供应链的安全管理面临新的挑战

　　从近期各类网络攻防活动开展的结果看，供应链安全和数据依然是攻击者关注的重点。从被攻击成功的案例看，通过供应链破坏整体安全防护体系的案例已经占了较大比例。这也给我们的安全工作提出了新的要求，那就是供应链的安全管理。要做好这项工作，首先需要摸清楚自己的供应链涉及范围，排查清楚后再对这些供应链环节进行管理，必要时在合同阶段引入网络安全约束，并避免出现对单一产品或供应环节的过度依赖。

　　近期安全事件投诉数量呈整体下降趋势。最近针对高校的钓鱼邮件攻击数据呈上升趋势。随着用户安全意识的整体提升,攻击者的攻击手段也在相应提高，钓鱼邮件内容智能化生成，导致迷惑性很大。例如伪造一封学校内部的安全管理通知，要求用户在规定时间内进行账号密码更换，而学校确实有类似的密码管理规定，这对用户的迷惑性非常大。用户一旦按照邮件的要求进行操作，就可能导致账号信息丢失。这类邮件除了给用户带来风险外，也给学校后期的安全管理工作带来不便。

 

2022年6月-7月CCERT安全投诉事件统计

　　近期新增严重漏洞评述

　　01

　　微软2022年8月的例行安全更新共涉及漏洞数121个，其中严重等级的17个，重要等级的102个，中等1个，低风险1个。受影响的产品包括：Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct等。其中需要关注的是Windows支持诊断工具（MSDT）远程执行代码漏洞（CVE- 2022-34713），该漏洞别称 “DogWalk”。当调用应用程序（通常是Microsoft Word）的URL协议调用MSDT时，可能导致执行任意代码。要利用该漏洞，攻击者需要引诱用户单击链接或打开文档。目前该漏洞已被检测到在野的攻击。另一个需要关注的漏洞是SMB客户端和服务器远程执行代码漏洞（CVE-2022- 35804）,该漏洞存在于Windows消息块3.1.1（SMBv3）协议中。未经身份验证的远程攻击者利用该漏洞可在受影响的SMB服务器上执行代码。该漏洞仅影响Windows 11，建议用户禁用SMBv3压缩， 以防止漏洞被用来传播蠕虫。鉴于上述漏洞的危害性，建议用户尽快使用系统自带的更新功能进行补丁更新。

　　02

　　VMware官方在8月初修补了旗下产品中的10个安全漏洞，其中包括一个高危的认证旁路绕过漏洞（CVE-2022-31656）。该漏洞位于 VMware Workspace ONE Access、 Identity Manager与vRealize Automation等服务中，若攻击者可以访问到上述3项服务， 就有机会绕过身份认证，取得管理员权限。鉴于漏洞的危害性，建议相关管理员尽快进行升级。

　　03

　　8月初，F5公司发布了第三季度的安全通告，修复了名下多款产品中存在的21个安全漏洞，受影响的产品包括：BIG-IP（19 个）、BIG-IQ（3 个）、NGINX Instance Manager （1 个）、NGINX Ingress Controller（1个）。利用上述漏洞， 攻击者可实现安全功能限制绕过、权限提升、敏感信息获取或拒绝服务攻击 等。建议用户尽快进行设备升级。

　　04

　　Oracle今年7月的例行安全公告升级了316个漏洞补丁，主要涉及Oracle Mysql和Mysql组件、Oracle Communications Applications、Oracle E-Business Suite、 Oracle Fusion Middleware和Oracle BI Publisher、Oracle Communications Billing and Revenue Management、Oracle Financial Services Applications等。将这些漏洞按照危害等级进行评价，包括超危漏洞45个， 高危漏洞132个，中危漏洞133个，低危漏洞6个。建议管理员尽快确认是否受到影响，并根据影响情况及时更新。

　　安全提示

　　有消息显示，在近期的一些演练活动中暴露出了一些软件和设备的安全漏洞，其中很多漏洞属于0day性质。由于目前类似活动环节中暴露的漏洞没有公开的披露途径，所以这些漏洞的修补机制可能会存在问题。对于还在维保期的软件或硬件产品，厂商会主动联系进行升级，而对于不在维保期内的产品，可能需要用户自行采用相关措施。一个可以降低风险的机制是限制相关产品的互联网连接，以降低暴露风险。

　　作者：郑先伟（中国教育和科研计算机网应急响应组）

　　责编：项阳