TOP5 | 头条：国家漏洞库CNNVD：关于微软多个安全漏洞的通报

国家漏洞库CNNVD：关于微软多个安全漏洞的通报；

  标签：CNNVD，微软，漏洞修复

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞75个，影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows LDAP 输入验证错误漏洞（CNNVD-202205-2869、CVE-2022-22012）、Microsoft Windows Network File System 输入验证错误漏洞（CNNVD-202205-2781、CVE-2022-26937）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

2022年5月10日，微软发布了2022年5月份安全更新，共76个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Windows ALPC、Windows Failover Cluster Automation Server、MicrosoftGraphics Component、Microsoft Excel、Microsoft Windows WLAN Auto Config Service等。CNNVD对其危害等级进行了评价，其中超危漏洞3个，高危漏洞50个，中危漏洞22个，低危漏洞1个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

信源：CNNVD安全动态

欧盟商定修订版NIS2指令，加强关键领域安全保护；

近日，欧盟已就新的立法达成政治协议，将对关键行业组织实施共同的网络安全标准。

新指令将取代欧盟关于网络和信息系统安全的现有规定（NIS指令）。“因为社会的数字化和互联程度不断提高，全球网络恶意活动的数量不断增加”，原来的指令需要更新。

NIS2指令将涵盖在关键领域运营的大中型组织， 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。

新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。

它还旨在制定更严格的执法要求，并协调成员国之间的制裁制度。如果不遵守规定，基础服务运营商将面临高达年营业额2%的罚款，而对于重要服务提供商，最高罚款将为1.4%。

这些措施最初是由欧盟委员会于2020年12月提出的，该协议需要得到欧盟成员国和欧洲议会的正式批准，一旦通过，成员国将需要在21个月内将新要求转化为国家法律。

欧洲数字时代组织（a Europe Fit for the Digital Age）执行副总裁玛格丽特·维斯塔格（Margrethe Vestager）在评论该公告时说：“我们一直在为社会的数字化转型而努力。在过去的几个月里，我们已经建立了一些基石，如《数字市场法》和《数字服务法》。今天，成员国和欧洲议会还就NIS 2达成了协议，这是欧洲数字战略的又一重要突破，这次是为了确保公民和企业受到保护并信任基本服务。”

欧盟委员会副主席希纳斯马加里蒂斯·希纳斯（Margaritis Schinas）表示：“网络安全对于保护经济和社会免受网络威胁始终至关重要，随着我们在数字化转型中不断前进，这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心，以提高防范和恢复针对经济、民主与和平的网络威胁的能力。”

该公告是在政府机构就网络安全采取一系列重大举措之后发布的，其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施（PSTI）法案，该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。

去年，欧盟制定了建立联合网络部门的计划，以提高应对成员国不断增加的网络攻击的能力。

信源：https://www.secrss.com/articles/42436

美国白宫与开源组织、科技巨头共同推动1.5亿美元开源软件保护计划；

  标签：美国政府，开源组织，开源软件

Linux基金会和开源安全基金会提出了一项为期两年的近1.5亿美元的投资计划，以加强美国的开源安全。该计划于当地时间5月12日在华盛顿特区举行的开源软件安全峰会II上宣布。来自37家公司的90名高管参加了此次活动，他们代表了开源开发者和商业生态系统的各个领域。与会者还包括来自联邦机构的高管，包括国家安全委员会、网络安全和基础设施安全局、国家标准与技术研究所、美国能源部以及管理和预算办公室。

“我们在这里以一个可行的计划做出回应，因为开源是我们国家安全的一个关键组成部分，它是当今软件创新投资数十亿美元的基础。我们有共同的义务来升级我们的集体网络安全，Linux基金会执行董事吉姆·泽姆林 (Jim Zemlin) 在峰会上表示，该峰会是在乔·拜登总统执政一周年之际举行的。

OpenSSF的总经理Behlendorf说：“这是一个有望覆盖我们确定的1.5亿美元的更大基金的开始。” “现在随着计划的发展，随着我们找到节省资金的方法，随着我们根据可用资金调整目标，我们将根据机会调整规模。”

IBM系统战略和开发总经理Jamie Thomas说：“我认为这确实可以确保我们都了解开源的重要性、它使我们变得多么高效以及我们有义务考虑使用它的影响。”

