加強(qiáng)安全教育 警惕挖礦木馬攻擊

文/鄭先偉

3月教育網(wǎng)整體運(yùn)行平穩(wěn)，未出現(xiàn)影響嚴(yán)重的網(wǎng)絡(luò)安全事件。投訴事件數(shù)量整體保持平穩(wěn)。

近期國(guó)家加大了對(duì)挖礦木馬的打擊力度。目前看來，大部分校內(nèi)挖礦行為都是因?yàn)楦腥就诘V木馬所導(dǎo)致，這些木馬主要通過系統(tǒng)弱口令及系統(tǒng)服務(wù)漏洞進(jìn)行傳播。建議加強(qiáng)用戶的安全意識(shí)教育，為系統(tǒng)設(shè)置強(qiáng)壯的密碼并及時(shí)安裝補(bǔ)丁程序。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟2022年3月的例行安全更新共涉及漏洞數(shù)89個(gè)，其中嚴(yán)重等級(jí)的漏洞有14個(gè)，重要等級(jí)的漏洞有75個(gè)。89個(gè)漏洞中有3個(gè)漏洞屬于0day漏洞，分別是：遠(yuǎn)程桌面客戶端遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-21990），Windows Fax and Scan Service權(quán)限提升漏洞（CVE-2022-24459），.NET運(yùn)行環(huán)境遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-24512）。本次更新涉及的產(chǎn)品包括Windows系統(tǒng)、Office辦公軟件、Edge瀏覽器和Exchange郵件服務(wù)，成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，獲取用戶數(shù)據(jù)，提升權(quán)限等，建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行更新。

2.Linux內(nèi)核存在一個(gè)權(quán)限提升漏洞（CVE-2022-0847），該漏洞允許攻擊者向一個(gè)只讀文件寫入任意數(shù)據(jù)，進(jìn)而以系統(tǒng)最高權(quán)限執(zhí)行任意命令。該漏洞影響Linux內(nèi)核5.8-5.16.11、5.8-5.15.25、5.8-5.10.102版本，目前官方已經(jīng)發(fā)布新版本修補(bǔ)該漏洞，各發(fā)行版本的服務(wù)商也發(fā)布了補(bǔ)丁程序，建議用戶盡快進(jìn)行升級(jí)。想要獲取自己使用的Linux內(nèi)核版本，可以執(zhí)行cat /proc/version命令來查看。

2022年2月～2022年3月CCERT安全投訴事件統(tǒng)計(jì)

3.惠普公司近期針對(duì)三個(gè)嚴(yán)重的安全 漏 洞（CVE-2022-3942、CVE-2022-24291、CVE-2022-24292）發(fā)布了一份安全公告，來警示用戶上述漏洞會(huì)影響到惠普公司生產(chǎn)的上百款打印機(jī)設(shè)備（包括LaserJet Pro、PageWide Pro、OfficeJet、Enterprise、Large Format和DeskJet等型號(hào)）的安全，利用這些漏洞可以遠(yuǎn)程執(zhí)行任意代碼，竊取敏感信息或者進(jìn)行拒絕服務(wù)攻擊。目前廠商已經(jīng)發(fā)布了相應(yīng)的解決方案，建議用戶可以參照官方提供的技術(shù)方案進(jìn)行安全配置，例如升級(jí)打印機(jī)的固件版本，將打印機(jī)放置在防火墻后面等操作。具體信息可參見：https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerableto-remote-code-execution/。

4.Spring是目前全球使用最為廣泛的Java輕量級(jí)開源框架之一，它使得開發(fā)者可以專注于業(yè)務(wù)邏輯進(jìn)行快速的企業(yè)級(jí)應(yīng)用開發(fā)。最近該框架曝出了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，漏洞影響Spring框架的JDK9及以上版本（管理員可以通過執(zhí)行“java-version”命令查看自己的JDK版本），遠(yuǎn)程攻擊者可在滿足特定條件的基礎(chǔ)上，通過框架的參數(shù)綁定功能獲取AccessLogValve對(duì)象并注入惡意字段值，從而觸發(fā)pipeline機(jī)制并寫入任意路徑下的文件，達(dá)到遠(yuǎn)程代碼執(zhí)行的目的。目前廠商已經(jīng)針對(duì)漏洞發(fā)布了補(bǔ)丁程序https://spring.io/blog/2022/03/31/springframework-rce-early-announcement，建議用戶盡快進(jìn)行升級(jí)。如果暫時(shí)無法升級(jí)Spring版本，可將相關(guān)業(yè)務(wù)使用防火墻限制訪問來源或使用waf過濾特殊字段（如：“class.*”，“Class.*”，“*.class.*”，“*.Class.*”）來降低漏洞被攻擊的風(fēng)險(xiǎn)。

安全提示

2021年底的Log4j高危漏洞，其解決方案之一就是升級(jí)系統(tǒng)所使用的JDK版本到最新。而如果上次將JDK版本升級(jí)到9及9以上的版本就會(huì)面臨此次漏洞的威脅。通常使用Spring框架的系統(tǒng)都比較龐大復(fù)雜，在版本升級(jí)時(shí)會(huì)面臨一系列的函數(shù)支持問題，導(dǎo)致升級(jí)困難，所以網(wǎng)絡(luò)里到底有多少系統(tǒng)受此漏洞的影響，還需要進(jìn)一步的追蹤。建議學(xué)校的管理員可在上次排查L(zhǎng)og4j漏洞的信息基礎(chǔ)上，對(duì)學(xué)校里使用Spring框架的系統(tǒng)進(jìn)行進(jìn)一步排查，并對(duì)存在風(fēng)險(xiǎn)的系統(tǒng)采取相應(yīng)的防范措施。