20230630-5th域安全微讯早报-NO.155

网络空间安全对抗资讯速递

2023年6月30日

最新热门网安资讯

Cyber-Intelligence  Brief Express

Vol-2023-155                        星期五

今日热点导读

资讯详情

1、北约和欧盟发布关键基础设施复原力最终评估报告

北约和欧盟周四（6月29日）发布了北约-欧盟关键基础设施复原力工作组编写的最终评估报告。该工作组于今年初成立，重点关注当前的安全挑战，以及能源、交通、数字基础设施和太空领域复原力的特别重要性。报告还提出了进一步深化北约与欧盟合作的一些重要建议，包括通过更多的信息交流；努力确定民用和军事流动的替代运输路线；以及安全研究方面更紧密的联系。斯托尔滕贝格秘书长表示：“我感谢冯德莱恩总统的领导，感谢欧盟委员会和欧洲对外行动署作为北约-欧盟关键基础设施复原力工作组的一部分所提供的支持。这是我们行动合作的一个很好的例子。该工作组的报告阐述了能源、运输、数字基础设施和太空领域复原力的重要性，并提出了一些进一步深化北约与欧盟合作的关键建议。”冯德莱恩表示：  “我们的关键基础设施面临着日益复杂的安全威胁。我们需要加紧努力，确保其恢复力。这对于保护公民的基本服务和支持我们的经济至关重要。我很高兴我们与斯托尔滕贝格秘书长一起成立了欧盟-北约特别工作组，今天我很自豪我们正在介绍其工作成果。该工作组确定了能源、交通、数字基础设施和太空领域的关键安全挑战，并提出了有针对性的建议。我们将继续跟进并共同努力”。高级代表博雷尔表示：“关键基础设施的中断可能会对我们的经济、社会、公民的安全产生巨大影响，甚至可能对军事造成干扰。我们必须确保加强关键基础设施的复原力是民用和军事工作的一个组成部分。因此，它自然成为欧盟与北约合作的重要组成部分。我们的工作组编写的报告为共同努力提供了坚实的基础，结合了我们各自的优势和工具，以造福欧洲和我们合作伙伴的安全。”

https://www.nato.int/cps/en/natohq/news_216631.htm

2、俄罗斯漏洞赏金法案正在路上

联邦委员会下属的数字经济发展委员会已要求俄罗斯联邦数字发展、电信和大众传媒部加快制定一项法案，为搜索软件漏洞提供法律依据。收取费用并确定专家（也称为白帽黑客）搜索漏洞的责任界限。这是数字化委员会副主席Artem Sheikin向塔斯社宣布的。负责俄罗斯联邦技术主权和信息安全部门的副主席表示，制定一项法案的想法是将错误赏金（收费搜索软件中的漏洞）的概念引入俄罗斯联邦。该法律领域自2022年夏季以来一直在公开讨论，并由数字发展部制定。该法案特别规定了对俄罗斯联邦刑法(CC)第272条（非法获取计算机信息）的修改。“由于多个部门的立场，该法案的进展很复杂，因为应受刑事处罚的行为与法律行为之间的界限，以及研究人员的责任与系统所有者的责任之间的界限都非常不稳定。”，谢金解释道。他认为，现有的计算机犯罪立法已经过时，有必要实现方法和决策方法的现代化。“在这方面，我们提出了一项提案，定义一种新型的收费软件漏洞查找活动，以及一项根据法律依据定义专家在查找漏洞时的责任限制的提案。我们建议数字发展部恢复制定一项立法举措，旨在将收费查找软件漏洞的活动引入法律领域，并定义专家查找漏洞的责任限制。”该法案的目标是使“白色”黑客的活动合法化并简化，“因为这将激活那些担心任何法律后果的研究人员。” “与此同时，该法案中可能有一些条款可能会阻止专家寻找漏洞。例如，如果它包含有关创建白帽黑客注册表、个人许可的条款，那么这将要求研究人员走出阴影，他们中的许多人肯定还没有做好准备，”数字化委员会副主席补充道。他强调，规范漏洞发现者的活动“将帮助他们感到自己受到法律条款的保护，并增加他们在这一领域工作的兴趣”。