亚马逊、爱立信、谷歌、英特尔、微软和 VMWare 已经承诺提供3000万美元。更多的已经在路上。亚马逊网络服务 (AWS) 已经承诺追加1000万美元。

上一届开源软件安全峰会于2022年1月13日举行，由白宫国家安全委员会牵头。当时在白宫新闻发布会上，OpenSSF总经理布赖恩·贝伦多夫（Brian Behlendorf）说：“我想明确一点：我们不是来这里从政府那里筹集资金的。我们没有预料到需要直接去政府为任何人获得资金。”

确立的十大目标

以下是开源行业致力于实现的十个目标。

1、安全教育：向所有人提供基线安全软件开发教育和认证。

2、风险评估：为前0,000 个或更多）OSS 组件建立一个公开的、供应商中立的、基于客观指标的风险评估仪表板。

3、数字签名：加速在软件版本中采用数字签名。

4、内存安全：通过替换非内存安全语言来消除许多漏洞的根本原因。

5、事件响应：建立OpenSSF开源安全事件响应团队，安全专家可以在响应漏洞的关键时刻介入协助开源项目。

6、更好的扫描：通过高级安全工具和专家指导，加速维护人员和专家发现新漏洞。

7、代码审计：每年对多达200个最关键的OSS组件进行一次第三方代码审查（以及任何必要的补救工作）。

8、数据共享：协调全行业的数据共享，以改进有助于确定最关键OSS组件的研究。

9、软件物料清单 (SBOM)：持续改进无处不在的SBOM工具和培训以推动采用。

10、改进的供应链：使用更好的供应链安全工具和最佳实践来增强10个最关键的开源软件构建系统、包管理器和分发系统。

开源安全公司Chainguard呼吁软件行业对Sigstore进行标准化。Sigstore使开发人员能够安全地签署软件工件，例如发布文件、容器映像、二进制文件、物料清单清单。这个Linux 基金会项目得到了谷歌、红帽和普渡大学的支持。

信源：https://www.zdnet.com/article/white-house-joins-openssf-and-the-linux-foundation-in-securing-open-source-software/https://www.govinfosecurity.com/150-million-plan-to-secure-open-source-software-a-19072https://www.fedscoop.com/companies-fund-securing-open-source-software/

红帽发布从软件供应链到边缘提升安全等级的新功能；

  标签：红帽，软件供应链，安全能力

开源解决方案供应商红帽公司日前宣布，其开放混合云技术系列新增安全创新特性与功能。在由云服务、传统系统和边缘设备组成的日益复杂的 IT 环境中，这些增强功能将帮助企业降低风险，并满足合规要求，从而最大程度降低复杂性，同时帮助客户改善安全状况，并实现 DevSecOps。

据红帽的《2021 年全球技术展望》报告指出，45% 的受访者将 IT 安全作为支出的首要领域。然而，IT 安全并不是一种静态需求，监管控制、合规要求和威胁起源几乎每天都在发生变化，要求 IT 安全团队持续保持警惕。

红帽长期以来一直是企业级开源解决方案安全方面的领导者，从红帽企业 Linux 开始，公司就将安全视为一个基本组件，而非附加功能。KuppingerCole 分析师最近在其容器安全领导指南中认定红帽为整体领导者，其评价为：“红帽有庞大的市场占有率，在容器管理方面拥有久经证实的专业知识，再加上最近对领先的容器安全公司 StackRox 的收购和整合，从而被公认为是该领域的领导者。”

红帽将继续创新，涵盖从本地到多云，再到边缘的混合云环境的整个技术生命周期和软件堆栈，以提高安全性。

加强软件供应链安全

在从开发开始的整个生命周期中，保护应用的安全可能是一个复杂的过程，经常需要多个组件的配合。为了帮助简化在整个构建、部署和运行过程中实施安全特性的过程，红帽引入了一种软件供应链安全模式。

这种模式通过红帽 OpenShift 交付，以代码的形式提供了完整的堆栈，并定义、构建和测试软件配置。作为预览版，软件供应链安全模式将整合必要的组件，以采用受信任的组件构建云原生应用。

该模式通过红帽 OpenShift 管道和红帽 OpenShift GitOps 使用 Kubernetes 原生、持续集成的管道进行版本控制，这有助于降低复杂性并节省时间。此外，通过 Tekton Chains，该模式将融合 Sigstore – 这是一个开源项目，可以使代码的加密签名更易于访问。该项目的加入使工件在管道中的签名更加容易，而无需等到应用创建之后。

