2023年10月教育網(wǎng)運行正常，未發(fā)現(xiàn)影響嚴重的安全事件。近期各類安全投訴事件數(shù)量整體呈低位態(tài)勢。

在病毒與木馬方面，2023年9月修復(fù)的WinRAR遠程代碼執(zhí)行漏洞（CVE-2023-40477）正在被多種惡意軟件利用來進行自身傳播，這些惡意軟件通常都會偽裝成破解軟件等引誘用戶下載。

2023年9月~10月CCERT安全投訴事件統(tǒng)計

近期新增嚴重漏洞評述

01

微軟2023年10月的例行安全更新共包含微軟產(chǎn)品的安全漏洞103個。這些漏洞按等級分類包含13個嚴重等級、90個重要等級；按漏洞類型分類包括權(quán)限提升漏洞27個、遠程代碼執(zhí)行漏洞44個、信息泄露漏洞12個、安全功能繞過漏洞3個、拒絕服務(wù)漏洞16個、XSS漏洞1個。這些漏洞中需要特別關(guān)注的有以下幾個。

WordPad信息泄露漏洞（CVE-2023-36563）。允許遠程攻擊者獲取本地合法用戶的NTLM哈希值（攻擊者需要能夠遠程登錄系統(tǒng)并引誘被攻擊者執(zhí)行相應(yīng)的攻擊程序）。目前該漏洞已存在在野的攻擊，廠商已針對該漏洞發(fā)布了補丁程序，并計劃在Win11系統(tǒng)中棄用NTLM認證協(xié)議，改用更為安全的Kerberos認證協(xié)議。

Skype for Business權(quán)限提升漏洞（CVE-2023-41763）。允許遠程攻擊者向Skype for Business服務(wù)發(fā)送特制請求調(diào)用，進而使得Skype for Business向任意地址發(fā)送http請求。目前該漏洞已發(fā)現(xiàn)在野的攻擊行為，廠商已針對該漏洞發(fā)布了補丁程序。

Windows消息隊列遠程代碼執(zhí)行漏洞（CVE-2023-35349）。允許未經(jīng)身份認證的攻擊者將特制的惡意MSMQ數(shù)據(jù)包發(fā)送到MSMQ服務(wù)器，這可能會導(dǎo)致在服務(wù)器端遠程執(zhí)行代碼。不過要利用此漏洞，系統(tǒng)必須啟用消息隊列服務(wù)，用戶可以通過查看是否有一個名為Message Queuing的服務(wù)正在運行，以及機器上的TCP端口1801是否正在監(jiān)聽，來確認是否受漏洞影響。

02

展開全文

HTTP/2協(xié)議中存在一個快速重置攻擊漏洞（CVE-2023-44487），該漏洞允許惡意攻擊者發(fā)起針對Web服務(wù)器的DDoS攻擊。由于該漏洞存在于HTTP/2協(xié)議中，目前所有支持該協(xié)議的Web服務(wù)程序都可能受到此類拒絕服務(wù)攻擊。從已檢測到的數(shù)據(jù)看，此類新型的拒絕服務(wù)攻擊方式已在互聯(lián)網(wǎng)上大量發(fā)生。目前各Web服務(wù)程序的提供方已陸續(xù)針對該漏洞發(fā)布補丁程序，建議管理員關(guān)注相關(guān)程序更新并盡快升級。

03

Curl是一個常用的網(wǎng)絡(luò)數(shù)據(jù)傳輸組件，它包含Curl工具和Libcurl庫，Libcurl庫被很多其他應(yīng)用使用。近期Curl官方發(fā)布了安全更新，用于修補Curl工具和Libcurl庫中的兩個安全漏洞，分別是SOCKS5堆緩沖區(qū)溢出漏洞（CVE-2023-38545）和Cookie注入漏洞（CVE-2023-38546）。由于漏洞影響的范圍較廣，建議用戶盡快進行升級。

04

F5廠商在第4季度的安全通告中披露其BIG-IP產(chǎn)品中的一個嚴重安全漏洞（CVE-2023-46747）。該漏洞存在于產(chǎn)品配置實用程序組件中，可能允許未CCERT月報經(jīng)身份驗證的攻擊者通過管理端口或自身IP地址訪問BIG-IP系統(tǒng)，以管理員的身份在系統(tǒng)中執(zhí)行任意系統(tǒng)命令。該漏洞不會直接影響到BIG-IP承載的業(yè)務(wù)數(shù)據(jù)，但是可以讓攻擊者完全控制BIG-IP設(shè)備。目前廠商已經(jīng)針對相關(guān)漏洞發(fā)布了補丁程序，建議使用了該產(chǎn)品的用戶快進行升級。

05

近期VMWare發(fā)布了緊急修補程序，用于修補其vCenter Server中的一個越界寫入漏洞（CVE-2023-34048）。該漏洞存在于vCenterServer對DCERPC協(xié)議的實現(xiàn)過程中，一個具有網(wǎng)絡(luò)訪問權(quán)限的惡意攻擊者可以觸發(fā)一個越界寫入，進而導(dǎo)致遠程任意代碼執(zhí)行。目前廠商已經(jīng)針對該漏洞發(fā)布了補丁程序，由于漏洞沒有可用的臨時緩解措施，建議管理員盡快對vCenterServer進行升級。

安全提示

為防范針對HTTP/2協(xié)議的拒絕服務(wù)攻擊，用戶可以采取以下措施：

1.盡快升級所使用的Web服務(wù)程序到最新版本；

2.對Web服務(wù)器的流量進行監(jiān)測分析，并使用防火墻來阻斷那些對Web服務(wù)器發(fā)起異常連接的IP；

3.啟用WAF或IPS的速率限制功能，降低Web服務(wù)器的負擔；

4.配置Web服務(wù)，限制客戶端的最大連接數(shù)。

來源：《中國教育網(wǎng)絡(luò)》2023年10月刊

作者：鄭先偉（中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）

責編：項陽

投稿或合作，請聯(lián)系：eduinfo@cernet.com