首页明朝万达明朝万达 2023年网络安全月报(6月)

明朝万达 2023年网络安全月报(6月)

🏷️ 明朝万达 ✍️ 明朝万达成立于2005年,专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,为客户提供量身定制的数据安全解决方案。 📅 2026-03-18T15:48:38+00:00

近日,明朝万达安元实验室发布了2023年第六期《安全通告》。该份报告收录了6月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:

明朝万达2023年网络安全月报(6月)

网络安全前沿新闻

01

西门子能源公司确认在MOVEit数据盗窃攻击后数据泄露

西门子能源公司已确认,在最近的Clop勒索软件数据盗窃攻击中,数据被利用MOVEit Transfer平台中的零日漏洞窃取。

不过,西门子能源表示,没有关键数据被盗,业务运营也没有受到影响。

02

新的Mockingjay进程注入技术可逃避EDR检测

一种名为“Mockingjay”的新进程注入技术可以允许黑客绕过EDR(终端检测和响应)和其他安全产品,在受感染的系统上秘密执行恶意代码。

网络安全公司Security Joes的研究人员发现了这种方法,该方法利用带有RWX(读、写、执行)的合法DLL来逃避EDR挂钩并将代码注入远程进程。

03

Anatsa Android木马窃取美国、英国用户的银行信息

自2023年3月以来,一种新的移动恶意软件将Android银行木马“Anatsa”推送给美国、英国、德国、奥地利和瑞士的网上银行客户。

ThreatFabric的安全研究人员一直在跟踪恶意活动,他们表示黑客通过Android 官方应用商店Play商店分发恶意软件,仅通过这种方法就已经有超过30,000次安装。

04

新的PindOS JS dropper部署Bumblebee、IcedID恶意软件

安全研究人员发现了一种新的恶意工具,他们将其命名为PindOS,该工具可传播通常与勒索软件攻击相关的Bumblebee和IcedID恶意软件。

PindOS是一个简单的JavaScript恶意软件植入程序,是专门为获取下一阶段的有效负载而构建的,从而传递黑客的最终有效负载。

05

美国航空、西南航空披露影响飞行员的数据泄露事件

全球最大的两家航空公司美国航空和西南航空披露了因Pilot Credentials遭到黑客攻击而导致的数据泄露事件。

Pilot Credentials是一家管理多家航空公司飞行员申请和招聘门户的第三方供应商。根据向缅因州总检察长办公室提交的泄露通知,美国航空表示,数据泄露影响5745名飞行员和申请者,而西南航空报告称,总共有3009名飞行员和申请者受到影响。

06

Microsoft Teams漏洞允许从外部帐户传送恶意软件

安全研究人员发现了一种通过Microsoft Teams向组织传送恶意软件的简单方法,尽管该应用程序对来自外部来源的文件存在限制。

Jumpsec红队成员发现,他们可以通过更改消息POST请求中的内部和外部收件人ID来绕过限制,从而欺骗系统将外部用户视为内部用户。

07

NSA分享阻止BlackLotus UEFI恶意软件攻击的技巧

BlackLotus自2022年10月以来一直在黑客论坛上以恶意软件的形式销售,它能够逃避检测,并绕过Defender、HVCI和BitLocker等多种Windows 安全功能。

NSA表示:“BlackLotus在完全更新的Windows、安全启动定制设备或Linux上非常难以阻止。微软已经发布了补丁,并继续强化针对 BlackLotus 和 Baton Drop 的缓解措施。Linux社区可能会删除专门启动Linux的设备上的Microsoft Windows Production CA 2011证书。”

08

微软:黑客使用木马OpenSSH版本劫持Linux系统

微软表示,暴露在互联网上的Linux和物联网(IoT)设备正在通过*力暴**攻击被劫持。

获得系统访问权限后,黑客会部署木马OpenSSH软件包,帮助他们在受感染的设备中添加后门并窃取SSH凭据以维持持久性。

09

数以百万计的GitHub存储库可能容易受到RepoJacking的攻击

数以百万计的GitHub存储库可能容易受到依赖项存储库劫持(也称为“RepoJacking”)的攻击,这可能有助于黑客部署影响大量用户的供应链攻击。

RepoJacking是一种攻击手段,黑客注册用户名并创建一个组织过去使用过但后来更改了名称的存储库。这样做会导致任何项目或代码依赖于受攻击项目的依赖项从黑客控制的存储库中获取依赖项和代码,这可能包含恶意软件。

