2023年全网漏洞态势研究报告.docx

2023年1月1日至12月31日期间，奇安信安全监测与响应中心（又称奇安信CERT）共监测到新增漏洞289乃个，较2022年同匕继长10.9%。其中,有7602个高危漏洞触发了人工研判。经研判：本年度值得重点关注的漏洞共793个叫达到奇安信CERT发布安全风险通告标准的漏洞共360个，并对其中109个漏洞进行深度分析也2023年奇安信CERT漏洞库每月新增漏洞信息数量如图1-1所示：2023年每月新增漏洞数量个35003000278425942500C238120882000150010005001月2月3月4月5月6月7月8月9月10月11月12月，、图1-12023年奇安信CERT漏洞库每月新增漏洞信息数量值得注意的是,2023年新增的28975个漏洞中，有715个漏洞在NVD上没有相应的CVE编号,未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-2所示。此类漏洞具有较高威胁,如果被国家背景攻击组织利用彳辐致严重后果。1漏:2漏洞告发布:3.漏洞深度分析报告发布页面：2023年国产软件漏洞占比2.47%国产软件漏洞图1-2国产软件漏洞占比将2023年度新增的28975条漏洞信息根据漏洞威胁类型进行分类总结，如图1-3所示:&图1-3漏洞威胁类型排名其中漏洞数量占比最高的前三种类型分别为：代码执行、信息泄露、拒绝服务。这些类型的漏洞通常很容易被发现、利用，其中代码执行、权限提升等类型的漏洞可以让攻击者完全接管系统、窃取数据或阻止应用程序运行，具有很高的危险性，是安全从业人员的重点关注儒。将2023年度新增的28975条漏洞信息根据漏洞影响厂商进行分类总结，如图1-5所示:开放源代码项目10.58%Google6.9%Microsoft6.63%WordPress3.01%Apple2.76%Adobe2.44%Apache1.73%Jenkins1.68%Cisco1.57%1.inux1.55%图1-5漏洞影响厂商占比其中漏洞数量占比最高的前十家厂商为：开放源代码项目、GooglexMicrosoft.WordPressxApple、Adobe.ApachexJenkinsxCiscoxLinuxoGooglexMicrosoft.APPIe这些厂商漏洞多发,且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中被使用的越来越多，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员的重点关注。为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制，使用"关键漏洞、"在!杯IJ用"、"POC公开、"影响量级"、"Botne超"、"攻击者名辨、"漏洞别名”等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、EXPloit工具、概念验证代码（PoC）、是否已经有了野利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示：CubaRansomwareDarkCasinoGraphicaIProtonporkpink一一LEMuRuoO工UniraatphzminerAndariel_C3RB3RstorrHS4UAC57shzrninerAndefierTnCyBearM4RPnmCmPtaagVOidRaMlH)7FARENTSLvtath>11ClcodbnAPT29Looney-TunablesWinterVivernDregmBusULUro3CKH0t11-iyNFXORigatePredator弓艮1.aosTemPniAPT28Terrapinjt¼zrrU-iHICKIftyE*MinlOBIueDeItaMythicCIopDownfoiBlastpascIN7TA-505TA422KinsingMiraiCerberEarthLuscaUNC2970PeachSandstorm1.INC4R41KeptarFiahtmgUrstCitrixBIeedJceFire.ThemeBleedd.itmii.CCTLoCkBit30PLUTONlUMGoTitarAndoryuBotDiamondSleet图16漏洞标签词云图将2023年奇安信CERT人工标记的漏洞，按照标签数量进行分类总结，拥有的标签数量排名前十的漏洞如下表所示：排名漏洞名称漏洞编号RARLABWinRAR代码执行漏洞2 