信息安全技术 政务信息共享 数据安全技术要求

边界突破

2020 年全年，应急响应中心监测发现偏 Web 类的云管理平台、Web 应用服务、中 间件组件的远程代码执行漏洞，以及虚拟机本地权限提升的逃逸漏洞等依然是出现较多 的高危风险点。这些应用服务和中间件组件漏洞通常直接用于网络边界突破，同时在年 中攻防演练的场景中，发现大量用于边界防御的安全设备也被曝安全漏洞，从而受到直 接攻击。在此期间，应急响应中心报告的漏洞和验证的漏洞主要为此类用于边界突破的 漏洞，其中 Web 类漏洞又以反序列化漏洞为主，同时安恒信息海特实验室报告了基站 前台命令执行漏洞，应急响应中心第一时间进行漏洞验证。

报告示例如下图：

同时，安恒 SUMAP 平台对全球网络空间的资产进行快速测绘，并输出受漏洞影响产品的资产范围和数据，SUMAP 影响数据报告示例如下图：

高级威胁

2020 年底，SolarWinds Orion Platform 软件被曝在 2020 年 3 月到 6 月发布的版本 中，发现遭受了国家级别的高度复杂的供应链攻击事件（SUNBURST 后门）。根据公 告，此次攻击是软件源码级别的寄生污染，由于该软件客户众多，其中包括很多国际大 型企业和政府机构，对安装和部署了受污染软件的企业和机构，面临着被隐蔽攻击的巨 大风险，安恒威胁情报中心和应急响应中心对此次供应链攻击事件的生命周期进行复盘 和持续跟踪，并第一时间进行了预警，针对供应链生命周期的技战术进行了快速分析。

复盘的简约示例如下图：

近年来，从供应链攻击趋势来看，攻击者选取的寄生污染目标和技战术越来越隐蔽， 驻留目标系统后静默时间更长，代码、C2 域名、后门流量等都高仿宿主软件代码风格 和特征，这对依赖黑名单规则和已知威胁情报的检测方式提出了更高挑战，建议依赖非 黑名单的分析模型进行针对高级威胁的防御能力建设，比如通过大数据综合分析来识别 和发现此类隐蔽的 APT 攻击行为。

活跃漏洞

第一季度

2020 年一季度（1 月-3 月），安恒应急响应中心公众号共发了 15 篇高危漏洞风 险提示，其中 3 篇提供了漏洞验证截图，3 篇提供了全球网络空间受影响资产测绘数 据。年初，由于新冠疫情（COVID-19）因素，网络上出现多起恶意攻击者利用社交 网络上的，新冠病毒疫情讨论群组传播恶意附件的行为，应急响应中心监测发现Telegram 上相关疫情、新冠病毒等交流讨论群里，有人恶意投放包含这些关键词的文 件附件，诱骗用户打开从而感染电脑病毒和植入木马程序。安恒威胁情报中心和应急 响应中心及时对截获的恶意样本进行了分析并发布预警，同时提供了专用邮箱便于接 收用户反馈的恶意和可疑文件。

漏洞方面，一季度验证可利用的漏洞主要包括：

Citrix ADC（Application Delivery Controller）和 NetScaler （Citrix Gateway） 10.*到 13.*的版本存在远程代码执行漏洞，该漏洞能实现路径遍历效果，导致信息泄 露；

Apache Tomcat AJP 协议存在不安全权限控制，可通过 AJP Connector 直接操作内 部数据从而触发的文件包含漏洞，该漏洞能获取目标系统敏感文件，或在控制可上传 文件的情况下执行恶意代码获取管理权限；

Apache ShardingSphere 未限制的 YAML解析可能导致不安全反序列化漏洞，恶意 攻击者可以通过默认用户名和密码：admin/admin 登录后，构造特定的 YAML语句达到 命令执行的效果。

安恒应急响应中心在产品厂商漏洞公告后，第一时间验证漏洞的可利用性并发布 预警，一季度发布的其他漏洞预警包括：

参考资料

GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求