【12.31】安全帮®每日资讯：深信服SSL VPN命令注入漏洞；新型Golang蠕虫在服务器上投放XMRig Miner病毒

深信服SSL VPN使具有Internet连接的设备能够与Web浏览器建立安全的远程访问VPN连接。12月30日，深信服官方发布SSL VPN命令注入漏洞的风险通告，该漏洞暂无编号 ，漏洞等级：严重，漏洞评分：9.8。深信服SSL VPN产品的某接口中url参数存在注入漏洞，攻击者可利用该漏洞获取SSL VPN设备的控制权限。建议相关用户及时将深信服 SSL VPN 升级到最新版本。

参考来源：

https://nosec.org/home/detail/4632.html

12月初，一种新的用Golang编写的蠕虫被发现，该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。

参考来源：

http://hackernews.cc/archives/34459

一群神秘的黑客通过在越南一个官方的政府软件数字签名工具包植入恶意代码，对越南私营企业和政府机构发起了一场复杂的供应链攻击。直到目前，攻击的安全威胁在范围和严重性上都有所扩大。如果信息安全处理不当，可能会有损失数百万甚至数十亿美元的风险。安全公司ESET发现了本次攻击，并称，攻击的目标是越南政府认证机构（VGCA）。

参考来源：

https://www.cnbeta.com/articles/tech/1072075.htm

12月22日，“2020可信区块链峰会”在京举行。会上，中国信通院副总工程师史德年发布中国信通院《区块链白皮书（2020年）》。白皮书在此前两年版本基础上，跟踪国内外区块链发展最新动态，梳理区块链技术和产业图谱，全景呈现国内外区块链技术产业动态和发展趋势，探究区块链联盟生态治理模式，剖析面临的挑战，提出了下一步发展的相关建议。

参考来源：

https://www.secrss.com/articles/28414