https://www.securitylab.ru/news/539438.php

3、日本在网络安全方面面临的挑战和威胁

根据Rapid7的一份新报告，日本正受到许多网络犯罪分子的攻击，这些犯罪分子既有间谍目的，也有经济目的。研究人员发现，这个东亚国家受到了四个通常是国家支持的威胁来源的国家中三个国家的关注，其中最常见的是朝鲜和越南。报告还显示，2022年上半年，日本制造业报告的涉及专用软件的勒索案件占所有勒索案件的32.5%。相比之下，医疗保健行业仅占同期攻击的7.9%。Rapid7威胁咨询主管Paul Prudhomme表示，“日本制造组织特别容易受到网络攻击，主要原因有两个：一方面，他们与世界各地的供应商有着深厚的联系，这使他们成为理想的目标；另一方面，他们实行实时生产，这意味着他们几乎没有库存。这使得他们的运营流程非常容易受到攻击。”报告还显示，日本母公司的受害往往是由于其海外子公司或附属公司的脆弱性造成的。这种横向移动的一个例子是松下，其印度分部于2020年10月遭遇数据泄露事件并被勒索赎金，两年后，即2022年2月，黑客到达了加拿大分部。两次攻击都影响了母公司。此外，越南还出现了针对日本企业的袭击事件。国家资助的组织APT32（也称为OceanLotus）对新兴越南汽车行业的外国竞争对手表现出特别的兴趣。Rapid7 全球政府事务和公共政策副总裁萨宾·马利克 (Sabine Malik)表示：“日本在私营和公共部门的网络安全方面长期以来表现不佳。”“国际战略研究所在2021年6月的三级排名中将日本列为最低。伦敦智库指出，该国公共和私营部门的网络安全薄弱，包括追踪恶意入侵企图的能力以及缺乏发起反击的法律机制，”马利克说。尽管日本是仅次于美国和中国的世界第三大经济体，但在英文网络情报文献中，日本经常被忽视。日本政府当然意识到自己与其他国家的困境，因此去年12月提出了新修订的《国家安全保障战略》。声明指出，日本将加强网络能力，并与其他国家合作应对新出现的网络威胁。

https://www.securitylab.ru/news/539431.php

4、爱尔兰将根据新的网络战略加强国家网络安全中心（NCSC）的能力

爱尔兰政府提出了多项措施，以加强该国最高网络机构应对勒索软件和其他网络威胁的能力。这些变化是根据新的《2019-2024年国家安全战略》提出的，该战略制定了18项新的行动计划，旨在增强国家网络安全中心的能力。拟议的措施包括扩大NCSC的法律和技术权力，以检测和减轻网络威胁，在内部设立专门的工作组来应对激增的勒索软件攻击，以及防御对国家关键基础设施的威胁。2019年发布的国家网络安全战略制定了一项五年计划，旨在提高爱尔兰各地政府系统和关键国家基础设施的安全性和弹性。29日的变化是作为五月份战略中期审查的一部分而引入的。“网络安全没有国界，我们的经济和社会生态系统的不同部分都同样脆弱，”议会议员、爱尔兰环境、气候和通信部长兼交通部长埃蒙·瑞安(Eamon Ryan) 说。“这次中期审查扩大了该战略的重点，以支持更广泛的利益相关者，并加倍努力解决网络技能差距。”爱尔兰政府在公开咨询行业专家后制定了最新的行动计划，行业专家发现了多个需要立即干预的问题。其中包括解决技能差距、支持小型企业以及减轻供应链攻击对关键基础设施造成的网络威胁。新战略旨在通过向NCSC分配额外资源来解决这些问题，从而扩大对小企业的支持。该战略还建议对关键基础设施供应链供应商进行机构间风险评估。政府希望通过改善与布鲁塞尔的外交关系来加强与欧盟机构的关系。该提案包括任命主要外交使团的网络专员，以及在布鲁塞尔举行的欧盟会议上设立爱尔兰常驻代表。政府打算通过一个专门委员会来实施这些建议，该委员会将每年发布该战略实施情况的最新情况，以“确保问责制和透明度”。

