安全热点周报：本周新增两个在野利用漏洞，系统安全不容小觑

奇安信 CERT 2024-08-12 17:30

安全资讯导视
• 《联合国打击网络犯罪公约》顺利通过
• 巴黎奥运会比赛场馆遭勒索软件攻击
• 近30亿人个人数据遭暗网售卖，美国一背调公司被起诉

PART01

漏洞情报

1.微软RDL服务远程代码执行漏洞安全风险通告

8月9日，奇安信CERT监测到官方修复Windows远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)，该漏洞存在于Windows远程桌面许可管理服务（RDL）中，成功利用该漏洞的攻击者可以实现远程代码执行，获取目标系统的控制权，可能导致敏感数据的泄露、以及可能的恶意软件传播。该漏洞影响所有启用RDL服务的Windows Server服务器，特别是未及时更新2024年7月微软最新安全补丁的系统。需要注意，RDL服务并非默认启用，但出于扩展功能等目的，许多管理员会手动启用它，例如增加远程桌面会话的数量。在一些特定的场景中，如堡垒机和云桌面VDI环境，RDL服务的启用也是必需的。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Google Chrome ANGLE越界访问漏洞安全风险通告

8月7日，奇安信CERT监测到Google修复Google Chrome ANGLE越界访问漏洞(CVE-2024-7532)，Chrome使用的2D/3D图形渲染引擎ANGLE中存在越界内存访问漏洞，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码或导致浏览器崩溃。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

3.Roundcube Webmail多个XSS高危漏洞安全风险通告

8月6日，奇安信CERT监测到官方修复Roundcube Webmail跨站脚本漏洞(CVE-2024-42008)和Roundcube Webmail跨站脚本漏洞(CVE-2024-42009)。Roundcube Webmail在处理HTML和SVG等附件的过程中存在跨站脚本漏洞。未经身份验证的攻击者可以窃取电子邮件、联系人和密码等敏感信息。鉴于之前的Roundcube Webmai漏洞曾多次在2023年被APT28、Winter Vivern等APT组织利用过，建议客户尽快做好自查及防护。

4.Apache OFBiz授权不当致代码执行漏洞安全风险通告

8月5日，奇安信CERT监测到官方修复Apache OFBiz授权不当致代码执行漏洞(CVE-2024-38856)，该漏洞允许未经过身份验证的攻击者绕过原有的安全机制执行代码。攻击者可能利用该漏洞来执行恶意操作，包括但不限于获取敏感信息、修改数据或执行系统命令。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART02

新增在野利用

1.Linux Kernel 释放后重用漏洞(CVE-2024-36971)

8月 7 日，美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加Linux Kernel 释放后重用漏洞(CVE-2024-36971)，本月的 Android 安全更新修补了 46 个漏洞，其中包括在有针对性攻击中利用的高严重性远程代码执行 (RCE)。该零日漏洞编号为CVE-2024-36971，是 Linux 内核网络路由管理中的一个释放后使用 (UAF) 漏洞。成功利用该漏洞需要系统执行权限，并允许更改某些网络连接的行为。

谷歌表示，“有迹象表明 CVE-2024-36971 可能受到有限的、有针对性的利用”，黑客可能会利用该漏洞在未打补丁的设备上无需用户交互即可执行任意代码。

谷歌威胁分析小组 (TAG) 的安全研究员 Clément Lecigne 被列为发现并报告此零日漏洞的人。尽管谷歌尚未提供有关如何利用该漏洞以及攻击背后黑客的详细信息，但谷歌 TAG 安全研究人员经常识别和披露在国家支持的监控软件攻击中用于针对知名人士的零日漏洞。

该公告解释道：“这些问题的源代码补丁将在未来 48 小时内发布到 Android 开放源代码项目 (AOSP) 存储库。”

设备供应商需要优先部署初始补丁以简化更新流程。然而，这并不一定意味着潜在漏洞利用的风险增加。尽管 Google Pixel 设备在发布后会立即收到每月安全更新，但其他制造商可能需要一些时间才能推出补丁。为了对安全补丁进行额外测试，延迟是必要的，确保与各种硬件配置的兼容性。