MicrosoftOutlook权限提升漏洞3 ApacheActiveMQ远程代码执行漏洞4 JetBrainsTeamCity身份认证绕过漏洞5 ZohoManageEngineOnPremise多款产品远程代码执行漏洞6 ProgressMOVEitTransferSQL注入漏洞7 BarracudaEmailSecurityGateway远程命令注入漏洞8 PaperCutNG和ME身份认证绕过漏洞9 VeeamBackupfiReplication身份认证绕过漏洞10 TP-LINKArcherAX21标签数量修复建议升级至6. DEL23版本安装补丁升级至安全版本升级至安全版本升级至安全版本升级至安全版本升级至安全版本MF-2- DELl. 74Tk2DEL2l. DEL2. DElJI DEL22DELQDELk TTSK壬NG -20 .DliLl .DIL7D>lL21 D112 DELlL22. DElQ阳.9版本升级至安全版本升级至安全版本代码注入漏洞其中RARLABWinRAR代码执行漏洞(CVE-2023-38831)拥有的标签数量最多为28个，如图1-7所示。其次是MiCroSoftOUtlOok权限提升漏洞(CVE-2023-23397)拥有17个标签，如图1-8所示。排名第三的APaCheACtiVeMQ远程代码执行漏洞(CVE-2023-46604)被标记了15个标签，如图1-9所示。霖洞详情antvaPOclEXP在她班酩包内同名的文件与文件央时代码执行忠犯攻出者锹由®文件与非总意文忤构成的特槛端包文件,泊导受害弄打开此文件向将在受害者机鼐上执彳正意代码.目前就都存在在野利用.己被利用来攻击加也货币林蝴交易论端.IJ决方案。法潮规则IICPE图1-7CVE-2023-38831漏洞标签示例Microsoft0utlk权限提升漏洞(CVE-2023-23397)公开日期I2023-03-14更新B期IX23T2关系利P()C公开EP公开()tb)用相关在苏科用总期IK蚯陇枚书公开十万皴语化技术绢节，利用可能性：或将美型，技术类Sb霖洞详情flffwtt四HXVEXPNicra5Ofl存在奴微提升藏«.未经身蟀证的远检攻击*可以向5HMf发送播幽电刊件,导我受*连明收击IW蜘的外酢”位置.这会将景研的Vt-N三2E力裁露给攻击力.就用攻击力可以将It中维刎另一小服务并作为受声力进行狰臊i£.簿决方案。检测规则IJCPt安”分fta*低图1-8CVE-2023-23397漏洞标签示例公开日期：2023-10-27更新日期：2023-12-2天茂据例Ia公开EP公开AH相关在芳利用盛交任（王肥检国技木相节公开方级就深化演洞洋情flflffllPOGEXP即小足“，M启用受到远程代码执行响的攻击，曲阎可解允许对卜治一员右网络访网权限的远程攻击畲通过提物UiiW议中的你外化类荚现实例化英路径、上的任何类，”可能导的或诳聋.你令.解决方案总渊枕则IICPE3辞分图1-9CVE-2023-46604漏洞标签示例漏洞拥有的攻击者标签越多，与其关联的攻击团伙或者恶意家族就越多，说明漏洞正在被积极利用。从侧面印证了这个漏洞具有较高的可达性和危害性，这样的漏洞已经不仅仅是潜在的威胁，而是具有了较高的现时威胁，漏洞修补时应该放在最高的优先级。根据奇安信CERT的监测数据,2023年漏洞舆论热度榜ToPIo漏洞如下：1Nacos身份认证绕过漏洞QVD-2023-6271高危升级至220.1或以上版本2curlSOCKS5博益出翻CVE-2023-38545高危升级至&4.0及以上版本3MicrosoftWord远程R码执行漏洞CVE-2023-21716同)危安黔卜丁4PowerSheII远程代码执彳瑞洞CVE-2022-41076高危安赛卜丁5泛微E-C。IOgySQL注入漏洞QVD-2023-15672高危升级至10.58及以上版本6FortinetFortiOSSSL-VPN远程代码执行漏洞CVE-2023-27997高危升级至安全版本7ApacheKafkaConnectJNDI注入漏洞CVE-2023-25194高危升级至3.4.0及以上版本8JUmPSerVer未授权访问漏洞CVE-2023-42442高危升级至安全版本9MinIO信息泄露漏洞CVE-2023-28432同)危升级至RELEASE2023-03-20T20-16-18Z及以上版本10泛微e-cology9SQL注入漏洞QVD-2023-5012高危升级至10.56及以上版本在本年度总热度舆论榜前十的漏洞中，热度最高的漏洞为NaCoS身份认证绕过漏洞(QVD-2023-6271)。