2023年10月教育网运行正常，未发现影响严重的安全事件。近期各类安全投诉事件数量整体呈低位态势。

在病毒与木马方面，2023年9月修复的WinRAR远程代码执行漏洞（CVE-2023-40477）正在被多种恶意软件利用来进行自身传播，这些恶意软件通常都会伪装成破解软件等引诱用户下载。

2023年9月~10月CCERT安全投诉事件统计

近期新增严重漏洞评述

01

微软2023年10月的例行安全更新共包含微软产品的安全漏洞103个。这些漏洞按等级分类包含13个严重等级、90个重要等级；按漏洞类型分类包括权限提升漏洞27个、远程代码执行漏洞44个、信息泄露漏洞12个、安全功能绕过漏洞3个、拒绝服务漏洞16个、XSS漏洞1个。这些漏洞中需要特别关注的有以下几个。

WordPad信息泄露漏洞（CVE-2023-36563）。允许远程攻击者获取本地合法用户的NTLM哈希值（攻击者需要能够远程登录系统并引诱被攻击者执行相应的攻击程序）。目前该漏洞已存在在野的攻击，厂商已针对该漏洞发布了补丁程序，并计划在Win11系统中弃用NTLM认证协议，改用更为安全的Kerberos认证协议。

Skype for Business权限提升漏洞（CVE-2023-41763）。允许远程攻击者向Skype for Business服务发送特制请求调用，进而使得Skype for Business向任意地址发送http请求。目前该漏洞已发现在野的攻击行为，厂商已针对该漏洞发布了补丁程序。

Windows消息队列远程代码执行漏洞（CVE-2023-35349）。允许未经身份认证的攻击者将特制的恶意MSMQ数据包发送到MSMQ服务器，这可能会导致在服务器端远程执行代码。不过要利用此漏洞，系统必须启用消息队列服务，用户可以通过查看是否有一个名为Message Queuing的服务正在运行，以及机器上的TCP端口1801是否正在监听，来确认是否受漏洞影响。

02

展开全文

HTTP/2协议中存在一个快速重置攻击漏洞（CVE-2023-44487），该漏洞允许恶意攻击者发起针对Web服务器的DDoS攻击。由于该漏洞存在于HTTP/2协议中，目前所有支持该协议的Web服务程序都可能受到此类拒绝服务攻击。从已检测到的数据看，此类新型的拒绝服务攻击方式已在互联网上大量发生。目前各Web服务程序的提供方已陆续针对该漏洞发布补丁程序，建议管理员关注相关程序更新并尽快升级。

03

Curl是一个常用的网络数据传输组件，它包含Curl工具和Libcurl库，Libcurl库被很多其他应用使用。近期Curl官方发布了安全更新，用于修补Curl工具和Libcurl库中的两个安全漏洞，分别是SOCKS5堆缓冲区溢出漏洞（CVE-2023-38545）和Cookie注入漏洞（CVE-2023-38546）。由于漏洞影响的范围较广，建议用户尽快进行升级。

04

F5厂商在第4季度的安全通告中披露其BIG-IP产品中的一个严重安全漏洞（CVE-2023-46747）。该漏洞存在于产品配置实用程序组件中，可能允许未CCERT月报经身份验证的攻击者通过管理端口或自身IP地址访问BIG-IP系统，以管理员的身份在系统中执行任意系统命令。该漏洞不会直接影响到BIG-IP承载的业务数据，但是可以让攻击者完全控制BIG-IP设备。目前厂商已经针对相关漏洞发布了补丁程序，建议使用了该产品的用户快进行升级。

05

近期VMWare发布了紧急修补程序，用于修补其vCenter Server中的一个越界写入漏洞（CVE-2023-34048）。该漏洞存在于vCenterServer对DCERPC协议的实现过程中，一个具有网络访问权限的恶意攻击者可以触发一个越界写入，进而导致远程任意代码执行。目前厂商已经针对该漏洞发布了补丁程序，由于漏洞没有可用的临时缓解措施，建议管理员尽快对vCenterServer进行升级。

安全提示

为防范针对HTTP/2协议的拒绝服务攻击，用户可以采取以下措施：

1.尽快升级所使用的Web服务程序到最新版本；

2.对Web服务器的流量进行监测分析，并使用防火墙来阻断那些对Web服务器发起异常连接的IP；

3.启用WAF或IPS的速率限制功能，降低Web服务器的负担；

4.配置Web服务，限制客户端的最大连接数。

来源：《中国教育网络》2023年10月刊

作者：郑先伟（中国教育和科研计算机网应急响应组）

责编：项阳

投稿或合作，请联系：eduinfo@cernet.com