10

黑客利用Tsunami僵尸网络恶意软件感染Linux SSH服务器

黑客通过*力暴**破解Linux SSH服务器以安装各种恶意软件,包括Tsunami DDoS(分布式拒绝服务)、ShellBot、日志清理程序、权限升级工具和XMRig (Monero)挖矿程序。

为了防御这些攻击,Linux 用户应该使用强密码,或者为了更好的安全性,需要SSH密钥来登录SSH服务器。此外,通过SSH禁用root登录,限制允许访问服务器的IP地址范围,并将默认SSH端口更改为自动化机器人和感染脚本会错过的非典型端口。

11

Android间谍软件伪装成VPN、Google Play上的聊天应用

黑客使用Google Play上的三个Android应用程序从目标设备收集情报,例如位置数据和联系人列表。

这些恶意Android应用程序是由Cyfirma发现的,他将这次行动归咎于印度黑客组织“DoNot”,该组织也被追踪为APT-C-35,该组织至少自2018年以来一直针对东南亚的知名黑客组织。

12

短信发送报告可用于推断收件人的位置

大学研究人员设计了一种名为“Freaky Leaky SMS”的新侧信道攻击,该攻击依靠短信发送报告的时间来推断收件人的位置。

SMS发送报告由移动网络的SMSC(短消息服务中心)处理,以通知消息何时已传送、已接受、失败、无法传送、已过期或已被拒绝。

13

新的“Shampoo”Chromeloader恶意软件通过假冒软件网站推送

一场新的ChromeLoader恶意活动正在进行,利用名为Shampoo的搜索劫持程序和广告软件浏览器扩展的新变种来感染恶意软件和盗版电影网站的访问者。

ChromeLoader是一种浏览器劫持程序,它会强制安装浏览器扩展程序,这些扩展程序会重定向搜索结果,以宣传不需要的软件、虚假赠品、游戏、约会网站等等。

14

LockBit勒索软件在美国1,700次攻击中勒索了9100万美元

美国和国际网络安全当局在LockBit联合勒索软件通报中表示,该团伙对美国组织发起了约1,700次攻击,成功勒索了约9100万美元。

自2020年1月以来,该团伙使用LockBit的附属机构攻击了一系列关键基础设施领域的不同规模的组织,包括金融服务、食品和农业、教育、能源、政府和紧急服务、医疗保健、制造和运输。

15

盗版Windows 10 ISO在EFI分区安装Clipper恶意软件

黑客正在使用torrent分发Windows 10,这些种子将加密货币劫持者隐藏在EFI(可扩展固件接口)分区中以逃避检测。

EFI分区是一个小型系统分区,包含操作系统启动前执行的引导加载程序和相关文件。它对于取代现已过时的BIOS的UEFI支持系统至关重要。

16

WordPress Stripe支付插件漏洞泄露客户订单详细信息

WordPress的WooCommerce Stripe Gateway插件被发现容易受到一个漏洞的影响,该漏洞允许任何未经身份验证的用户查看通过该插件下达的订单详细信息 。

Patchstack的安全分析师发现,这款流行插件容易受到CVE-2023-34000的攻击,这是一种未经身份验证的不安全直接对象引用(IDOR)漏洞,可能会向黑客暴露敏感信息。