该漏洞是由于开源服务管理平台NaCoS在默认配置下未对token.SeCret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。该系统通常部署在内网，用作服务发现及配置管理，历史上存在多个功能特性导致认证绕过、未授权等漏洞，建议升级至最新版本或修改默认密钥，并禁止公网访问，避免给业务带来安全风险。事件描述谷歌威胁分析小组安全研究团队的成员VIadStOlyarOV和CIMmentLecigne发现了今年影响ChrOme浏览器用户的第八个零日漏洞。Ggle威胁分析小组(ThreatAnalysisGroup,TAG)在2023年12月19日报告，当时已发现针对该漏洞的攻击样本。为了响应该漏洞，Ggle向所有ChrOme用户发布了紧急修复补丁，CVE-2023-702领评为高严重性漏洞，影响ChromeWeb浏览器的开源WebRTC组件，属于堆缓冲区溢出类型。该实时通信组件支持网页内的音频和视频通信,并由大多数现代浏览器部署，任何基于ChromiUm项目的Web浏览器都易策U相同的攻击。谷却是醒WindoWS用户，将ChrOme版本升级至J20.0.6099129或20Q6099.130;1.inUX和macOS用户升级®)120.0.6099.129(修复版本。关联漏洞1.1GoogleChromeWebRTC堆缓冲区溢出漏洞(CVE-2023-7024)WebRTC(WebReal-TimeCommunication)®Zb由Google发起的实时通信开源项目,通iS用程病程接口(APl)为Web浏览器和移动应用程序提供实时通信(RTC)。它允许直接点对点通信，从而允许音频和视频通信在网页内进行,无需安装插件或下载本地应用程序。言CERT监测至IGOogIe修复GOogIeChromeWebRTCWg冲区溢出漏洞(CVE023-7024),该漏洞存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码或导致浏览器崩溃。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。修复建议检查更新：可蛆Chrome聊-【帮助】-【对GOOgIechrome】本更新,并在更新完成后重新启动。事件SS述Mandiam表示，自2023年8月下旬以来,攻击者一直在利用CVE-2023-4966作为零日漏洞来窃取身份验证会话和劫持帐户。攻击者可以利用该漏洞绕过因素身份验证或其他强身份验证要求。即使在修补后，受畸的会话仍然存在，并且根据受感染账户的权限，攻击者可以在网络上横向移动或危及其他账户。此外，Mandiant还发现了利用CVE-2023-4966渗透政府实体和技术公司基础设施的案例。CVE-2023-4966CitrixBIeed缺陷是f未经身份验证的缓;中区相关漏洞，影响CitriXNetScaIerADC和NetSCaIerGateWay、用于负载平衡、防火墙实施、流量管理、VPN和用户身份验证的网络设备。漏洞于2023年10月10日被披露，CitriX发布了补丁来修复该漏洞。关联漏洞2.1NetScaIerADC和NetScaIerGateway敏感信息泄露漏洞(CVE-2023-4966)CitrixNetScaIerGateway(以前称为CitriXGateway)和NetSCalerADC(以前称为CitriXADC)都是CitriX公司的产品。CitrixNetScaIerGateWay是T安全的远程接入解决方案。该方案可为管理员提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。CitrixSystemsNetS-CaIerADC是f应用程序交付和安全平台。奇安信CERT监测到官方更新NetScaIerADC和NetScaIerGateway敏感信息泄露漏洞(CVE-2023-4966)造由于在SnPrintf格式化HTTP响应时，使用返回的长度作为参数读取内存，并且未验证长度范围，导致攻击者可以发送恶意请求读取CitriXGateWay内存，远程未授权攻击者可通过越界读写利用此漏洞最终可能造成敏感信息泄露，利用此漏洞无需解保件。该漏洞已出现大规模野利用，目前官方已修复该漏洞，建议用户尽快升级至安全版本。