5、印度扑热息痛制造商Granules公司表示重大业务系统遭受网络攻击

印度Granules公司（6月29日）警告称，由于该制药公司上个月末面临网络安全攻击，收入和盈利能力遭受重大损失。这家扑热息痛制造商在一份交易所文件中表示，由于IT系统发生重大变化，IT安全事件对其业务运营造成了重大干扰。5月25日，Granules India报告了这起信息安全事件，并补充说受影响的 IT资产已被隔离。该公司表示，目前已设法将生产恢复到接近正常水平，但其表示，发货产品的质量体系审批材料存在积压和延误。

https://indianexpress.com/article/business/companies/paracetamol-maker-granules-india-operations-hit-cyber-attack-8692332/

6、朝鲜黑客组织Andariel使用新的EarlyRat恶意软件发起攻击

去年，与朝鲜结盟的威胁组织Andariel在利用Log4Shell漏洞的攻击中利用了一种名为EarlyRat的先前未记录的恶意软件。卡巴斯基在一份新报告中表示：“Andariel通过执行Log4j漏洞来感染机器，进而从命令和控制(C2)服务器下载更多恶意软件。”Andariel也被称为Silent Chollima和Stonefly，与朝鲜的Lab 110有关联，该实验室是一个主要黑客单位，还拥有APT38（又名BlueNoroff）和其他以Lazarus Group名义进行集体追踪的下属单位。众所周知，威胁行为者除了对具有战略利益的外国政府和军事实体进行间谍攻击外，还进行网络犯罪，作为受制裁国家的额外收入来源。其武器库中的一些关键网络武器包括被称为Maui的勒索软件菌株以及众多远程访问木马和后门，例如Dtrack（又名Valefor和Preft）、NukeSped（又名Manuscrypt）、MagicRAT和YamaBot。NukeSped包含一系列功能，可用于创建和终止进程以及在受感染主机上移动、读取和写入文件。NukeSped 的使用与美国网络安全和基础设施安全局(CISA)追踪的名为TraderTraitor的活动重叠。AhnLab安全紧急响应中心 (ASEC)和Cisco Talos曾于2022年记录了Andariel将未修补的VMware Horizon服务器中的Log4Shell漏洞武器化的情况。卡巴斯基发现的最新攻击链显示，EarlyRat通过包含诱饵Microsoft Word文档的网络钓鱼电子邮件进行传播。这些文件打开后会提示收件人启用宏，从而导致执行负责下载木马的 VBA代码。EarlyRat被描述为一个简单但有限的后门，旨在收集系统信息并将其泄露到远程服务器以及执行任意命令。它还与MagicRAT具有高级相似之处，其使用名为PureBasic的框架编写。另一方面，MagicRAT采用Qt框架。

https://thehackernews.com/2023/06/north-korean-hacker-group-andariel.html

7、阿联酋与以色列签署关键联合网络威胁情报协议

对于两个曾经不和的地区邻国来说，这是一个分水岭，阿拉伯联合酋长国（阿联酋）和以色列将共同开发威胁情报共享平台，以应对网络安全威胁。本周宣布的“水晶球”项目是一个数字平台，用于通过围绕国家级网络威胁的协作和知识共享来检测和击退黑客。根据本周特拉维夫网络周期间看到的演示幻灯片，它被描述为能够“设计、部署和实现区域情报增强”。据The Circuit报道，该项目将得到微软、以色列拉斐尔先进防御系统公司和阿布扎比CPX的支持，还有一些国家参与，具体数量不详。阿联酋网络安全负责人穆罕默德·阿尔·科威特表示，该平台将使伙伴国家能够“轻松、无缝地共享信息”，并将通过各国联合能力、处理能力和大量数据的结合而得到加强。科威特在网络周会议上发表讲话时表示：“网络威胁不区分国家、实体或个人，这就是为什么我们需要团结起来应对这些威胁。我们的目标是水晶球整个社区将是迈向这一目标的第一步。”Armis联合创始人兼首席技术官纳迪尔·伊兹雷尔(Nadir Izrael)表示，他欢迎中东地区的共同努力，因为他“坚信各国需要共同努力，制定全面有效的网络战应对措施，以建立一个更加安全和有弹性的世界。”科威特表示，作为2020年9月《亚伯拉罕协议》的一部分，阿联酋和以色列实现外交关系正常化，从而加强了商业和战略关系，之后阿联酋与以色列科技公司的联系对于该国向数字经济的转型特别有帮助。

https://www.darkreading.com/threat-intelligence/uae-israel-joint-cyber-threat-intelligence-agreement

