供应链安全管控迫在眉睫

　　近期网络安全形势较为平稳，无重大的安全事件发生。

　　在8-9月受理的安全投诉事件中，拒绝服务攻击的数量有上升趋势，目前大部分的拒绝服务攻击类型仍以反射放大攻击为主。在病毒与木马方面，近期没有新增特别需要关注的木马病毒，需要关注的还是各类钓鱼邮件攻击。

     

2022年8月-9月CCERT安全投诉事件统计  

　　近期新增严重漏洞评述  

　　01

　　微软2022年10月的例行安全更新共涉及漏洞数96个，其中严重等级的15个，重要等级的73个，中危等级的5个，低危等级的3个。这些漏洞中有两个属于0day漏洞，分别是Windows COM+事件系统服务权限提升漏洞（CVE-2022-41033）和Office信息泄露漏洞（CVE-2022-41043），其中，CVE-2022-41033已经发现在野的攻击利用行为，CVE-2022-41043的相关漏洞细节也被公布。鉴于上述漏洞的危害性，建议用户尽快使用系统自带的更新功能进行补丁更新。需要提醒的是，微软在10月发布的Win11累积性补丁包（22H1及22H2）可能导致Win11系统在进行安全连接时TSL/SSL的握手协议出现错误，从而无法与服务器端建立安全连接，导致网络中断。不过目前微软已经推送了新版本的补丁包来修补这个缺陷。

　　02

　　10月初，微软的Exchange Server被曝存在两个0day漏洞正在被积极利用，一个是服务端请求伪造漏洞（CVE-2022-41040），另一个是远程代码执行漏洞（CVE-2022-41082）。攻击者会先利用前一个漏洞伪造合法请求，发送到Exchange Server服务上，触发第二个漏洞远程执行特定代码，进而控制相关服务器。成功的攻击需要攻击者在Exchange Server上拥有一个合法的邮件账户。目前微软正在积极开发相关的补丁程序，但是相关补丁并未包含在10月的例行更新中。建议Exchange Server的管理员随时关注厂商的更新动态。在没有补丁程序之前，建议可以在防火墙上限制对Exchange Server服务的TCP 5985和5986端口访问，因为上述攻击需要通过这两个端口进行。

　　03

　　ISC在9月底发布了BIND的安全更新，用于解决之前版本中存在的6个安全漏洞。其中4个为高危级别的拒绝服务攻击漏洞，漏洞编号分别是CVE-2022-2906、CVE-2022-38177、CVE-2022-3080、CVE-2022-38178，利用这些漏洞均可导致BIND的程序无法提供正常服务。所幸目前漏洞的具体信息还未被披露，也未发现在野的攻击行为。建议DNS的管理员尽快对自己的BIND程序进行升级。

　　04

　　Mozilla在9月底发布安全更新以解决Firefox、Firefox ESR和Thunderbird中的漏洞，攻击者可以利用其中一些漏洞来控制受影响的系统。更新中包含Firefox浏览器的7个漏洞（3个为高危等级）补丁，Thunderbird邮件客户端的3个漏洞（1个为高危等级）。建议使用相关软件的用户尽快进行更新升级。

　　05

　　VMware vCenter Server是VMware公司的高级服务器管理软件，提供了一个集中式平台来控制vSphere环境，以实现跨混合云的可见性管理模式。10月初VMware公司发布了紧急更新补丁用于修补vCenter Server中的一个反序列化漏洞（CVE-2022-31680），利用该漏洞可以让具备虚拟机管理权限的账号穿透vCenter到虚拟平台的底层执行任意命令。建议vCenter管理员尽快进行更新。

　　06

　　Fortinet的安全产品是目前使用较为广泛的安全产品之一。最近Fortinet官方发布安全公告，修复了其多个产品中存在的身份验证绕过漏洞（CVE-2022-40684），目前该漏洞已经被积极利用。在受影响的FortiOS、FortiProxy和FortiSwitchManager产品的管理界面中，攻击者利用该漏洞，可以在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。建议相关产品的管理员尽快联系厂商进行技术更新。

　　安全提示  

　　年度的各类攻防演练活动近期都进入了总结阶段，从各类实战攻防的结果看，供应链已经成为一个非常有效的攻击路径。因为各类供应链的管理水平参差不齐，通过供应链往往可以很轻松地突破原本比较严密的防守策略。供应链已经成为整个安全体系中最容易出问题的环节。将供应链环节纳入到整个安全体系中进行管控迫在眉睫。

　　作者：郑先伟（中国教育和科研计算机网应急响应组）