修复建议NetScaIerADCandNetScaIerGateway14.1<14.1-8.50NetScaIerADCandNetScaIerGateway13.1<13.1-49.15NetScaIerADCandNetScaIerGateway13.0<13.0-92.19NetScaIerADC13.1-RPS<13.1-37.164NetScaIerADC12.1-11PS<12.1-55.300NetScaIerADC12.1-NDcPP<12.1-55.300httpswww.citri×.comdownloadscitri×-gateway事件描述2023年10月26日，F5向客户发出了T严重后翩CVE-2023-46747的循，该翻CVSS评分9.8,影响BlG-IP,可能导致未经身份验证的远程代码执行。10月30日，F5更新最初的安全公告,称威胁行为体正在积极利用该漏洞。攻击者将该漏洞与BIG-IP配置实用程序中的另一个漏洞CVE-2023-46748结合使用。F5还发布了威胁剧示(IoC),以帮助防御者识别潜在威胁。专刘是醒,在漏洞PoC披露后不到五天,威胁行为体就开始利用F5BlG-IP中的关键缺陷CVE-2023-46747o美国网络安全和基础设施安全局(ClSA)将BIG-IP中的漏洞CVE-2023-46747和CVE-2023-46748添加至惧已知被利用的漏洞目录中。F5发布了针对易受攻击的F5BIG-IP产品的修补程序。建议组织尽快修补易受攻击的F5BlG-IP产品。鉴于此漏洞影响范围较大,建议客户尽快做好自杳及防护。关联漏洞3.1F5BIG-IP远程代码执行漏洞(CVE202346747)F5BIG-IP是美国F5公司一款集成流量管理、DNS,出入站规则、Web应用防火墙、Web网关、负载均衡等功能的应用交付平台。奇安信CERT监测到F5BlG-IP远程代码执行漏洞(CVE-2023-46747),未授权的远程攻击者可在暴露流量管理户界面(TMUI)的F5BIG-IP实例WI行任三弋码。修复建议BIG-IP17.x<=17.1016.1.0<=BIG-IP<=16.1415.1.0<=BIG-IP<=15.11014.1.0<=BIG-IP<=14.1513.10<=BIG-IP<=13.15关联漏洞3.2F5BIG-IPSQL;±羸同(CVE2023-46748)F5BlG-IP是美国F5公司一款集成流量管理、DNS,出入湖则、Web应用防火墙、Web网关、负载均衡等功能的应用交付平台。F5BIG-IPConfigurationUtiIity存在SQL注入漏洞，经过身份认证的远程攻击者用该漏洞可以通过BlG-IP管理端口对配置实用程序进行网络访问，以执行任意系统命令。修复建议https:/my.f5.eom/manage/s/downloads事件描述2023年10月20日思科披露了一个新的高严重性零日漏洞(CVE-2023-20273),该漏洞被积极利用,在使用早些时候公布的CVE-2023-20198零日漏洞入侵的IoSXE设备上部署恶意植入程序。CVE-2023-20273用于获得r昉问权限并完全控制CiSCoIOSXE设备、部署恶意程序，使它们能够在系统上执行«意命令。事件描述根据CenSyS和LeakIX的估计,超过40,OOO台运行易受攻击的IoSXE软件的思科设备已经被黑客使用两个尚未修补的零日漏洞入侵。两天前，VUInCheCk估计周二在IOQoo左右浮动，而OrangeCyberdefenseCERT在T表示,它在34,500台IOSXE设备上发现了被植入恶意软件。运行CiSColoSXE的网络设备包括企业交换机、接入点、秘控制器以及工业路由器、聚合路由器和分支路由器。虽然很难获得暴露在互联网上的CiSCoIOSXE设备的确切数量，但Shodan搜索目前显示，超过14600H易受攻击的系统受到攻击。目前，思科已通过17.9.4a更新修复了17.9CiscoIOSX嗽件版本系列的这些漏洞，建议用户尽快更新。关联漏洞4.1 CiscoIOSXEWebUI命令执彳谪洞(CVE202320273)F5BIG-IP线国F5公司一款集成流量管理、DNSx出入站规则、Web应用防火墙、Web网关、负载均衡等功能的应用交付平台。奇安信CERT监测到F5BlG-IP远程代码执行漏洞(CVE-2023-46747),未授权的远程攻击者可在暴露流量管理用户界面(TMUI)的F5BIG-IP实例上执行任三弋码。修复建议CiscoSecurityAdvisorycisco-sa-ios×e-webui-privescJ22SaA4z如果启用HKPServer或者HTTPSSerVer可以使用以下命令进行关闭：noiphttpserver/noiphttpsecure-server关联漏洞4.2 CiscoIOSXE软件WebUI权限漏洞(CVE202320198)WebUl是一种基于GUl的嵌入式系统管理工具，能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像，因此无需在系统上启用任何内容或安装任何许可证。