8、Positive Technologies专家在Zyxel设备中发现六个漏洞

网络设备制造商Zyxel感谢Positive Technologies专家Nikita Abramov发现了设备中的六个漏洞。其中五个错误的严重性很高。作为其负责任的披露政策的一部分，供应商已意识到这一威胁，并已发布更新以解决这些缺陷。根据 Positive Technologies专家的监测，大约23,000台设备可能受到错误的影响。意大利发现了近8000个此类系统，法国有4500个，捷克共和国和美国有2000多个。俄罗斯在该列表中排名第八，拥有超过680台设备。Positive Technologies应用分析部门专家 Nikita Abramov表示：“最危险的漏洞是 CVE-2023-22913和CVE-2023-22916 ，它们在 CVSS v3.1 等级上的得分为 8.1 分。” “这两个漏洞允许攻击者远程将任意系统命令注入应用程序代码并在防火墙上执行它们。攻击者可以禁用设备，导致拒绝服务、禁用某些安全功能或更改某些配置数据。任何所描述的操作对于防火墙的正常操作都是不可接受的事件。利用未受保护的设备的另一种情况是部署僵尸网络。此类网络被黑客广泛使用。”另外两个漏洞CVE-2023-22915和CVE-2023-22917的得分为7.5。第一个操作可能会导致防火墙拒绝服务，而第二个操作则允许下载恶意文件并获得对设备的控制权。CVE-2023-22914的危险性评级稍低 （7.2 分）。具有管理员权限的经过身份验证的攻击者可以在防火墙的临时文件存储文件夹之一中执行未经授权的操作系统命令。CVE-2023-22918漏洞 （6.5分）对于防火墙和Zyxel接入点来说都是危险的。它可能允许经过身份验证的攻击者获取设备上的加密管理员信息。使用此信息和公开可用的脚本，您可以解密数据，包括用户密码。要消除漏洞，请遵循制造商的建议 。

https://www.securitylab.ru/news/539427.php

9、ThirdEye：针对Windows系统的新型信息窃贼

Fortinet FortiGuard实验室研究人员发现了能够从受感染计算机窃取敏感数据的新型Windows恶意软件。他们将其称为“ThirdEye”（“第三只眼”），并指出该软件以前从未出现在防病毒数据库中。该恶意代码的分发方法尚不清楚，但它似乎使用网络钓鱼活动。研究人员在一个伪装成PDF文档的可执行文件中发现了该文件，其俄语名称为“CMK Rules for Issues Leave.pdf.exe”。ThirdEye的第一个样本于2023年4月4日上传到VirusTotal，功能相对较少。ThirdEye能够收集系统元数据，例如BIOS发布日期和制造商、C驱动器总/可用空间、当前进程、用户名、卷信息。然后收集到的数据被传输到攻击者的C2服务器。恶意代码的显著特征是它使用字符串“3rd_eye”与C2服务器进行通信。到目前为止，没有迹象表明ThirdEye已被积极用于网络攻击。然而，大多数恶意软件样本都是从俄罗斯上传到VirusTotal的，这可能表明黑客的目标是俄语组织。Fortinet研究人员表示：“虽然这种恶意代码并不复杂，但它的目的是从受感染的机器中窃取各种信息，这些信息可用作未来攻击的起点。”并补充说，收集的数据“对于理解和缩小潜在攻击范围非常有价值”。这并不是最近针对Windows用户的恶意代码的唯一示例。流行视频游戏《超级马里奥兄弟》的虚假安装程序托管在可疑的torrent网站上，此前曾被发现用于分发加密货币矿工和用C#编写的开放数据窃贼Umbral，该窃贼使用Discord webhooks提取感兴趣的数据。

