20230704第47期｜安全漏洞一周播报

本期漏洞情况态势

本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞450个，其中高危漏洞220个、中危漏洞205个、低危漏洞25个。漏洞平均分值为6.55。本周收录的漏洞中，涉及0day漏洞371个（占82%），其中互联网上出现“TOTOLINK A7100RU命令注入漏洞（CNVD-2023-51676）、D-Link DIR-600缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数7988个，与上周（9819个）环比减少19%。

图1 CNVD收录漏洞近10周平均分值分布图

重点安全漏洞信息

1、Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码，导致敏感内存泄露。

CNVD收录的相关漏洞包括：Adobe Acrobat and Reader输入验证错误漏洞、Adobe Acrobat and Reader释放后使用漏洞、Adobe Acrobat and Reader越界写入漏洞（CNVD-2023-51680、CNVD-2023-51683）、Adobe Acrobat and Reader越界读取漏洞、Adobe Acrobat and Reader缓冲区溢出漏洞（CNVD-2023-51679、CNVD-2023-51685、CNVD-2023-51684）。其中，除“Adobe Acrobat and Reader越界读取漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51682

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51681

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51680

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51679

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51686

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51685

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51684

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51683

2、IBM产品安全漏洞

IBM PowerVM Hypervisor是美国国际商业机器（IBM）公司的一个应用软件。提供了一个安全且可扩展的虚拟化环境，这些应用程序基于Power Systems平台的高级RAS功能和领先性能而构建。IBM Security Directory Suite是一个可扩展的、基于标准的身份平台，可简化身份和目录管理。IBM Sterling Partner Engagement Manager是一个自动化管理工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过发送特制请求在系统上执行任意命令，在获取对HMC的业务访问权限后获取敏感信息，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Security Directory Suite VA操作系统命令注入漏洞、IBM Security Directory Suite VA信息泄露漏洞（CNVD-2023-51453、CNVD-2023-51456、CNVD-2023-51455）、IBM PowerVM Hypervisor信息泄露漏洞、IBM Security Directory Suite VA资源管理错误漏洞、IBM Security Directory Suite VA文件上传漏洞、IBM Sterling Partner Engagement Manager跨站脚本漏洞（CNVD-2023-51460）。其中，“IBM Security Directory Suite VA操作系统命令注入漏洞、IBM Security Directory Suite VA资源管理错误漏洞、IBM Security Directory Suite VA文件上传漏洞、IBM Security Directory Suite VA信息泄露漏洞（CNVD-2023-51455）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51454

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51453

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51452

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51458

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51457

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51456

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51455

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51460

3、Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务或权限升级，任意代码执行等。

CNVD收录的相关漏洞包括：Linux kernel缓冲区溢出漏洞（CNVD-2023-51380、CNVD-2023-51379、CNVD-2023-51387）、Linux kernel权限提升漏洞（CNVD-2023-51385）、Linux Kernel资源管理错误漏洞（CNVD-2023-51384、CNVD-2023-51381）、Linux kernel信息泄露漏洞（CNVD-2023-51386）、Linux kernel拒绝服务漏洞（CNVD-2023-51389）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51381

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51380

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51379

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51385

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51384

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51387

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51386

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51389

高级威胁情报解读

1、APT-C-35使用StealJob针对巴基斯坦用户

APT-C-35以使用各种策略、技术和程序(TTP) 而闻名，其中包括鱼叉式网络钓鱼电子邮件、恶意软件和定制开发的工具。该组织是一个资金充足，具有高水平的技术技能的黑客组织。在此次攻击中，该组织使用名为“StealJob”的Android恶意软件针对南亚国家，特别是巴基斯坦的国有部门和巴基斯坦用户，该恶意软件用于以“克什米尔之声”的名义通过网络钓鱼的方式进行攻击。

披露时间：2023年6月22日

情报来源：

https://www.rewterz.com/rewterz-news/rewterz-threat-alert-apt-c-35-aka-donot-team-active-iocs-14/

2、Andariel更新恶意软件

Andariel 是臭名昭著的 Lazarus 组织的一部分，因在 2022 年中期使用DTrack 恶意软件和Maui 勒索软件而闻名。同期，Andariel 还积极利用Talos和Ahnlab报告的 Log4j 漏洞。他们的活动引入了几个新的恶意软件系列，例如 YamaBot 和 MagicRat，而且还更新了 NukeSped 版本，当然还有 DTrack。在最近进行一项不相关的调查时，研究人员偶然发现了这一活动，并决定进行更深入的挖掘，此外还发现了一个以前未记录的恶意软件家族，并且是 Andariel 的 TTP 集的补充。

披露时间：2023年6月25日

情报来源：

https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/

3、Sidewinder 针对巴基斯坦政府活跃的 IOC 发起网络间谍活动

研究人员最近分析了用于攻击巴基斯坦政府的恶意软件样本，该样本被怀疑是 APT组织SideWinder所为。SideWinder，也称为 APT-C-17 和 T-APT-04，在南亚民族国家运营，专注于针对亚洲国家（特别是中国和巴基斯坦）的网络间谍活动。该组织至少自 2012 年以来一直活跃，主要目标是巴基斯坦政府和军事组织。

在这次特定的攻击活动中，威胁行为者利用有针对性的鱼叉式网络钓鱼电子邮件来针对政府组织。这些电子邮件包含一个名为“Adv-16-2023”的 PDF 附件，冒充巴基斯坦内阁部门发布的安全建议。打开文件后，系统会提示受害者下载受密码保护的 RAR 文件。该压缩文件包含伪装成 PDF 文件的恶意 LNK 文件。打开LNK文件后，攻击者使用mshta.exe下载并执行something.hta文件。

披露时间：2023年6月25日

情报来源：

https://www.rewterz.com/rewterz-news/rewterz-threat-alert-sidewinder-apt-group-launches-cyber-espionage-campaign-against-pakistan-government-active-iocs/

4、Charming Kitten更新POWERSTAR后门

研究人员经常发现 Charming Kitten 针对其客户的鱼叉式网络钓鱼活动。这些观察到的鱼叉式网络钓鱼攻击通常旨在窃取凭据，而不是部署恶意软件。然而，在最近检测到的鱼叉式网络钓鱼活动中，又发现 Charming Kitten 正试图分发其后门之一的更新版本，研究人员将其称为 POWERSTAR（也称为CharmPower）。

披露时间：2023年6月16日

情报来源：

https://www.volexity.com/blog/2023/06/28/charming-kitten-updates-powerstar-with-an-interplanetary-twist/

本文来源：CNVD漏洞平台、奇安信威胁情报中心