此外，在红帽 Ansible 自动化平台 2.2 中，红帽引入了 Ansible 内容签名技术的技术预览。这项新功能支持自动化团队验证企业中正在执行的自动化内容是否得到验证并且可信任，从而帮助实现软件供应链安全。

从数据中心到边缘增强应用安全生命周期

随着企业采用云原生架构，企业对于更强健的环境、更小的攻击面，以及更快检测和响应威胁等核心需求依然存在。在传统 IT 环境外部运行的应用（包括边缘）引入了进一步的安全需求，进一步加剧了这些本已很复杂的挑战。

除了边缘设备的物理安全要求外，CIO 和 IT 决策者越来越需要保护这些设备上运行的容器工作负载。例如，他们需要实施不同的战略和功能，以防止边缘部署环境中的潜在攻击或漏洞。红帽 Kubernetes 高级集群安全为这些问题提供了可随时部署的解决方案，其关键功能可保护边缘工作负载，包括：

自动化 CI/CD 管道中的 DevSecOps 通过漏洞管理、应用配置分析和 CI/CD 集成，有助于保护边缘环境的软件供应链

威胁防护在运行时提供常见威胁的检测和事件响应能力

网络分段可进行工作负载隔离，分析容器通信和检测危险的网络通信路径

集成的安全性始于操作系统

据 Gartner 在 2022 年进行的董事会调研表明，88% 的董事会成员将网络安全列为商业风险；仅 12% 的受访者认为这是技术风险。网络攻击或数据泄露的广泛后果已导致投资者和监管机构加大对整个 IT 环境的审查力度。为防止这些潜在的破坏性事件，强化 IT 环境至关重要，因此，红帽认为，这项工作必须从基础开始，从操作系统层面开始，从红帽企业 Linux 开始。

红帽企业 Linux 9 通过在 RPM 包中提供文件数字签名，为操作系统和应用程序文件的运行时完整性验证奠定了基础。该平台在内核级别使用完整性度量体系结构 (IMA) 来验证单个文件及其来源。IMA 文件验证特别有助于检测对系统的意外和恶意修改，为安全团队提供更多的补救能力，以解决潜在的问题或破坏。

红帽企业 Linux 9 中的其他安全特性包括：

默认通过 SSH 禁用 root 登录，增强了围绕 root 权限的安全性。这有助于防止通过蛮力攻击找到 root 密码，提高运行环境的基线安全性。

支持与 OpenSSL 3 集成的最新加密框架。这使得 IT 团队能够制定新的密码来加密和保护敏感信息。

通过禁用默认数字签名的 SHA-1 散列功能，增强了安全最佳实践，提高了安全性。

此外，红帽和 IBM Research 正在围绕扩展 Linux 内核的核心安全方面展开合作，例如通过支持签名和验证椭圆曲线数字签名，以此扩展了所支持的算法，并缩减了整个 Linux 内核中使用的数字签名的大小。

上市时间

软件供应链安全模式预计将在未来几个月推出。红帽企业 Linux 9 将在未来几周内发布。红帽的 Kubernetes 高级集群安全现在已可用，可在这里访问。支持证言 Vincent Danen，红帽产品安全副总裁

 “IT 安全与软件版本或附加模块无关；而是需要融入企业所选择的任何技术中，涵盖从操作系统基础到应用层面的方方面面。红帽混合云产品组合中增强的安全功能帮助降低操作复杂度和提高安全性，无论企业在何处开展业务。红帽对 DevSecOps 的承诺是使安全不再是固定的东西，而是在从开发阶段到投入生产的整个过程中，而是贯穿移动应用时的各个环节，在技术和组织层面帮助 IT 团队。”

信源：https://www.wangan.com/p/7fy7f626302346b5

百万台设备或受影响，YESKIT僵尸网络家族正在利用F5 BIG-IP漏洞大规模传播

  标签：僵尸网络，漏洞利用

2022年5月4日，F5 针对BIG-IP 产品的 iControlREST 组件中的远程代码执行漏洞发布了安全公告，漏洞的CVE编号为CVE-2022-1388。该漏洞可以绕过身份认证，远程执行任意代码，漏洞评分CVSS达到9.8。自公告发布以来，攻击者寻找未修复的系统，开始进行大规模地漏洞在野利用。