参考链接：

https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-targeted-attacks/

2.Apache OFBiz 路径遍历漏洞(CVE-2024-32113)

8月 7 日，美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加Apache OFBiz 路径遍历漏洞(CVE-2024-32113)，Apache OFBiz 包含一个路径遍历漏洞，可能允许远程代码执行。

Apache OFBiz 是一个开源 ERP 系统，可帮助企业自动化和集成会计、人力资源、客户关系管理、订单管理、制造和电子商务等各种流程。全球有数百家公司使用该系统，其中美国占 41%，印度占 19%，德国占 7%，法国占 6%，英国占 5%，著名用户包括美国联合航空公司、Atlassian JIRA、家得宝和惠普。

今年 5 月，研究人员披露了 Apache OFBiz 中的一个漏洞，即 CVE-2024-32113。利用这个漏洞可导致远程命令执行。SANS 的研究人员最近发现，针对 CVE-2024-32113 的攻击激增。有证据表明，攻击者正在试验新的漏洞，可能将其集成到 Mirai 僵尸网络的变种中。

强烈建议用户升级到 18.12.15 版本以减缓新发现的威胁。

参考链接：

https://www.infosecurity-magazine.com/news/fla-apache-ofbiz-requires-patching/

PART03

安全事件

1.巴黎奥运会比赛场馆遭勒索软件攻击

8月6日Politico消息，巴黎检察官办公室披露，法国国家博物院网络的IT系统上周日遭到勒索软件攻击。该网络内共有约40个博物馆，其中包括被改造为巴黎奥运会击剑和跆拳道比赛场馆的巴黎大皇宫。巴黎检察官办公室表示，奥运赛事未受到此次攻击影响。官方称，自奥运会开赛以来，法国已经阻止了数十起网络攻击。

原文链接：

https://www.politico.eu/article/french-museums-olympics-venue-hit-with-cyberattack/

2.美国知名电子大厂因勒索攻击损失超1.2亿元，此前曾停运两周

8月5日BleepingComputer消息，美国知名电子制造服务提供商Keytronic披露，由于5月的一次勒索软件攻击，该公司遭受了超过1700万美元（约合人民币1.2亿元）的损失。Keytronic在SEC文件中表示，此次攻击影响了支持机器人操作和公司功能的业务应用程序，导致其墨西哥和美国站点受干扰被迫暂停运营两周。Keytronic称，“由于这一事件，公司产生了约230万美元的额外费用，并推测在第四季度损失了约1500万美元的收入。这些订单大部分是可恢复的，预计将在2025财年内完成。”虽然Keytronic尚未将此攻击归因于特定的威胁团伙，但Black Basta勒索软件团伙在5月下旬声称对此负责，并泄露了他们所说的从公司系统中窃取的所有数据。Keytronic是全球最大的印刷电路板组件（PCBA）制造商之一，在美国、墨西哥、中国和越南设有工厂。

原文链接：

https://www.bleepingcomputer.com/news/security/keytronic-reports-losses-of-over-17-million-after-ransomware-attack/

3.近30亿人个人数据遭暗网售卖，美国一背调公司被起诉

8月2日BloombergLaw消息，一份在佛罗里达南区美国地方法院提交的起诉文件显示，今年4月，一家以“国家公共数据业务”（National Public Data）为名的背景调查公司Jerico Pictures Inc.发生了数据泄露事件，暴露了近30亿人的个人信息。此前4月8日，一家名为USDoD的网络犯罪团伙在一个暗网论坛上发布了名为“国家公共数据”的数据库，声称拥有29亿人的个人数据，并将该数据库以350万美元的价格出售。如果确认，这次泄露可能是有史以来影响人数最多的一次。2013年雅虎的一次泄露事件曾暴露了大约30亿人的数据。根据投诉，为开展业务，国家公共数据从非公开来源抓取了数十亿人的个人身份信息，这意味着原告在不知情的情况下向该公司提供了他们的数据。一些被曝光的信息包括社会安全号码、现居地址、几十年来的曾居地址、全名、亲属信息，其中一些亲属甚至已去世近二十年。截至提交投诉时，Jerico Pictures Inc.仍未向受影响的个人发出通知或警告。

