安天長期跟蹤分析流量側(cè)網(wǎng)絡活動，甄別抓取惡意網(wǎng)絡行為，研發(fā)配套新的檢測方法與手段，積累沉淀形成了安天自主創(chuàng)新的網(wǎng)絡行為檢測引擎。安天定期發(fā)布最近的網(wǎng)絡行為檢測能力升級通告，幫助客戶洞察流量側(cè)的網(wǎng)絡安全威脅與近期惡意行為趨勢，協(xié)助客戶及時調(diào)整安全應對策略，賦能客戶提升網(wǎng)絡安全整體水平。

一、網(wǎng)絡流量威脅趨勢

近期智能揚聲器、WiFi路由器等多種IoT設備曝出存在漏洞，同時上千臺Citrix服務器受到兩個已修復的嚴重漏洞的影響，建議用戶及時自查并更新至安全版本。

近期網(wǎng)絡安全事件涉及LockBit、Royal、Ragnar Locker、PureCoder等組織。

【本期活躍的安全漏洞信息】

Firefox 代碼執(zhí)行漏洞（CVE-2022-38478）

Nepxion Discovery遠程代碼執(zhí)行漏洞（CVE-2022-23463）

XStream 拒絕服務漏洞（CVE-2022-41966）

Linux Kernel 遠程代碼執(zhí)行漏洞（CVE-2022-47939）

【值得關(guān)注的安全事件】

(1) 上千臺Citrix服務器易受到兩個嚴重漏洞的影響

近日，研究人員警告稱，數(shù)以千計的Citrix ADC和網(wǎng)關(guān)部署仍然存在風險，容易受到兩個嚴重漏洞的影響，即使該品牌服務器在此之前已經(jīng)修復了這兩個嚴重漏洞。第一個漏洞是CVE-2022-27510，已于2022年11月8日修復，其可影響兩種Citrix產(chǎn)品的身份驗證繞過，攻擊者可以利用它獲得對設備的未授權(quán)訪問、執(zhí)行遠程桌面或繞過登錄暴力破解保護。第二個漏洞被跟蹤為CVE-2022-27518，已于2022年12月13日披露并修補，其允許未經(jīng)身份驗證的攻擊者，在易受攻擊的設備上執(zhí)行遠程命令并控制它們。但當Citrix發(fā)布安全更新修復漏洞時，攻擊者已經(jīng)在大規(guī)模利用 CVE-2022-27518漏洞了。

(2) 嚴重的Linux內(nèi)核漏洞影響啟用了KSMBD的SMB服務器

近期，研究人員發(fā)現(xiàn)KSMBD存在嚴重的安全漏洞，該漏洞CVSS得分為10.0。KSMBD是一個Linux內(nèi)核服務器，它在內(nèi)核空間實現(xiàn)SMB3協(xié)議，用于通過網(wǎng)絡共享文件。該漏洞存在于SMB2_TREE_DISCONNECT命令的處理過程中，是由于在對象執(zhí)行操作之前沒有驗證對象的存在，攻擊者可以利用此漏洞在內(nèi)核上下文中執(zhí)行任意代碼。建議使用 KSMBD的用戶必須更新到8月之后發(fā)布的Linux內(nèi)核版本——5.15.61及以上版本。

二、安天網(wǎng)絡行為檢測能力概述

安天網(wǎng)絡行為檢測引擎收錄了近期流行的網(wǎng)絡攻擊行為特征。本期新增網(wǎng)絡攻擊行為特征涉及后門木馬、遠程命令執(zhí)行漏洞、遠程代碼注入等高風險，涉及勒索木馬、竊密木馬、惡意木馬等中風險，還包括偵查掃描、訪問敏感目錄等低風險。??

三、更新列表

本期安天網(wǎng)絡行為檢測引擎規(guī)則庫部分更新列表如下：

安天網(wǎng)絡行為檢測引擎最新規(guī)則庫版本為Antiy_AVLX_2023010419，建議及時更新安天探海威脅檢測系統(tǒng)-網(wǎng)絡行為檢測引擎規(guī)則庫（請確認探海系統(tǒng)版本為：6.6.1.2 SP1及以上，舊版本建議先升級至最新版本），安天售后服務熱線：400-840-9234。

?

安天探海網(wǎng)絡檢測實驗室簡介

安天探海網(wǎng)絡檢測實驗室是安天科技集團旗下的網(wǎng)絡安全研究團隊，致力于發(fā)現(xiàn)網(wǎng)絡流量中隱藏的各種網(wǎng)絡安全威脅，從多維度分析網(wǎng)絡安全威脅的原始流量數(shù)據(jù)形態(tài)，研究各種新型攻擊的流量基因，提供包含漏洞利用、異常行為、應用識別、惡意代碼活動等檢測能力，為網(wǎng)絡安全產(chǎn)品賦能，研判網(wǎng)絡安全形勢并給出專業(yè)解讀。

?