20230801第51期｜安全漏洞一周播报

本期漏洞情况态势

本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞521个，其中高危漏洞272个、中危漏洞221个、低危漏洞28个。漏洞平均分值为6.56。本周收录的漏洞中，涉及0day漏洞456个（占88%），其中互联网上出现“ImpressCMS跨站脚本漏洞（CNVD-2023-59104）、Food Ordering System SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数30305个，与上周（8721个）环比增多2.47倍。

图1 CNVD收录漏洞近10周平均分值分布图

重点安全漏洞信息

1、IBM产品安全漏洞

IBM AIX（Advanced Interactive eXecutive）是美国IBM公司开发的一套UNIX操作系统。IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，在受影响服务的路径中插入可执行文件来获得提升的权限等。

CNVD收录的相关漏洞包括：IBM AIX权限提升漏洞（CNVD-2023-58513）、IBM AIX命令执行漏洞、IBM DB2代码执行漏洞（CNVD-2023-58518、CNVD-2023-58517、CNVD-2023-58520）、IBM DB2拒绝服务漏洞（CNVD-2023-58519、CNVD-2023-58522）、IBM DB2权限提升漏洞（CNVD-2023-58521）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58513

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58514

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58517

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58518

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58519

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58520

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58521

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58522

2、Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致内核信息泄露，将权限升级为root权限，在系统上执行任意代码或者导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：Linux kernel缓冲区溢出漏洞（CNVD-2023-58988、CNVD-2023-58993）、Linux kernel资源管理错误漏洞（CNVD-2023-58987、CNVD-2023-58991、CNVD-2023-58989）、Linux kernel竞争条件漏洞（CNVD-2023-58986）、Linux kernel xusb.c文件代码问题漏洞、Linux kernel输入验证错误漏洞（CNVD-2023-58992）。其中，“Linux kernel缓冲区溢出漏洞（CNVD-2023-58993）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58988

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58987

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58986

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58991

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58990

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58989

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58993

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58992

3、Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过HTTPS创建WebRTC连接时触发释放后重用，提交特殊的WEB请求，诱使用户解析，可使系统崩溃，造成拒绝服务攻击或以应用程序上下文执行任意代码等。

CNVD收录的相关漏洞包括：Mozilla Firefox资源管理错误漏洞（CNVD-2023-58298、CNVD-2023-59025、CNVD-2023-59027、CNVD-2023-59029）、Mozilla Firefox输入验证错误漏洞（CNVD-2023-59028）、Mozilla Firefox缓冲区溢出漏洞（CNVD-2023-59026）、Mozilla Firefox信息泄露漏洞（CNVD-2023-59031、CNVD-2023-59030）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-58298

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59025

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59028

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59027

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59026

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59031

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59030

https://www.cnvd.org.cn/flaw/show/CNVD-2023-59029

高级威胁情报解读

1、APT29的演变——发现的新攻击和新技术

研究人员最近发布报告，披露了归属于俄罗斯的国家级威胁组织APT29的详细活动信息。报告显示，APT29最早活跃于2020年12月，它首先通过利用SolarWinds漏洞对美国发起了大规模的网络攻击。自此之后，APT29不断对政府、国防实体、关键制造组织和IT服务提供商展开了攻击。据称，APT29依靠各种技术(包括密码喷射、API利用、网络钓鱼和令牌盗窃)来获取受害者系统的凭据和特权访问权限，并在高度复杂的恶意软件攻击活动方面，持续处于领先地位。

披露时间：2023年7月25日

情报来源：

https://www.avertium.com/resources/threat-reports/evolution-of-russian-apt29-new-attacks-and-techniques-uncovered

2、APT29近期仿冒德国大使馆下发恶意PDF文件

APT29组织又名Cozy Bear、The Dukes，是具有东欧背景的APT组织，该组织自2008年开始活跃，主要从事以情报收集为主的间谍活动。活动目标为西方政府和相关组织，尤其关注政治、外交和智库部门。

研究人员在对该组织的持续追踪时发现，APT29在俄乌冲突时期加大了对各国相关部门的攻击活动。今年先后仿冒了波兰、乌克兰、土耳其、挪威等欧盟国家大使馆，进行鱼叉式网络钓鱼邮件攻击。该组织在活动中利用合法服务DropBox、GoogleDrive、Slack、Trello、Notion API进行通信，最后下发CobaltStrike、BruteRatel等恶意负载。

近期再次捕获到APT29仿冒德国大使馆的攻击活动，活动攻击流程大致如下：

邮件附件为包含HTML代码的PDF文件，运行后将在本地释放zip文件；
zip文件包含同名HTA文件，运行后在本地释放白文件、恶意DLL文件以及诱饵文件；
恶意DLL文件加载之后将连接开源聊天软件Zulip的API接口进行数据传输，获取后续负载到本地执行。

披露时间：2023年7月27日

情报来源：

https://mp.weixin.qq.com/s/32U2nBhyE0hjBWSKhwCT4g

3、月光鼠组织近期针对中东地区攻击活动分析

研究人员在2023年4月发现月光鼠组织再次活跃的痕迹，此次捕获到的样本依旧伪装成谷歌应用商店。对比2021年月光鼠组织被披露的三个版本的RAT木马，本次样本属于月光鼠家族的第二代安卓RAT：2018年3月开始出现，恶意功能模块化进行了拆分，c2地址采用了AES加密，并增加了混淆对抗保护。样本使用c2为http://app.pal4u.net，此二级域名在2021年曝光，近期再次被攻击者使用。因攻击者服务器的不安全设置，发现了74名受害者资料，主要受害区域为巴勒斯坦。

月光鼠APT组织又名“Gaza Hackers Team”、“Molerats”、“灵猫”等，2012年起在中东地区活跃，主要针对以色列、巴勒斯坦加沙地区与政党相关组织和个人，多采用政治相关主题作为诱饵对目标进行鱼叉式钓鱼攻击。

披露时间：2023年7月21日

情报来源：

https://mp.weixin.qq.com/s/XVV3BoAd7CdPaZ0na8ID1Q

4、SideCopy组织针对印度政府部门的攻击活动分析

SideCopy组织自2020年被披露以来长期处于活跃之中，并主要针对印度国防、外交等部门持续发动网络攻击。近期，研究人员发现了该组织针对印度政府部门的最新攻击行动，攻击者利用钓鱼邮件诱导下载含有恶意LNK的ZIP压缩文件，该LNK文件伪装成PDF或DOCX文件，受害者点击执行后会下载恶意代码从而开启一段复杂多阶段的攻击链，最终释放AllaKoreRAT或ReverseRAT远控组件，从而完成窃密活动。

披露时间：2023年7月19日

情报来源：

https://mp.weixin.qq.com/s/qkWD_X3aFPURThJqu7lbvg

本文来源：CNVD漏洞平台、奇安信威胁情报中心