https://www.securitylab.ru/news/539411.php

10、生成式人工智能项目给企业带来重大网络安全风险

新研究发现，组织急于采用生成式人工智能可能会忽视ChatGPT等基于大型语言模型 (LLM)的技术所带来的重大安全威胁，特别是在开源开发领域和整个软件供应链中。Rezilion于6月28日发布的一份报告探讨了目前开源领域对法学硕士的态度，特别是其受欢迎程度、成熟度和安全状况。研究人员发现，尽管这项技术在开源社区中得到了迅速采用（仅GitHub上就有多达30,000个与 GPT相关的项目），但总体而言，正在开发的初始项目并不安全，导致威胁增加，且是组织的较高风险。漏洞研究总监Yotam Perkal表示，随着生成式人工智能继续在整个行业中快速采用，这种风险只会在短期内增加，需要立即做出反应，以提高技术开发和维护的安全标准和实践。“如果LLM周围的安全标准和实践没有重大改进，有针对性的攻击和发现这些系统漏洞的可能性将会增加，”他告诉Dark Reading。作为研究的一部分，该团队调查了GitHub上50个最受欢迎的基于GPT和LLM的开源项目的安全性，开发时间从2个月到6个月不等。他们发现，虽然它们都非常受开发人员欢迎，但它们的相对不成熟与普遍较低的安全评级相伴。Perkal表示，如果开发人员依靠这些项目为企业开发新的基于人工智能的技术，那么他们可能会制造出更多组织不准备防御的潜在漏洞。“随着这些系统的普及和采用，它们将不可避免地成为攻击者的有吸引力的目标，从而导致重大漏洞的出现，”他说。研究人员确定了开源社区中采用生成式人工智能所带来的生成式人工智能安全风险的四个关键领域，其中各组之间存在一些重叠：信任边界风险；数据管理风险；固有的模型风险；以及基本的安全最佳实践。

https://www.darkreading.com/vulnerabilities-threats/generative-ai-projects-cybersecurity-risks-enterprises

11、WordPress社交登录插件中的严重安全漏洞暴露了用户帐户

miniOrange的WordPress社交登录和注册插件中披露了一个严重的安全漏洞，该漏洞可能使恶意行为者能够在用户提供的任何有关电子邮件地址的信息已知的情况下进行登录。该身份验证绕过缺陷被追踪为CVE-2023-2982（CVSS 评分：9.8），影响该插件的所有版本，包括7.6.4及之前的版本。该问题2023年6月14日得到解决，6月2日负责任地披露后发布了7.6.5版本。Wordfence研究员István Márton表示：“如果攻击者知道或能够找到相关的电子邮件地址，则未经身份验证的攻击者可以利用该漏洞访问网站上的任何帐户，包括用于管理网站的帐户。”该问题的根源在于，在使用社交媒体帐户登录期间用于保护信息安全的加密密钥是硬编码的，因此导致攻击者可以使用用于识别用户身份的正确加密的电子邮件地址创建有效请求。如果该帐户属于WordPress网站管理员，则可能会导致彻底泄露。该插件已在30,000多个网站上使用。该通报是在发现影响LearnDash LMS插件（一个拥有超过100,000个活跃安装的WordPress插件）的高严重性缺陷之后发布的，该缺陷可能允许任何拥有现有帐户的用户重置任意用户密码，包括具有管理员访问权限的用户密码。该错误（CVE-2023-3105，CVSS评分：8.8）已在2023年6月6日发布的版本4.6.0.1中修复。

https://thehackernews.com/2023/06/critical-security-flaw-in-social-login.html

12、针对新的Arcserve UDP身份验证绕过漏洞的利用已公开

数据保护供应商Arcserve解决了其统一数据保护(UDP)备份软件中的一个高严重性安全漏洞，该漏洞可让攻击者绕过身份验证并获得管理权限。据该公司称，Arcserve UDP是一种数据和勒索软件保护解决方案，旨在帮助客户阻止勒索软件攻击、恢复受损数据并实现有效的灾难恢复以确保业务连续性。Arcserve于6月27日发布了UDP 9.1来修复该漏洞（跟踪号为CVE-2023-26258），距离MDSec ActiveBreach红队的安全研究人员Juan Manuel Fernandez和Sean Doherty发现并报告该漏洞已过去四个月。研究人员表示：“在最近的一次对手模拟中，MDSec ActiveBreach红队正在执行勒索软件场景，其主要目标是破坏组织的备份基础设施。”“分析代码几分钟内，就发现了一个关键的身份验证绕过，允许访问管理界面。”在运行Arcserve UDP 7.0至9.0的系统上，该缺陷使本地网络上的攻击者能够通过捕获包含AuthUUID的SOAP请求来获取有效的管理员会话，从而获得易于解密的管理员凭据后访问UDP管理界面。管理员凭据可能允许威胁行为者通过擦除勒索软件攻击中的备份来破坏目标数据。MDSec ActiveBreach研究人员补充说，如果目标服务器已经针对CVE-2023-26258进行了修补并使用默认配置，则还可以使用一对默认MSSQL数据库凭据来获取管理员凭据。MDSec还共享了概念验证漏洞和工具，可用于扫描本地网络上具有默认配置的Arcserve UDP实例，以及通过利用管理界面中的身份验证绕过来检索和解密凭据。Arcserve表示，其数据保护产品应用于150个国家/地区有约235,000名客户。