WebUI可用于构建配置以及雌系统和排除系统故障，而无需CU专业矢口识。CiscoIOSXE的WebU存在权限提升漏洞，当CiSCoIOSXE软件的WebUl暴露于互联网或不受信任的网络时，未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有15级访问权限的账户。然后，攻击者可以使用该账户来控制受影响的系统。鉴于该产品用量较多且存在在野利用，建议客户尽快做好自宜及防护。修复建议启用了HTTP或HTTP腌功能的CiSCoIOSXEhttpscenusproductsios-nx-os-softwareios-xe/index.html禁用HTTP/HTTPS服务器功能或将这些功能部署于受信任网络。可以使用noiphttpserver或noiphttpsecure-server关闭HTTP/HTTPS服务器功能。关联漏洞5.1WindowsSmartSCreen安全特性融漏洞(CVE202336025)奇安信CERT监测到WindOWSSmartSCreen上存在安全功能绕过漏洞，通过该漏洞能够绕过WindoWSDefenderSmartSCreen检查及其相关提示。未经身份认证的远程攻击者可以诱骗受害者单击特制的.URL文件并在系统上执行任意代碌该漏洞存在在野利用。修复建议修复建议事件描述2023年3月27日,苹果公司发布在酚卜被利用的零日漏洞CVE-2023-32435的补丁。卡巴斯基安全研究人员透露，他们的一些公司QS设备上安装了以前未知的间谍软件。感染是通过iMessage发生的受害者收到条带有附件的消息，其中包含T漏洞，该漏洞会触发T允许执行代码的漏洞，利用未知硬件接口绕过保护措施，对任意内核地址进行读写，从C2服务器下载其他恶意软件。最后，删除附件中的初始消息和漏洞。受害者不需要打开iMessage就可以发生感染。关联漏洞6.1AppleiPadOSWebKit代码执彳亍漏洞(CVE202332435)ApplemacOSVentUra是美国APPIe公司的一个桌面操作系统。奇安信CERT监测到APPIe官方发布了多个产品高危漏洞，包括APPIeiPadOSWebKit代码执行漏洞(CVE-2023-32435)iOS和iPadOS中存在代码执行漏洞，DEL未经身份认证的远程攻击者诱导受害者打开特制的网站后触发该漏洞,成功利用该漏洞可以执行代码。目前，该漏洞已发现在野利用，建议客户尽捌修复，以防止潜在的利用。修复建议2023年勒索软件团伙活跃度排名2023年流行勒索软件关联漏洞如图3-2所示。本节全面总结了2023年勒索软件攻击中利用的关键漏洞,强调主动预防和有效事件响应的必要性。1.OCKBIT3.0图3-22023年流行勒索软件关联漏洞事件描述1.oCkbit勒索软件利用CVE-2023-4966来破坏大型组织的系统、窃取数据和加密文件，该漏洞是f是一个严重程度极高、可远程利用的信息泄露漏洞。2023年10月10日，CitriX发布了有关影响NetSCaIerADc和NetSCalerGateWay设备的敏感信息泄露漏洞(CVE-2023-4966)的安全公告，声称已修复漏洞，但成千上万个暴露在互联网上的端点仍在运行易受攻击的设备。2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融B艮务有限责任公司(ICBCFS)在官网发布申明称11月8日遭受了L。CkBit勒索软件攻击,导致部分系统中断。攻击发生后，由于被攻击的系统被隔离断网，工行总部和其他海外分支机构并未受到影响，但也导致工银金融无法清算待处理的美国国债交易，被迫通过U盘发送结算数据。据报道，对工商银行美国子公司的攻击噫扰乱了美国国债市场。安全专家推测，攻击者可能利用了未及时修补的CitriXBIeed漏洞(CVE-2023-4966)关联漏洞1.1NetScaIerADC和NetScaIerGateway敏感信息泄露漏洞(CVE-2023-4966)CitrixNetScaIerGateway(以前称为CitriXGateway)和NetSCalerADC(以前称为CitriXADC)都是CitriX公司的产品。CitriXNetSCaIerGateWay是一S安全的远程接入解决方案。