最新:CCERT月报:APT 攻击入侵!校园网需重点防御

2022-10-17 16:09:42 来源:中国教育和科研计算机网

国家计算机病毒应急处理中心近日发布的相关技术报告显示,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)对中国高校的网络目标实施了上万次恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了大量高价值数据。这也凸显了高校网络安全工作的复杂性,由于校园内人员结构比较复杂,往往很难有统一有效的安全策略和防护手段,一些高价值的信息就很容易成为APT(Advanced Persistent Threat,高级持续性威胁)攻击的目标。针对这种情况,建议对校园网内的信息进行排查,对于高价值信息进行重点保护,涉及国家或科研密码的信息应严格按照相关要求不上网。


(相关资料图)

近日,安全事件投诉数量较平稳,网站的安全问题仍然较为突出。在病毒与木马方面,各类钓鱼邮件攻击仍然较多,值得注意的是,要防范钓鱼邮件攻击和勒索攻击结合使用。

2022年7月-8月CCERT安全投诉事件统计

近期新增严重漏洞评述

01

微软2022年9月的例行安全更新共涉及漏洞数63个,其中严重等级的5个,重要等级的40个,中等7个。类型包括18个提权漏洞、1个安全功能绕过漏洞、30个远程代码执行漏洞、7个信息泄露漏洞和7个拒绝服务漏洞。受影响的产品包括:Microsoft Windows和Windows组件、Microsoft HTTP.sys等。这些漏洞中有两个属于0day漏洞,分别是Windows通用日志文件系统驱动程序中的提权漏洞(CVE-2022-37969)和Cache Speculation Restriction漏洞(CVE-2022-23960),其中CVE-2022-37969已经被积极利用。鉴于上述漏洞的危害性,建议用户尽快使用系统自带的更新功能进行补丁更新。

02

谷歌近期发布了Chrome105.0.5195.102用于解决高危漏洞(CVE-2022-3075),该漏洞影响Windows、 Linux及MacOS中的Chrome浏览器,这也是Chrome今年修补的已被利用的第六个0day漏洞。该漏洞是由Mojo中的数据验证不足引起的。Mojo是一个运行库的集合,用于在任意跨进程、进程内边界传递消息。目前该漏洞已经被利用,但谷歌未披露更多的漏洞细节,建议用户尽快使用Chrome自带的更新功能进行版本更新。

03

VMware在8月下旬发布了一个紧急补丁用于修补VMware Tools中的一个权限提升漏洞(CVE-2022-31676),利用该漏洞可以使虚拟机中的普通用户提升到系统管理员权限。VMware Tools是VMware客户机(Guest)中安装的一套工具,可以提高虚拟机中安装的客户机操作系统性能并改善虚拟机管理。由于VMware Tools在虚拟机中是以管理权限运行的,所以利用此漏洞的攻击者可以获取虚拟机中的管理员权限。为保障虚拟机的安全,建议VMware的管理员尽快升级平台中的VMware Tools版本。

04

GitLib是一个开源的代码仓库管理系统,其使用Git作为代码管理工具,允许开发者在平台上维护和管理自己的项目。最近GitLab发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2884),该漏洞允许经过身份验证的用户通过GitHub API端点导入远程执行代码,进而在目标系统上执行恶意代码。目前GitLib官方已经针对漏洞发布了版本更新,建议使用GitLib代码管理系统的管理员尽快升级自己的GitLib版本。

05

苹果系统的HTML渲染引擎(WebKit)中存在一个名为CVE-2022-32893的远程代码执行漏洞(RCE),通过该漏洞,黑客可以欺骗iPhone、iPad和Mac运行未经授权和不受信任的代码,进而完全控制相关设备。目前苹果公司已经在其最新版的操作系统中修复了该漏洞,由于漏洞也会影响老旧的苹果设备且该漏洞正在被积极利用,本次苹果公司也为那些原来已经不支持更新的设备系统进行了版本更新。建议使用苹果产品的用户尽快使用系统自带的更新功能进行更新。

安全提示

APT攻击往往会使用钓鱼邮件这类社会工程学攻击手段,这类攻击通常目标比较明确,攻击方式比较隐蔽,带来的危害也很严重。针对这类攻击,要加大宣传和培训力度,增强人员的安全意识和安全技能。要全员时刻绷紧网络安全这根弦。

作者:郑先伟(中国教育和科研计算机网应急响应组)

责编:项阳

关键词: CCERT 钓鱼邮件

Copyright @  2015-2022 中南网版权所有  备案号: 浙ICP备2022016517号-4   联系邮箱:514 676 113@qq.com