原文链接：

https://news.bloomberglaw.com/privacy-and-data-security/background-check-data-of-3-billion-stolen-in-breach-suit-says

4.勒索软件致使数百家印度小型银行支付系统瘫痪

8月1日路透社消息，因技术服务提供商C-Edge Technologies遭受勒索软件攻击，近300家印度本地小型银行的支付系统被迫暂时关闭。负责监管支付系统的印度国家支付公司（NPCI）表示，为避免攻击影响扩大化，已临时禁止C-Edge Technologies访问NPCI运营的零售支付系统，期间使用C-Edge服务的银行的客户将无法使用支付功能。有消息人士称，受影响的大多是小型银行，只有约0.5%的NPCI交易会受到影响。

原文链接：

https://www.reuters.com/technology/cybersecurity/ransomware-attack-forces-hundreds-small-indian-banks-offline-sources-say-2024-07-31/

PART04

政策法规

1.《联合国打击网络犯罪公约》顺利通过

8月9日，联合国打击网络犯罪公约特委会一致投票通过了《联合国打击网络犯罪（使用信息和通信技术系统实施的犯罪）公约》。该文件系网络领域首个由联合国主持制定的普遍性国际公约，将在全球范围内为打击网络犯罪国际合作提供法律框架，对网络空间国际法发展也有重大意义。该文件规定，在调查任何根据国家法律可判处至少四年监禁的犯罪时，成员国可以向其他国家当局要求提供与该犯罪相关的任何电子证据，也可以向互联网服务提供商索取数据。

原文链接：

https://www.mps.gov.cn/n2255079/n6865805/n7355741/n7912606/c9695345/part/9695357.pdf

2.财政部修订印发《会计信息化工作规范》《会计软件基本功能和服务规范》

8月7日，财政部修订印发了《会计信息化工作规范》及《会计软件基本功能和服务规范》，自2025年1月1日起施行。《会计信息化工作规范》共6章50条，与原规范相比强化了会计信息化安全，全面要求单位统筹考虑会计信息化的系统安全、网络安全、涉密安全、跨境安全等，强化会计数据在生成、传输、存储等环节的安全风险防范。《会计软件基本功能和服务规范》共8章47条，与原规范相比加强了会计软件及服务对会计数据的多维度保障，要求会计软件应当保证会计数据的真实、完整、安全传输，能够完整接收和读取电子凭证，并通过验签等方式检查电子凭证合法性和真实性，应当满足数据保密性的要求，支持对重要敏感数据的加密存储和传输，保障会计数据不被篡改。

原文链接：

https://www.secrss.com/articles/68948

3.《网络安全标准实践指南—互联网平台停服数据处理安全要求》公开征求意见

8月7日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》，现公开征求意见。该文件提出了互联网平台停服数据处理基本要求，规定了重要数据处理的要求，适用于指导互联网平台数据处理者开展数据安全保护工作，也可为主管监管部门实施安全监管或安全评估提供参考。

原文链接：

https://www.tc260.org.cn/upload/2024-08-07/1723012439326014571.pdf

4.三部门印发《加快构建新型电力系统行动方案（2024—2027年）》

8月6日，国家发展改革委、国家能源局、国家数据局制定并公布了《加快构建新型电力系统行动方案（2024—2027年）》。该文件多处涉及安全，包括优化加强电网主网架，保障电力安全稳定供应和新能源高质量发展；推进构网型技术应用，提升系统安全稳定运行水平；制定修订一批配电网标准，推动构建系统完备、科学规范、安全可靠的配电网标准体系；建设一批虚拟电厂，完善虚拟电厂的市场准入、安全运行标准和交易规则等。

原文链接：

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202408/P020240806533443606568.pdf

往期精彩推荐

【已复现】微软RDL服务远程代码执行漏洞(CVE-2024-38077)安全风险通告
Google Chrome ANGLE 越界访问漏洞(CVE-2024-7532)安全风险通告

Roundcube Webmail 多个XSS高危漏洞安全风险通告

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！