https://www.bleepingcomputer.com/news/security/exploit-released-for-new-arcserve-udp-auth-bypass-vulnerability/

13、Criminal IP推出漏洞赏金计划以提高用户安保和安全性

Criminal IP是AI SPERA提供的基于OSINT的网络威胁情报搜索引擎，最近宣布推出漏洞赏金计划，旨在加强其服务的安全性并保护其用户。Crime IP因其卓越的性能和物联网设备暴露搜索和UR 扫描等显着功能而获得全球认可，旨在主动解决潜在威胁。Crime IP推出的漏洞赏金计划鼓励安全研究人员识别并报告其系统中潜在的可利用漏洞。通过积极让研究人员参与这一过程，Criminal IP可以提前发现并解决安全漏洞，确保不断改进和增强其服务交付。举报的漏洞将在专业安全研究人员的协助下进行验证和纠正，并对举报者给予适当奖励。该举措体现了Criminal IP对服务安全和用户数据保护的承诺。漏洞赏金计划到位后，用户可以放心地利用Criminal IP，因为他们知道自己的个人信息和数字资产受到保护。该计划不仅充当额外的安全层，而且还促进犯罪知识产权与安全研究社区之间的合作，使该平台能够领先于潜在威胁并提供更安全的用户体验。Crime IP自2023年4月17日推出以来，已在网络安全领域获得了全球认可。通过战略API集成以及与VirusTotal、Tines、LogRhythm等平台的牢固合作关系，它已成为著名的CTI搜索引擎。用户可以注册免费会员，也可以  根据自己的需求从各种价格合理的计划中进行选择。除了搜索引擎之外，Criminal IP还推出了一些有用的工具，例如名为Anti-Brute Force的WordPress安全插件、登录欺诈检测器 (Criminal IP FDS) 以及Chrome扩展、Criminal IP：基于AI的网络钓鱼链接检查器。

https://www.bleepingcomputer.com/news/security/criminal-ip-unveils-bug-bounty-program-to-boost-user-safety-security/

14、“瓦格纳”勒索软件针对俄罗斯目标开展网络攻击

安全研究人员发现了勒索软件攻击，该攻击试图向俄罗斯雇佣兵组织瓦格纳招募人员，该组织上周末曾短暂反抗克里姆林宫。据安全公司Cyble的分析，该勒索软件旨在针对Windows PC，并会留下一条提示，暗示受害者应考虑加入准军事组织。“职位空缺。在PMCS瓦格纳服役。为了合作，”纸条上写道，后来又补充道：“兄弟们，停止容忍权威！让我们对绍伊古开战吧！”该说明是用俄语写的，表明勒索软件是为了攻击该国的计算机而设计的。在勒索软件样本上传到VirusTotal后，Cyble也注意到了这次攻击来自俄罗斯的用户。同一张纸条上还包括瓦格纳在莫斯科招聘办公室的真实电话号码，旁边还写着“如果你想反抗官员！”上周末，勒索软件出现时，瓦格纳的领导人叶夫根尼·普里戈任(Yevgeny Prigozhin)命令他的部队向莫斯科进军，试图将绍伊古从俄罗斯国防部除名。几个小时后，普里戈任取消了武装叛乱，同时接受了一项实际上将他流放到白俄罗斯的协议。目前尚不清楚是谁制造了勒索软件。瓦格纳尚未声称对恶意代码负责。看来这次攻击是利用混沌造成的（在新窗口中打开）勒索软件构建工具，最早出现在地下论坛中。不过有趣的是，虽然攻击会加密Windows PC上的各种文件，但丢失的赎金票据并不要求受害者付款。因此，看起来该攻击可以永久破坏受感染电脑上的文件。