该方案可为管理员提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据。CitrixSystemsNetS-CalerADC是一个应用程序交付和安全平台。奇安信CERT监测到官方更新NetSCaIerADC和NetScaIerGateWayS攵感信息泄露漏洞(CVE-2023-4966)公告，由于在SnPrintf格式化HTTP响应时，使用返回的长度作为参数读取内存，并且未验证长度范围，导致攻击者可以发送恶意请求读取CitriXGateWay内存，远程未授权攻击者可通过越界读写利用此漏洞最终可能造成敏感信息泄露，利用此漏洞无需解保件。该漏洞已出现大规模在野利用，目前官方已修复该漏洞，建议用户尽快升级至安全版本。修复建议事件描述勒索软件Akira利用思科SSLVPN漏洞CVE-2023-20269入侵组织内部网络环境，加密WindoWs、1.inUX电脑档案。该漏洞存在于CiSc。的网络自适应安全设备ASA、FTD系列，攻击者可在未经授权的情况下，借由暴力破解攻击找出有效的帐号及密码，甚至有可能透过未经授权的用户,建立无客户端的SSLVPN连线。2023年8月勒索软件Akira攻击态势持续延烧，成为排名前10大的勒索软彳惨族，超过IlO个组织遭Akira锁定。关联漏洞2.1Cisco多个产品安全特性绕过漏洞(CVE202320269)思科自适应安全设备(ASA)软件和思科FirePOWerThreatDefense(FTD)软件中的远程访问VPN功能存在漏洞,可能允许未经身份验证的远程攻击者通过暴力破解攻击来尝试识别獭的用户名和密码组合，或者允许经过身份验证的远程攻击者与未经授权的用户建立无客户端SSLVPN会话。修复建议CiscoFTDSoftware7.0.6CiscoFTDSoftware7.2.5事件描述以CloP勒索软件为首的多个团伙，在本年度利用多个最新Odayi属洞发起勒索软件攻击，例如MOVEitTransfer.PaperCutxGoAnywhereMFT等。2023年5月下旬，几乎数百家企业的云数据库同时遭到非法访问，黑客利用MOVEit的OdayiI洞CVE-2023-34362,获得了企业网络存储库的完全访问权限，这意味着他们可以窃取所有文件，尽管厂商及时发布了漏洞补丁，但已为时已晚。MoVEitiI洞至少影响2500家企业，损失或超百亿。PaPerCUtii洞是PaPerCUtNG/MF打印雌软件中K)严蛔翱弋砌彳镭洞。CVE-2023-27350和CVE-2023-27351两个Oda端洞于2023年3月首次披露,已被Clop、L。CkBit和BlOod博勒索软件攻击者用。CVE-2023-27350漏洞允许攻击者无需身份验证即可在易受攻击的系统上执行任B代码。这可用于安装勒索软件、窃取数据或中断操作。允许未经身份验证的攻击者在PaPerCUt应用程序服务器上园勖行代码。CVE-2023-27351>经即分野正的攻击者获取PaPerCUtNG/MFs中存储的有关用户的信息。根据报告，3月份勒索软件攻击创下新高的原因是Fortra的GoAnywhereMFT安全文件传输工具中的TOdayg洞CVE023-066涮用。勒索软件组织CloP利用该漏洞在十天内从130家公司窃取了数据。关联漏洞3.1 ProgressMOVEitTransferSQ4±羸同(CVE202334362)在MOVEitTranSferWeb应用程序中存在SQL注入漏洞，该漏洞允许园!未绍S权的攻击者获得对MOVEitTranSfe嘤据库的访问权限，用睡所使用的数据库引擎(MySQL、MicrosoftSQLServer或AzureSQL),除了执行更改或删除数据库元素的SQL语句外，还可能推断出有关数据库结构和内容的信息，造成敏感信息泄露，进"多11用可能获取三务器权限。目前该漏洞已出现在野利用，建议受影响用户尽快修复。修复建议2021.0.0<MOVEitTransfer<2021.0.6(13.0.6)2021.1.0<MOVEitTransfer<2021.1.4(13.1.4)2022.0.0<MOVEitTransfer<2022.0.4(14.0.4)2022.1.0<MOVEitTransfer<2022.1.5(14.1.5)2023.0.0<MOVEitTransfer<2023.0.1(15.0.1)httpssarticleMOVEit-Transfer-Critical-Vulnerability-31May2023限制所有确MOVEitTranSfer的HPHTTPs雌关联漏洞3.2 PaperCutNG和MF朗触人嚼同(CVE202327350)PaperCutNG/MF打印软件存在身份认证绕过漏洞,此漏洞允许逅呈攻击者绕过受影响的Paper-CutNG安装的身份验证,不需要身份验证。