绿盟科技伏影实验室全球威胁狩猎系统监测到该漏洞在野传播过程，同时也发现了Yeskit僵尸网络利用该漏洞对F5 BIG-IP设备进行攻击，有趣的是，攻击者使用的C2地址为myjiaduobao.xyz。

二、漏洞信息

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

F5 BIG-IP 存在访问控制错误漏洞，该漏洞允许未经身份验证的攻击者通过管理端口或自身IP 地址对 BIG-IP 系统进行网络访问，以执行任意系统命令、创建或删除文件以及禁用BIG-IP上的服务。

漏洞CVSS评分高达9.8分，危害等级为严重，受影响版本如下：

• 16.1.0 – 16.1.2

• 15.1.0 – 15.1.5

• 14.1.0 – 14.1.4

• 13.1.0 – 13.1.4

• 12.1.0 – 12.1.6

• 11.6.1 – 11.6.5

全球威胁狩猎系统监测显示，全球约有120W台F5 BIG-IP设备，其中受影响的设备约有6W台，中国约有1W台设备受影响。

三、漏洞在野利用

3.1 在野利用监测

绿盟科技伏影实验室全球威胁狩猎系统在5月9日19时12分27秒首次监测到攻击源IP为88.xxx.xxx.164的F5 BIG-IP漏洞（CVE-2022-1388）利用行为。

3.2 漏洞利用趋势

根据系统监测，5月9日首次监测到F5 BIG-IP漏洞后，随后的两天漏洞利用次数出现了明显上升趋势。

3.3 攻击源分布

根据系统监测，部分攻击源IP如下：

3.4 执行命令分布

根据系统监测，在野漏洞利用执行命令TOP10如下：

漏洞验证阶段：5月9日～10日，攻击者在利用漏洞后执行的均为id或cat /etc/shadow等无害化命令，表明攻击者目前多数处于前期验证阶段。

漏洞攻击阶段：5月11日，系统监测到的恶意代码传播行为，表明攻击者漏洞利用成功，正处于下载执行的攻击阶段。

四、Yeskit僵尸网络家族分析

5月11日22点49分14秒，绿盟科技伏影实验室全球威胁狩猎系统监测到新型僵尸网络家族Yeskit开始利用F5 BIG-IP 未授权 RCE漏洞进行传播，攻击源IP为20.xxx.xxx.224。
本次捕获到的僵尸网络家族样本是go语言编写的，攻击者采用了go 1.18版本，此版本在go函数名称存储的格式上进行了调整，因此大多数工具无法正常还原该样本的函数名称，是一种新的对抗手段。

攻击者通过UPX加壳对样本文件进行压缩，方便传输，但无法躲避检测，经过分析和确认，该样本中的部分代码借鉴了伏影实验室发现的MEDIOCRE BOTNET（aka kaiji），而多数厂商也将其识别为该家族。由于MEDIOCRE家族代码并未开源，因此我们认为Yeskit与MEDIOCRE家族由同一团伙开发并运营。关于MEDIOCRE BOTNET可以参考我们之前的分析报告：http://blog.nsfocus.net/mediocre-botnet-ssh。

此次攻击者使用的C2地址为myjiaduobao.xyz，MEDIOCRE Botnet使用的C2地址为luoyefeihua.site，这是两者非常相似的地方，但此样本中的代码命名风格与MEDIOCRE完全不同。MEDIOCRE中一般以拼音来命名函数，但该样本采用了英文命名。尽管这两者都使用了AES加密其数据，但本次监测到的样本在行为上与MEDIOCRE是不一致的。

本次监测到的恶意样本的功能有：

1. 反调试功能；

2. Copy自身到root目录下，并重命名为.img，变为隐藏文件，通过ls命令很难发现；

3. 增加了持久化驻留手段，在/etc/crontab中添加了“*/1 * * * * root /.img .”命令；

4. DDoS功能代码的完善；

5. 增加了远程控制的功能，如命令执行，文件获取等。

因此此次监测的恶意文件是一个新的僵尸网络家族，我们将其命名为Yeskit。

信源：http://blog.nsfocus.net/yeskit-f5-big-ip/