安全热点周报（2024.3.25-2024.3.31）

安全资讯导视
• XZ Utilѕ工具库恶意后门植入漏洞安全风险通告
• 首个公开针对AI工作负载的大规模攻击：数千台服务器被黑
• 越南头部券商遭黑后服务中断，当地股市交易量骤降10%

PART 01

漏洞情报

1.XZ Utilѕ工具库恶意后门植入漏洞安全风险通告

3月30日，奇安信CERT监测到XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094)，3月29日有开发人员在安全邮件列表上发帖称，他在调查SSH性能问题时发现了涉及XZ包中的供应链攻击，进一步溯源发现SSH使用的上游liblzma库被植入了后门代码，当满足一定条件时，将会解密流量里的C2命令并执行。目前，企业使用的主流Linux发行版（Red Hat/CentOS/Debian/Ubuntu）的Stable稳定版仓库中尚未合并该存在后门的软件版本，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

2.泛微E-Office10远程代码执行漏洞安全风险通告

3月28日，奇安信CERT监测到泛微E-Office10远程代码执行漏洞(QVD-2024-11354)在互联网上公开，由于系统处理上传的PHAR文件时存在缺陷，未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器，从而在目标服务器上执行任意代码。目前该PoC已在互联网上公开，鉴于该漏洞影响范围较大，利用简单，建议客户尽快做好自查及防护。

3.Adobe ColdFusion任意文件读取漏洞安全风险通告

3月26日，奇安信CERT监测到Adobe ColdFusion发布新版本修复了Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)。由于Adobe ColdFusion的访问控制不当，未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件，泄露敏感信息。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Microsoft SharePoint Server 远程代码执行漏洞(CVE-2023-24955)

Microsoft SharePoint Server 包含一个代码注入漏洞，允许具有站点所有者权限的经过身份验证的攻击者远程执行代码。

STAR Labs 研究员 Nguyễn Tiến Giang （Jang）发表了一篇博客文章，概述了 CVE-2023-29357 和 CVE-2023-24955 的成功链接以实现针对 Microsoft SharePoint Server 的远程代码执行（RCE）。该漏洞利用链在3月份在温哥华举行的Zero Day Initiative（ZDI）Pwn2Own竞赛中得到了展示。CVE-2023-24955 是影响 Microsoft SharePoint Server 的 RCE 漏洞。该漏洞的 CVSSv3 分数为 7.2，可能允许经过身份验证的网站所有者在受影响的 SharePoint Server 上执行代码。此 RCE 已作为 2023 年 5 月补丁星期二版本的一部分进行了修补。

参考链接：

https://www.tenable.com/blog/cve-2023-29357-cve-2023-24955-exploit-chain-released-for-microsoft-sharepoint-server

2.Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)

Fortinet FortiClient EMS 包含一个 SQL 注入漏洞，允许未经身份验证的攻击者通过特制请求以 SYSTEM 身份执行命令。

Fortinet 修订了针对 CVE-2023-48788 的公告，指出“该漏洞在野外被利用”。它没有提供有关攻击性质和可能滥用攻击的威胁行为者的任何其他细节。

Horizon3.ai 还发布了针对该漏洞的 PoC 漏洞，指出“SQL 注入漏洞是由直接传递到数据库查询中的用户控制的字符串引起的。

但是，需要更改 PoC 以使用Microsoft SQL Server xp_cmdshell功能生成 Windows 命令 shell 以实现代码执行。

参考链接：

https://thehackernews.com/2024/03/fortinet-warns-of-severe-sqli.html

3.Ivanti Endpoint Manager 远程代码执行漏洞(CVE-2021-44529)

Ivanti Endpoint Manager 云服务设备 (EPM CSA) 包含一个代码注入漏洞，允许未经身份验证的用户以有限的权限（无人）执行恶意代码。

参考链接：

https://www.labs.greynoise.io/grimoire/2024-02-what-is-this-old-ivanti-exploit/index.html

4.Linear Emerge E3-Series命令注入漏洞(CVE-2019-7256)

Nice Linear eMerge E3 系列包含操作系统命令注入漏洞，允许攻击者进行远程代码执行。

据防火墙提供商 SonicWall 的研究人员称，攻击者瞄准了 Nortek Security & Control (NSC) 的产品 Linear eMerge E3，以访问互联网并劫持智能门或楼宇门禁系统。

