支柱，包括传统、高级、最佳三个阶段，身份、设备、网络、应用与工作负载、数据五大支柱，并针对每个阶段的各大支柱提出了具体要求。第二版在传统阶段之上增加了初级阶段，并修订了每个阶段各大支柱的指导标准。比如身份支柱，增加通过FIDO2或PIV实现无密码MFA，增加身份存储的灵活性等；设备支柱，增加了设备威胁保护功能以进行集中安全管理；网络支柱，修改了网络分段功能推荐基于应用配置文件的微隔离等。

原文链接：

https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf

网信办《生成式人工智能服务管理办法》公开征求意见

4月11日网信办官网消息，国家互联网信息办公室公布《生成式人工智能服务管理办法（征求意见稿）》（以下简称《征求意见稿》），向社会公开征求意见。《征求意见稿》规定，利用生成式人工智能生成的内容应当体现社会主义核心价值观，不得含有不良信息，利用生成式人工智能生成的内容应当真实准确，采取措施防止生成虚假信息等。《征求意见稿》要求，利用生成式人工智能产品向公众提供服务前，应当向国家网信部门申报安全评估，并履行算法备案和变更、注销备案手续，提供服务时应当要求用户提供真实身份信息。

原文链接：

http://www.cac.gov.cn/2023-04/11/c_1682854275475410.htm

国家标准《信息安全技术软件产品开源代码安全评价方法》公开征求意见

4月10日全国信安标委官网消息，全国信息安全标准化技术委员会归口的国家标准《信息安全技术软件产品开源代码安全评价方法》现已形成标准征求意见稿，面向社会公开征求意见。本文件给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法，评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力，适用于软件产品包含的开源代码安全评价工作，为各企事业单位对于软件产品中的开源代码进行安全性自评价提供参考，为第三方机构开展此类工作提供依据。

原文链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230410145119&norm_id=20221102153446&recode_id=50681

本周安全大事件

德国药物研发巨头Evotec遭网络攻击，致使生产延误

4月12日TheRecord消息，德国药物研发巨头Evotec披露，4月6日遭受网络攻击，导致该公司断开了互联网连接，以“保护系统免遭数据损坏或入侵。”Evotec公司后续公告称，尽管内部系统已经离线多天，但“全球设施的业务连续性已经得到保障”，只是可能出现延误或响应较慢的情况。Evotec公司已对事件进行取证调查并上报德国执法部门。目前没有黑客团伙宣称对此次攻击负责。近几个月来，已经有多家制药企业受到网络攻击影响。

原文链接：
https://therecord.media/german-drug-company-says-cyberattack-causing-delays

现代汽车发生数据泄露事件，欧洲多国车主受影响

4月12日BleepingComputer消息，跨国汽车制造商现代汽车披露发生数据泄漏事件，意大利和法国车主以及预订试驾数据遭泄露。根据推特用户反馈和安全专家Troy Hunt分享的通知样本，该事件暴露了电子邮箱、住址、电话号码、车辆底盘编号等敏感数据，不过用户的身份证号码和财务数据未受到影响。现代汽车表示，他们聘请了IT专家来处理数据泄露事件，已经将受影响的系统脱机，直到实施额外的安全措施。现代汽车还警告其客户对声称来自现代汽车的未经请求的电子邮件和短信保持谨慎，因为它们可能是网络钓鱼和社会工程攻击。

原文链接：
https://www.bleepingcomputer.com/news/security/hyundai-data-breach-exposes-owner-details-in-france-and-italy/

以色列地方灌溉系统遭敌对黑客攻击，农民田地无法浇水

4月9日耶路撒冷邮报消息，以色列上加利利地区的灌溉系统和污水处理系统遭到网络攻击，导致负责约旦河谷农田灌溉的水位控制器，以及加利尔污水公司（Galil Sewage Corporation）的控制系统都遭到了破坏。被入侵的控制器显示着一条消息“你被黑客入侵了，打倒以色列。”据悉，至少有10名农民受到影响，预定的浇水被迫停止。以色列国家网络安全局上周发出警告，称在斋月期间，反以黑客将尝试发起更多网络攻击。根据预警信息，有一些农民断开了灌溉系统的远程控制功能，切换为手动操作，以防受到攻击。那些仍可远程控制的系统正是此次网络攻击的主要受害者。