由于访问控制不当造成的，导致SetUPeOmPIeted类中存在缺陷，攻击者可以利用此漏洞绕过身份验证并在SYSTEM上下文中执行任意代码。修复建议PaperCutNG>=8.0PaperCutMF>=8.0https:/www.papercut.eom/kb/Main/PO-1216-and-PO-1219#faqs1.对PaPerclJt服务器的远程访问：可以通过将服务器的侦听端口从8080更改为三标隹端口来完成2 .PaperCut账户使用强密码和多重身份验证：有助于防止攻击者未经授权访问有风险的服务器。3 .视PaPerCUt服务器是否存在可疑活动：可以通过使用安全信息和事件管理(SlEM江具或手动查看日志文件来完成。关联漏洞3.3 PaperCutMF/NG信息泄露漏洞(CVE202327351)PaperCutNG/MF打印管理软件存在信息泄露漏洞，未经身份验证的攻击者可利用该漏洞提取存储在PapercutMF/NG中的用户信息，包括用户名、电子邮件地址、办公室/部门信息以及与用户关联的任何卡号。DELI攵击者还可以利用该漏洞提取密码哈希值。修复建议关联漏洞3.4 GoAnywhereMFT命令执行漏洞(CVE-2023-0669)HelpSystemsGoAnywhereMFT是美国HelPSyStemS公司的一款托管文件传输软件。GoAnywhereMFT中存在反序列化漏洞，远程攻击者可通过发送特制的序列化对至管理端口，服务端接收此请求未进行过滤从而反序列化任意攻击者控制的对象，最终建任意代码执行。修复建议事件描述研究人员观察到QlikSenSe在CaCtUS勒索软件活动中被利用，该活动利用了QlikSenSe应用程序中的多个漏洞。目前评估认为,根据补丁级别，威胁行为体很可能通过组合或直接利用QIikSenSe中的CVE-2023-41266.CVE-2023-41265或潜在的CVE-2023-48365来实现代码执行。SgPWCactu勒索软件的威胁行为体首次利用QIikSenSe中的漏洞进行初始访问。关联漏洞4.1QlikSense路漏洞(CVE-2023-41266)QlikSense是一个现代分析平台，旨在帮助用户创建具有数据素养的员工队伍并实现业务转型。QI次SenseEnterpriseforWindOWS存在目录遍历漏洞。由于对用户提供白城入的验证不正确，未经身份验证的远程攻击者可能会生成匿名会话，从而允许彳也们向未绍§权的端点执行HKP请求。该漏洞结合CVE-2023-41265TJ用，可以实现未授权RCE。修复建议QlikSenseEnterpriseforWindows<=May2023Patch3QlikSenseEnterpriseforWindows<=February2023Patch7QhkSenSeEnterpriseforWindows<=November2022Patch10QlikSenseEnterpriseforWindows<=August2022Patch12限制所有流向MC)VEitTranSfe曲HTT丽HTTPS流量关联漏洞4.2 QlikSenseHTTpi青求H三i三同(CVE202341265)QHkSenSeEnterPriSeforWind。WS存在请求隧道漏洞，由于HKP三求头验证不当，远程攻击者能够通过隧道传输HTTP请求礴升其权限，从而允许他|、电托管存储库应用程序的后端服务器上执行HHP请求。修复建议QlikSenseEnterpriseforWindows<=May2023Patch3QlikSenseEnterpriseforWindows<=February2023Patch7QhkSenSeEnterpriseforWindows<=November2022Patch10QlikSenseEnterpriseforWindows<=August2022Patch12关联漏洞4.3 QlikSense远程代码执彳诵洞(CVE-2023-48365)QlikSenseEnterpriseforWindOWS存在代码执行漏洞,该漏洞由于对HTT麻头的3金正不正确，园呈攻击者能够通过隧道传输HTTP请求来提升权限，从而允许攻击者在托管存储库应用程序的后端服务器WI行Hp求,就错代码执行。修复建议QlikSenseEnterpriseforWindows<=August2023Patc