CCERT月報(bào)供應(yīng)鏈安全管理面臨挑戰(zhàn)

從近期各類網(wǎng)絡(luò)攻防活動(dòng)開(kāi)展的結(jié)果看，供應(yīng)鏈安全和數(shù)據(jù)依然是攻擊者關(guān)注的重點(diǎn)。從被攻擊成功的案例看，通過(guò)供應(yīng)鏈破壞整體安全防護(hù)體系的案例已經(jīng)占了較大比例。這也給我們的安全工作提出了新的要求，那就是供應(yīng)鏈的安全管理。要做好這項(xiàng)工作，首先需要摸清楚自己的供應(yīng)鏈涉及范圍，排查清楚后再對(duì)這些供應(yīng)鏈環(huán)節(jié)進(jìn)行管理，必要時(shí)在合同階段引入網(wǎng)絡(luò)安全約束，并避免出現(xiàn)對(duì)單一產(chǎn)品或供應(yīng)環(huán)節(jié)的過(guò)渡依賴。

近期安全事件投訴數(shù)量呈整體下降趨勢(shì)。最近針對(duì)高校的釣魚(yú)郵件攻擊數(shù)據(jù)呈上升趨勢(shì)。隨著用戶安全意識(shí)的整體提升，攻擊者的攻擊手段也在相應(yīng)提高，釣魚(yú)郵件內(nèi)容智能化生成，導(dǎo)致迷惑性很大。例如偽造一封學(xué)校內(nèi)部的安全管理通知，要求用戶在規(guī)定時(shí)間內(nèi)進(jìn)行賬號(hào)密碼更換，而學(xué)校確實(shí)有類似的密碼管理規(guī)定，這對(duì)用戶的迷惑性非常大。用戶一旦按照郵件的要求進(jìn)行操作，就可能導(dǎo)致賬號(hào)信息丟失。這類郵件除了給用戶帶來(lái)風(fēng)險(xiǎn)外，也給學(xué)校后期的安全管理工作帶來(lái)不便。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟2022年8月的例行安全更新共涉及漏洞數(shù)121個(gè)，其中嚴(yán)重等級(jí)的17個(gè)，重要等級(jí)的102個(gè)，中等1個(gè)，低風(fēng)險(xiǎn)1個(gè)。受影響的產(chǎn)品包括：Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct等。其中需要關(guān)注的是Windows支持診斷工具（MSDT）遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2022-34713），該漏洞別稱“DogWalk”。當(dāng)調(diào)用應(yīng)用程序（通常是Microsoft Word）的URL協(xié)議調(diào)用MSDT時(shí)，可能導(dǎo)致執(zhí)行任意代碼。要利用該漏洞，攻擊者需要引誘用戶單擊鏈接或打開(kāi)文檔。目前該漏洞已被檢測(cè)到在野的攻擊。另一個(gè)需要關(guān)注的漏洞是SMB客戶端和服務(wù)器遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2022-35804）, 該漏洞存在于Windows消息塊3.1.1（SMBv3）協(xié)議中。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者利用該漏洞可在受影響的SMB服務(wù)器上執(zhí)行代碼。該漏洞僅影響Windows 11，建議用戶禁用SMBv3壓縮，以防止漏洞被用來(lái)傳播蠕蟲(chóng)。鑒于上述漏洞的危害性，建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁更新。

2022年6月~7月CCERT安全投訴事件統(tǒng)計(jì)

2.VMware官方在8月初修補(bǔ)了旗下產(chǎn)品中的10個(gè)安全漏洞，其中包括一個(gè)高危的認(rèn)證旁路繞過(guò)漏洞（CVE-2022-31656）。該漏洞位于VMware Workspace ONE Access、Identity Manager與vRealize Automation等服務(wù)中，若攻擊者可以訪問(wèn)到上述3項(xiàng)服務(wù)，就有機(jī)會(huì)繞過(guò)身份認(rèn)證，取得管理員權(quán)限。鑒于漏洞的危害性，建議相關(guān)管理員盡快進(jìn)行升級(jí)。

3.8月初，F(xiàn)5公司發(fā)布了第三季度的安全通告，修復(fù)了名下多款產(chǎn)品中存在的21個(gè)安全漏洞，受影響的產(chǎn)品包括：BIG-IP（19個(gè) ）、BIG-IQ（3個(gè) ）、NGINX Instance Manager（1個(gè)）、NGINX Ingress Controller （1個(gè)）。利用上述漏洞，攻擊者可實(shí)現(xiàn)安全功能限制繞過(guò)、權(quán)限提升、敏感信息獲取或拒絕服務(wù)攻擊等。建議用戶盡快進(jìn)行設(shè)備升級(jí)。

4.Oracle今年7月的例行安全公告升級(jí)了316個(gè)漏洞補(bǔ)丁，主要涉及Oracle Mysql和Mysql 組件、Oracle Communications Applications、Oracle E-Business Suite、Oracle Fusion Middleware和Oracle BI Publisher、Oracle Communications Billing and Revenue Management、Oracle Financial Services Applications等。將這些漏洞按照危害等級(jí)進(jìn)行評(píng)價(jià)，包括超危漏洞45個(gè)，高危漏洞132個(gè)，中危漏洞133個(gè)，低危漏洞6個(gè)。建議管理員盡快確認(rèn)是否受到影響，并根據(jù)影響情況及時(shí)更新。

安全提示

有消息顯示，在近期的一些演練活動(dòng)中暴露出了一些軟件和設(shè)備的安全漏洞，其中很多漏洞屬于0day性質(zhì)。由于目前類似活動(dòng)環(huán)節(jié)中暴露的漏洞沒(méi)有公開(kāi)的披露途徑，所以這些漏洞的修補(bǔ)機(jī)制可能會(huì)存在問(wèn)題。對(duì)于還在維保期的軟件或硬件產(chǎn)品，廠商會(huì)主動(dòng)聯(lián)系進(jìn)行升級(jí)，而對(duì)于不在維保期內(nèi)的產(chǎn)品，可能需要用戶自行采用相關(guān)措施。一個(gè)可以降低風(fēng)險(xiǎn)的機(jī)制是限制相關(guān)產(chǎn)品的互聯(lián)網(wǎng)連接，以降低暴露風(fēng)險(xiǎn)。