教育网安全观察 | 虚拟化平台病毒攻击频发

随着疫情的稳定，各高校都将逐步恢复正常的教学和科研状态，校园网的利用率也将随之提高，对应的网络安全事件数量也将恢复到疫情前的水平，网络安全运维工作要做好相应的准备。

近期针对VMware虚拟化平台的勒索病毒呈上升趋势，目前有多个攻击未及时升级的VMware ESXi平台的勒索病毒在欧洲和美国传播，国内同样也存在大量未升级的VMware ESXi平台系统，需防范类似的攻击发生。

2023 年 1 月 ~2 月 CCERT 安全投诉事件统计

近期新增严重漏洞评述

01

微软2023年1月的例行安全更新共涉及漏洞数98个，其中严重等级的11个，重要等级的87个。漏洞的类型包括39个提权漏洞、4个安全功能绕过漏洞、33个远程代码执行漏洞、10个信息泄露漏洞、10个拒绝服务漏洞和2个身份假冒漏洞。

受影响的产品包括：Windows 11 22H2（64个）、Windows 11（64个）、Windows Server 2022（61个）、Windows 10 22H2（63个）、Windows 10 21H2（63个）、Windows 10 20H2（63个）、Windows 8.1 Server 2012 R2（48个）、Windows Server 2012（46个）、Windows RT 8.1（48个）和Microsoft Office-related software（7个）。这些漏洞中有1个0day漏洞，Windows Advanced Local Procedure Call（ALPC）权限提升漏洞（CVE-2023-21674）。利用该漏洞，本地攻击者可以绕过系统沙箱限制，以system的权限执行任意命令。鉴于上述漏洞带来的风险，建议用户尽快使用系统自带的更新功能进行更新。另外需要提醒用户注意的是，Windows 7和Windows 8.1的延期扩展安全支持（ESU）于2013年1月10日结束，自此日期后，这两个版本的系统将不会再获取任何安全更新。同时IE11也将在2月停止支持，用户必须停用IE，改用Edge浏览器。

02

Oracle发布了2023年一季度的安全公告，本次公告共修补了Oracle公司旗下多款产品中涉及的327个安全漏洞，其中有217个属于高危漏洞，300个可以远程利用。涉及的产品包括Oracle Database Server数据库、电子商务套装软件Oracle E-Business Suite、中间件产品Fusion Middleware、Oracle MySQL数据库等。其中Oracle WebLogic Server远程代码执行漏洞（CVE-2023-21839）需要特别引起注意，该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器，进而完全控制该服务。建议使用相关产品的用户尽快进行升级。

03

Adobe Acrobat/Reader是目前网络上使用最多的PDF编辑和阅读软件，Adobe Acrobat/Reader 22.003.20282（及更早版本）、22.003.20281（及更早版本）和20.005.30418（及更早版本）中存在一个任意代码执行漏洞，可能导致以当前用户的身份执行任意代码。攻击者要利用该漏洞，需要引诱用户打开特制的PDF文件。建议用户尽快将自己的Acrobat/Reader升级到最新版本。

04

F5公司发布了最新的安全通告，提示用户其BIG-IP产品中存在一个任意代码执行漏洞（CVE-2023-22374）。该漏洞存在于iControl SOAP中，是一个格式字符串漏洞。经过身份验证的攻击者可利用该漏洞使iControl SOAPCGI进程崩溃，或执行任意代码，这可能导致用户绕过设备的安全限制去进行未授权的访问。目前F5公司还在进行补丁的开发工作，在没有补丁程序之前，可以通过限制对系统iControl SOAP API的访问来降低相关的风险。更多信息请随时关注厂商官方的公告。

05

ISC官方发布了BIND程序的最新版（9.16.37、9.18.11、9.19.9），用于修补之前版本中存在的多个安全漏洞（CVE-2022-3094、CVE-2022-3736、CVE-2022-3924）。如果攻击者向DNS服务器发送特定查询数据，可能会触发上述漏洞，导致系统内存被占满或守护进程崩溃，进而造成拒绝服务攻击。建议使用相关软件的管理员尽快更新到最新版本。

安全提示

VMware的ESXi是高校使用较为广泛的虚拟化平台软件之一。如果高校使用的ESXi不是正版化的产品，可能会存在升级困难的问题。使用非正版途径获取的VMware ESXi软件会带来法律层面和网络安全层面的双重风险。建议有相关虚拟化需求的用户尽可能采购使用正版化的软件，以便在网络安全方面得到更多保障。

作者：郑先伟（中国教育和科研计算机网应急响应组）