原文链接：
https://www.jpost.com/israel-news/article-738790

重点关注漏洞

Apache Solr代码执行漏洞安全风险通告

4月15日，奇安信CERT监测到Apache Solr代码执行漏洞，Apache Solr默认配置下存在服务端请求伪造漏洞，当Solr以cloud模式启动且可出网时，远程攻击者可利用此漏洞在目标系统上执行任意代码。目前奇安信CERT已成功复现该漏洞，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

Artifex Ghostscript代码执行漏洞安全风险通告

4月14日，奇安信CERT监测到Artifex Ghostscript代码执行漏洞(CVE-2023-28879)，Ghostscript存在越界写入漏洞，s_xBCPE_process函数在转义时，如果最后一个字符需要转义，则会写入两个字节，导致越界写入了一个字节。成功利用该漏洞能够在目标系统上执行任意代码。目前该漏洞细节已公开，奇安信CERT已成功复现该漏洞。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

vm2沙箱逃逸漏洞安全风险通告

4月14日，奇安信CERT监测到vm2沙箱逃逸漏洞(CVE-2023-29199)。vm2是一个npm包，实现了沙箱环境，可以用vm2创建沙箱环境并运行nodejs代码。在vm2的源代码转换器异常清理逻辑中存在沙箱逃逸漏洞，攻击者可绕过handleException()并泄漏未清理的主机异常，进而逃逸沙箱实现任意代码执行。目前该漏洞细节及PoC已公开，奇安信CERT已成功复现该漏洞。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

Windows通用日志文件系统驱动程序权限提升漏洞安全风险通告

4月12日，奇安信CERT监测到Windows 通用日志文件系统驱动程序权限提升漏洞(CVE-2023-28252)，由于Windows进行基本日志文件操作时存在越界写入，本地攻击者可利用此漏洞获得对内核的读写权限，从而将自身权限提升至SYSTEM。目前已发现此漏洞的在野利用，同时奇安信红雨滴团队已成功复现此漏洞。鉴于此漏洞影响较大，建议客户尽快做好自查及防护。

vm2沙箱远程代码执行漏洞安全风险通告

4月11日，奇安信CERT监测到vm2远程代码执行漏洞(CVE-2023-29017)，由于vm2处理异步错误时未正确处理Error.prepareStackTrace的宿主对象，导致攻击者可以绕过沙箱保护，在运行沙箱的主机上远程执行任意代码。值得注意的是，经测试，在Node.js <= 16.14.0、Node.js <= 17.4.0以及Node.js 16.xx以下的所有版本不受此漏洞影响。目前奇安信CERT已成功复现该漏洞，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

瑞友天翼应用虚拟化系统远程代码执行漏洞安全风险通告

4月10日，奇安信CERT监测到瑞友天翼应用虚拟化系统远程代码执行漏洞。瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的基于服务器计算架构的应用虚拟化平台。未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码。目前奇安信CERT已成功复现该漏洞，鉴于该漏洞影响范围较大，建议客户尽快升级到安全版本。

Apple多个产品高危漏洞安全风险通告

4月10日，奇安信CERT监测到Apple发布安全通告，Apple IOSurfaceAccelerator权限提升漏洞(CVE-2023-28206)和Apple WebKit代码执行漏洞(CVE-2023-28205)存在在野利用，未经身份认证的远程攻击者可以组合利用这两个漏洞，通过诱导受害者打开特制网站，最终导致在受害者系统上以内核权限执行任意代码。鉴于这些漏洞影响范围较大且存在在野利用，建议客户尽快做好自查及防护。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！