17

日本制药巨头卫材披露勒索软件攻击事件

制药公司卫材 (Eisai) 披露,该公司遭受了影响其运营的勒索软件事件,并承认黑客对其部分服务器进行了加密。

卫材是一家总部位于东京的制药公司,年收入达53亿美元。该公司开发和生产治疗各种癌症和治疗化疗副作用的药物,以及抗癫痫、神经疾病和痴呆症药物。

18

黑客劫持合法网站来托管信用卡窃取脚本

一种新的Magecart攻击手段劫持合法信用卡网站,充当“临时”命令和控制 (C2) 服务器,在目标电子商务网站上注入和隐藏窃取器。

Magecart攻击是指黑客侵入在线商店,注入恶意脚本,在结账时窃取客户的信用卡和个人信息。

19

俄罗斯称美国在iOS零点击攻击中黑掉了数千部iPhone

俄罗斯网络安全公司卡巴斯基表示,其网络上的一些iPhone遭到了iOS漏洞的黑客攻击,该漏洞通过iMessage零点击漏洞安装了恶意软件。

iMessage零点击漏洞无需任何用户交互即可执行代码,从而导致从黑客的服务器*载下**其他恶意软件。

20

亚马逊因Ring和Alexa侵犯隐私而面临3000万美元罚款

亚马逊将支付3000万美元罚款,以和解与其Ring视频门铃和Alexa虚拟助理服务运营相关的隐私侵犯指控。

根据联邦贸易委员会(FTC)的投诉,Ring家庭安全摄像头子公司涉嫌对客户进行非法监视,并且未能阻止黑客控制用户的摄像头。

21

MOVEIt泄露影响了Genworth、CalPERS的数据

PBI研究服务遭遇数据泄露,三名客户透露在最近的MOVEit Transfer数据盗窃攻击中,475万人的数据被盗。

这些攻击始于2023年5月27日,当时Clop勒索软件团伙开始利用MOVEit Transfer零日漏洞据称窃取数百家公司的数据。

网络安全最新漏洞追踪

微软6月多个安全漏洞

漏洞概述

2023年6月13日,微软发布了6月安全更新,本次更新共修复了78个安全漏洞(不包括Microsoft Edge漏洞),其中有6个漏洞评级为“严重”。

漏洞详情

CVE-2023-29357 :Microsoft SharePoint Server 特权提升漏洞

CVE-2023-29357 :Microsoft SharePoint Server 特权提升漏洞,此漏洞的CVSSv3评分为9.8,获得欺骗性JWT身份验证令牌的黑客可以使用这些令牌执行网络攻击,从而绕过身份验证,并可能获得管理员权限。

CVE-2023-32031 :Microsoft Exchange Server 远程代码执行漏洞

CVE-2023-32031 :Microsoft Exchange Server 远程代码执行漏洞,此漏洞的CVSSv3评分为8.8,经过身份验证的用户可以尝试通过网络调用在服务器账户的上下文中触发恶意代码。

CVE-2023-24897:.NET、.NET Framework 和 Visual Studio 远程代码执行漏洞

CVE-2023-24897:.NET、.NET Framework 和 Visual Studio 远程代码执行漏洞,此漏洞的CVSSv3评分为7.8,可以通过诱导受害者从网站*载下**并打开特制文件的漏洞利用,从而导致对受害者的计算机进行本地攻击,成功利用该漏洞可能导致任意代码执行。

CVE-2023-29363/CVE-2023-32014/CVE-2023-32015:Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞

CVE-2023-29363/CVE-2023-32014/CVE-2023-32015:Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞,此漏洞的CVSSv3评分均为9.8,当 Windows 消息队列服务运行在 PGM Server 环境中时,可以通过网络发送特制文件来实现远程代码执行。Windows 消息队列服务是一个 Windows 组件,启用该组件的系统才易受针对这些漏洞的攻击,可以检查是否有名为Message Queuing的服务正在运行并且 TCP 端口 1801 正在机器上侦听。

CVE-2023-29362:Remote Desktop Client远程代码执行漏洞

CVE-2023-29362:Remote Desktop Client远程代码执行漏洞,此漏洞的CVSSv3评分为8.8,在远程桌面连接的情况下,当受害者使用易受攻击的远程桌面客户端连接到攻击服务器时,控制远程桌面服务器的黑客可以在 RDP 客户端计算机上触发远程代码执行 (RCE)。

