一周网安动态

Weekly Network Security

2023-04-24 周一

20230417-20230423

01

五部门联合发布《关于调整网络安全

专用产品安全管理有关事项的公告》

2022年11月，全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）（以下简称《关基保护要求》），将于2023年5月1日正式实施。市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《关基保护要求》发布宣贯会。《关基保护要求》是继《关保条例》后，我国首个发布的关键信息基础设施安全保护标准，对于我国关键信息基础设施安全保护有着极为重要的指导意义。

消息来源：

https://www.freebuf.com/articles/neopoints/364168.html

由中国智能网联汽车产业创新联盟（以下简称“联盟”）提出，国家智能网联汽车创新中心（以下简称“创新中心”）牵头的《汽车远程升级（OTA）信息安全测试规范》标准已形成征求意见稿。现面向全体会员及其他有关单位广泛征求意见。征求意见时间为2023年4月7日-5月8日。

消息来源：

https://www.freebuf.com/news/364263.html

01

西门子元宇宙暴露敏感企业数据

02

安卓恶意软件渗入60个Google 

Play应用，安装量达1亿次

03

被盗的 ChatGPT 高

级帐户在暗网上出售

04

工信部：我国开源软件开发者数

量突破 800 万，位居全球第二

推特首席执行官埃隆·马斯克近日在采访中表示，他上任之前得知美国政府可以完全访问推特用户的私聊信息，这让他感到非常震惊。马斯克此前在接受塔克·卡尔森(Tucker Carlson)采访的片段中表示，之前推特管理层一直和政府机构有所联系，因为政府机构有时候会安排他们直接禁止推特上的一些内容。

消息来源：

https://mp.weixin.qq.com/s/aeGT2A3sZa4RmwU8yt-4jw

国务院早在2017年就发布了《新一代人工智能发展规划》，强调人工智能是引领未来的战略性技术，要把人工智能发展放在国家战略层面来系统布局，预计到2025年，国家会“初步建立人工智能法律法规、伦理规范和政策体系，形成人工智能安全评估和管控能力”。近几年，以ChatGPT为代表的生成式人工智能技术高速发展，世界各国的企业都在纷纷研发相关产品或服务，但是这种技术在为社会带来便利的同时也带来了相关的法律风险。在此背景下，国家网信办发布了《生成式人工智能服务管理办法（征求意见稿）》（以下简称《办法》），明确了生成式人工智能的定义，以及相关产品和服务提供者的合规义务，对生成式人工智能进行专项监管，逐步完善中国人工智能法律体系。

中国针对人工智能宏观治理基调是“支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作，鼓励优先采用安全可信的软件、工具、计算和数据资源”。

消息来源：

https://thehackernews.com/2023/04/apple-releases-updates-to-address-zero.html

近日，Microsoft SQL （MS-SQL） 服务器遭到攻击，因其安全性较差，入侵者进入服务器后直接安装了 Trigona 勒索软件，并加密了所有文件。

入侵者是利用了那些极易被猜到的帐户凭据为突破点，暴力攻击了MS-SQL 服务器，并安装了名为CLR Shell的恶意软件，这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。这种恶意软件专门用于收集系统信息，还可以直接更改那些被入侵的帐户配置。此外，该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem，不过想完成这个操作需要启动勒索软件。AhnLab表示，CLR Shell是一种CLR汇编恶意软件，该软件在接收入侵者的命令后可直接执行恶意入侵行为，运行模式有点类似于web服务器的webshell。

消息来源：

https://mp.weixin.qq.com/s/B9pWmc5KMnZpGYArLITiCA

IT之家 4 月 20 日消息，据央视新闻，市场监管总局印发了 2023 年“铁拳”行动方案，明确了重点打击的 8 类违法行为，其中包含“刷单炒信等虚假宣传”、”利用不公平格式条款侵害消费者权益“。

市场监管总局强调，当前在不少领域存在“刷单炒信”行为，呈现出组织化、规模化、职业化、隐蔽化等特点。2022 年，市场监管总局部署开展全国反不正当竞争专项执法行动，严厉查处“刷单炒信”等不正当竞争行为。全年全国各级市场监管部门共查办各类不正当竞争案件 9069 件，罚没金额 6.2 亿元。其中刷单炒信案件 738 件，罚没金额约 4868 万元。

消息来源：

https://www.ithome.com/0/687/836.html

01

Google Chrome V8类型混淆漏洞

(CVE-2023-2033)安全风险通告

近日，奇安信CERT监测到Google Chrome V8类型混淆漏洞(CVE-2023-2033)被在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码。目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

消息来源：

https://mp.weixin.qq.com/s/yRCTYBUI5RGA0X18EH07CA

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。

近日，Oracle 官方发布了2023年04月的关键补丁程序更新CPU（Critical Patch Update），修复了多个产品漏洞，其中包含一个Oracle MySQL Server中的拒绝服务漏洞，漏洞编号：CVE-2023-21912，漏洞危害等级：高危。未经身份验证的远程攻击者可通过 MySQL 协议网络访问MySQL Server，成功利用此漏洞可导致目标 MySQL Server 挂起或频繁重复崩溃，造成拒绝服务攻击。

消息来源：

https://loudongyun.360.net/leakDetail/50hzqXGEJG0%3D

Oracle WebLogic Server 是行业领先的应用服务器，用于使用 Java EE 标准构建企业应用程序，并将它们部署在可靠、可扩展的运行时上。

2023年4月19日，Orcale 发布2023年4月安全咨询，其中中修复了多个产品漏洞，其中包含一个 Oracle WebLogic Server 远程代码执行漏洞，该漏洞允许未经身份验证的攻击者通过IIOP协议网络访问并破坏易受攻击的WebLogic Server，成功的漏洞利用可导致WebLogic Server被攻击者接管，从而造成远程代码执行。漏洞编号：CVE-2023-21931，漏洞危害等级：高危。

消息来源：

https://loudongyun.360.net/leakDetail/V0ajUJVCHow%3D

Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理，也支持实时且灵活的多维数据分析查询。

近日，360漏洞云监测到Aapche Druid存在一个远程代码执行漏洞 ，Apache Druid截至目前的全版本都受到之前Apache Kafka Connect JNDI注入漏洞（CVE-2023-25194）的影响 ，导致攻击者可以利用该漏洞在Apache Druid服务器中触发远程代码执行漏洞。漏洞等级: 严重。

消息来源：

https://loudongyun.360.net/leakDetail/Jc7Z3SkRN78%3D

泛微协同管理应用平台(E-Cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

2023年4月18日，泛微E-Cology官方发布了补丁更新，修复了一处SQL注入漏洞，漏洞危害等级：高危。

由于泛微 Ecology 系统对用户传入的数据过滤处理不当，导致存在 SQL 注入漏洞，远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击，从而可窃取数据库敏感信息。

消息来源：

https://loudongyun.360.net/leakDetail/RTeTpq7wlOc%3D