https://www.pcmag.com/news/wagner-ransomware-targets-computers-in-russia

15、MITRE发布了25个最危险软件漏洞的新列表

MITRE当地时间6月29日分享了今年与前两年困扰软件的25个最危险漏洞的列表。软件漏洞涵盖了广泛的问题，包括软件解决方案的代码、架构、实现或设计中的缺陷、错误、漏洞和错误。漏洞可能会危及安装和运行该软件的系统的安全。它们可以为试图控制受影响设备、访问敏感数据或触发拒绝服务状态的恶意行为者提供入口点。CISA当天警告说：“这些弱点会导致软件中出现严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。”为了创建此列表，MITRE在分析了NIST国家漏洞数据库(NVD)中2021年和2022年发现和报告的漏洞的43,996个CVE 条目后，根据其严重性和普遍性对每个漏洞进行了评分，并重点关注添加到CISA已知被利用漏洞的CVE记录（KEV）目录。“在收集、范围界定和重新映射过程之后，使用评分公式来计算弱点的排名顺序，该排名顺序结合了频率（CWE成为漏洞根本原因的次数）以及每个漏洞的平均严重性当这些漏洞被利用时（通过CVSS分数衡量），”MITRE说。“在这两种情况下，频率和严重程度都相对于数据集中观察到的最小值和最大值进行标准化。”MITRE 的2023年前25个漏洞非常危险，因为它们影响重大，并且在过去两年发布的软件中广泛出现。成功利用该漏洞可以使攻击者完全控制目标系统、获取和泄露敏感数据或触发拒绝服务(DoS)。通过共享此列表，MITRE为更广泛的社区提供了有关需要立即关注的最关键软件安全漏洞的宝贵信息。

https://www.bleepingcomputer.com/news/security/mitre-releases-new-list-of-top-25-most-dangerous-software-bugs/

16、研究人员漏洞披露了关键SAP漏洞的详细信息

一家网络安全公司披露了关键SAP漏洞的详细信息，其中包括可蠕虫攻击链，该漏洞可能使组织遭受攻击。这些漏洞是由SEC Consult的研究员 Fabian Hagg向这家企业软件巨头报告的。SEC Consult是一家总部位于奥地利的网络安全咨询公司，隶属于Atos Group的Eviden业务。Hagg在一个为期三年的研究项目中发现了这些缺陷，SAP于2021年中期和2023年1月发布了补丁。这些漏洞被跟踪为CVE-2021-27610、CVE-2021-33677、CVE-2021-33684和CVE-2023-0014，它们影响使用SAP Application Server for ABAP组件的产品。这包括SAP ERP中央组件(ECC)、S/4HANA、BW/4HANA、解决方案管理器(SolMan)、SAP for Oil&Gas、SAP for Utilities、供应商关系管理(SRM)、人力资本管理(HCM)和员工中央薪资 (ECP)产品。这些问题包括设计和实现问题，是在分析远程函数调用(RFC)接口时发现的，该接口是为SAP系统之间的通信而设计的。其中两个缺陷已根据CVSS评分被评为“严重”严重性评级：CVE-2021-27610和CVE-2023-0014。利用Hagg发现的漏洞可能会导致整个系统受到损害。攻击者只需要对目标系统进行网络访问。SEC咨询漏洞实验室负责人Johannes Greil告诉《SecurityWeek》，受影响的系统通常只能在内部访问，但某些产品和配置可能允许直接从互联网利用这些漏洞。利用这些缺陷不需要用户交互或特殊权限。SEC Consult发表的一篇论文中提供了漏洞的详细信息以及对 RFC 协议的深入研究。该公司还发表了一篇博客文章总结了调查结果。 

https://www.securityweek.com/details-disclosed-for-critical-sap-vulnerabilities-including-wormable-exploit-chain/

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-154

2. 5th域安全微讯早报-Vol-2023-153

3. 5th域安全微讯早报-Vol-2023-152

4. 5th域安全微讯早报-Vol-2023-151

5. 5th域安全微讯早报-Vol-2023-150

冷观网域风云激荡

智察数字安全博弈

THINK LIKE A HACKER

 ACT LIKE AN ENGINEER

Cyber Intelligence Insight

Digital Security Enhencement