CVE-2023-28310:Microsoft Exchange Server 远程代码执行漏洞

CVE-2023-28310:Microsoft Exchange Server 远程代码执行漏洞,此漏洞的CVSSv3评分为8.0,与 Exchange Server处于同一内网的经过身份验证的黑客可以通过PowerShell 远程会话实现远程代码执行。

安全建议

目前微软已发布相关安全更新,建议受影响的用户尽快修复。

(一) Windows Update自动更新

Microsoft Update默认启用,当系统检测到可用更新时,将会自动*载下**更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统自动检查并*载下**可用更新。

4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行*载下**并安装。

(二) 手动安装更新

Microsoft官方*载下**相应补丁进行更新。

2023年6月安全更新*载下**链接:

https://msrc.microsoft.com/update-guide/releaseNote/2023-Jun

Apache RocketMQ远程代码执行漏洞(CVE-2023-33246)

漏洞概述

明朝万达2023年网络安全月报(6月)

漏洞详情

Apache RocketMQ是一个分布式消息和流数据平台,具有低延迟、高性能、高可靠性、万亿级容量和灵活的可扩展性。

近日,Apache发布安全公告,修复了Apache RocketMQ中的一个远程代码执行漏洞(CVE-2023-33246)。

Apache RocketMQ版本<= 5.1.0在某些情况下容易导致远程命令执行。RocketMQ的组件NameServer、Broker和Controller在外网中被泄露并缺乏权限验证,可以利用该漏洞通过使用更新配置功能以RocketMQ运行的系统用户身份执行命令,或通过伪造RocketMQ协议内容来达到同样的效果。

影响范围

5.0.0 <= Apache RocketMQ < 5.1.1

4.0.0 <= Apache RocketMQ < 4.9.6

安全建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache RocketMQ 5.x版本:5.1.1

Apache RocketMQ 4.x版本:4.9.6

*载下**链接

https://rocketmq.apache.org/download/

Nacos Jraft Hessian反序列化漏洞

漏洞概述

明朝万达2023年网络安全月报(6月)

漏洞详情

Nacos是一个易于使用的动态服务发现、配置和服务管理平台,用于构建云原生应用程序。

近日,Nacos发布更新版本,修复了一个反序列化漏洞。由于Nacos集群处理部分Jraft请求时,未限制使用hessian进行反序列化,可能导致远程代码执行。但该漏洞仅影响7848端口(默认设置下),一般使用时该端口为Nacos集群间Raft协议的通信端口,不承载客户端请求,因此可以通过禁止该端口来自Nacos集群外部的请求来进行缓解,如果部属时已进行限制或未暴露,则实际风险可控。

影响范围

1.4.0<=Nacos版本<1.4.6

2.0.0<=Nacos版本<2.2.3

安全建议

目前该漏洞已经修复,受影响用户可更新到Nacos 版本1.4.6或2.2.3。

*载下**链接

https://github.com/alibaba/nacos/releases/tag/1.4.6

https://github.com/alibaba/nacos/releases/tag/2.2.3

Reportlab代码注入漏洞(CVE-2023-33733)

漏洞概述

明朝万达2023年网络安全月报(6月)

漏洞详情

Reportlab是一个开源Python 库,可以使用Python语言以Adobe的可移植文档格式(PDF)创建文档,它被多个项目用作 PDF 库,并在 PyPI上每月大约有350 万次*载下**。

近日,我司Reportlab Python 库中存在一个代码注入漏洞(CVE-2023-33733),目前该漏洞的细节及PoC/EXP已经公开。

该漏洞为Reportlab之前修复的代码执行漏洞的补丁绕过,通过绕过'rl_safe_eval'的沙箱限制,从而导致代码执行。

影响范围

Reportlab版本:<3.6.13

安全建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Reportlab版本:>=3.6.13

*载下**链接

https://docs.reportlab.com/releases/notes/whats-new-3613/

【 持续关注网络安全,更多相关资讯敬请关注“明朝万达” 】