原文链接：

https://www.darkreading.com/iot/attackers-actively-targeting-flaw-in-door-access-controllers

PART 03

安全事件

1.首个公开针对AI工作负载的大规模攻击：数千台服务器被黑

3月28日ArsTechnica消息，网络安全厂商Oligo Security发现人工智能领域主流算力框架Ray的一个未修复安全漏洞（CVE-2023-48022）正被黑客野外大规模利用，导致数千台存放AI工作负载和网络凭证的服务器被黑，敏感数据和算力遭窃取。据了解，这些攻击已经持续了7个月，攻击者不仅篡改了AI模型，还泄露了访问内部网络和数据库的网络凭证，并获取了OpenAI、HuggingFace、Stripe和Azure等平台帐号的访问令牌。除了破坏模型和窃取凭证，攻击者还在能够提供大量算力的被侵入基础设施上安装了加密货币挖矿软件，并设置了反向Shell，以实现对服务器的远程控制。根据Oligo过去几周的监测，可能已遭到攻击的机器和算力总估值近10亿美元。

原文链接：

https://arstechnica.com/security/2024/03/thousands-of-servers-hacked-in-ongoing-attack-targeting-ray-ai-framework/

2.越南头部券商遭黑后服务中断，当地股市交易量骤降10%

3月27日The Record消息，越南第三大证券经纪公司VNDirect在周末遭遇网络攻击，目前正全力恢复运营。VNDirect首席执行官Nguyen Vu Long表示，公司被“一群专业黑客”攻击，数据遭到加密。他说，“我们已成功解密这些数据，现在开始系统恢复工作。”该公司27日宣布部分服务已经恢复上线，但据当地媒体报道，投资者仍然无法登录平台。据路透报道，由于使用VNDirect的投资者无法交易，胡志明市证券交易所25日的交易量下降了10%。河内证券交易所宣布，“在问题得到解决之前”暂时中断VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。

原文链接：

https://therecord.media/vietnam-securities-broker-cyberattack-vndirect

3.最后一击？美国超大型养老院因网络攻击申请破产

3月22日路透社消息，美国最大的养老院运营商之一彼得森健康保险公司（Petersen Health Care）因遭受网络攻击和政府支持贷款违约，正式向地方破产法院提出破产申请。该公司近几年经营本就陷入严重困境，但去年10月自身遭受勒索软件攻击、今年2月重要供应商Change Healthcare也遭受勒索软件攻击，导致大量业务记录丢失和收款遭到推迟，两起事件让公司更是雪上加霜，最终向法院提出破产申请。

原文链接：

https://www.reuters.com/legal/litigation/nursing-home-co-petersen-files-bankruptcy-after-cyberattacks-2024-03-21/

PART 04

政策法规

1.自然资源部印发《自然资源领域数据安全管理办法》

3月28日，自然资源部印发《自然资源领域数据安全管理办法》，以规范自然资源领域数据处理活动，加强数据安全管理。该文件共七章37条，包括总则、数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理、监督检查、法律责任、附则。该文件指出，自然资源领域数据是指在开展自然资源活动中收集和产生的数据，主要包括地理信息数据、自然资源调查监测数据、国土空间规划数据、自然资源管理数据。数据处理者应当定期按照自然资源领域数据分类分级标准规范梳理填报重要数据和核心数据目录，并对数据处理活动安全负主体责任。

原文链接：

http://gi.mnr.gov.cn/202403/P020240328362355719965.docx

2.《网络安全标准实践指南——网络安全产品互联互通资产信息格式》发布

3月26日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通资产信息格式》。该文件给出了网络安全产品互联互通时资产信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。此前2023年11月，全国网络安全标准化技术委员会发布了《网络安全标准实践指南——网络安全产品互联互通告警信息格式》

原文链接：

https://www.tc260.org.cn/upload/2024-03-25/1711337374117063549.pdf

3.美议员紧急提出《医疗保健网络安全改进法案》

3月22日，美国民主党参议员Mark R. Warner提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后加快提供预付款和加急付款。这项立法是对美国医疗IT供应商Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致全国处方药结算服务中断，大量医疗提供商面临财务破产风险。该法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。这些规定将在方案生效后两年内实施。

原文链接：

https://www.warner.senate.gov/public/index.cfm/pressreleases?id=AADF3724-148A-4545-BD41-A2735435486F

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！