网络安全日报 2023年12月01日

网络安全苏柒

已于 2024-01-09 10:39:53 修改

阅读量1k

点赞数 20

文章标签： web安全安全网络安全开发语言网络

于 2023-12-01 10:00:54 首次发布

本文链接：https://blog.csdn.net/Galaxy_0/article/details/134727779

版权

在这里插入图片描述

1、Arcserve修复其产品中的安全漏洞

https://www.helpnetsecurity.com/2023/11/29/arcserve-udp-vulnerabilities-pocs

Arcserve已修复其Unified Data Protection (UDP)中的安全漏洞（CVE-2023-41998、CVE-2023-41999、CVE-2023-42000），这些漏洞的PoCs于周一由研究人员公开披露。CVE-2023-41998是UDP中com.ca.arcflash.rps.webservice.RPSService4CPMImpl接口的漏洞，可能允许未经身份验证的远程攻击者通过接口内的downloadAndInstallPath()例程远程上传和执行任意文件、代码；CVE-2023-41999是管理控制台中的漏洞，可能允许未经身份验证的远程攻击者获取有效的身份验证UUID以登录到控制台；CVE-2023-42000是一种路径遍历漏洞，可能允许未经身份验证的远程攻击者将任意文件上传到UDP代理安装的文件系统上的任何位置。Arcserve建议用户尽快将产品升级到9.2版本。

2、研究人员发现新型远控木马Saw RAT

https://cyble.com/blog/uncovering-the-new-java-based-saw-rats-infiltration-strategy-via-lnk-files/

11月22日，研究人员在VirusTotal上发现了一个ZIP压缩文件。经分析发现，ZIP文件包含一个带有Adobe图标的快捷方式文件（.lnk），以执行一种新型基于Java的远控木马，该远控木马隐藏在Java Runtime Environment（JRE）目录中。由于该远控木马使用了名为“saw.chain"的包，研究人员将其命名为Saw RAT。该远控木马与C2服务器建立连接，从而使攻击者向受害者系统发出各种命令。这些命令涵盖了一系列功能，包括收集系统信息、传输文件、列出目录以及在目标系统上执行任意命令。

3、研究人员发现DJvu勒索软件的新变种Xaro

https://www.cybereason.com/blog/threat-alert-djvu-variant-delivered-by-loader-masquerading-as-freeware

DJvu勒索软件是STOP勒索软件的变种，研究人员近期发现DJvu勒索软件的新变种，并将其命名为Xaro。攻击者利用伪装成提供正常软件的钓鱼网站进行攻击活动，并诱导用户下载执行伪装成正常应用的恶意程序PrivateLoader。PrivateLoader执行后与C2服务器连接，以获取其他的窃密木马，并释放Xaro勒索软件。Xaro会加密感染主机上的文件，并释放勒索信，要求受害者与攻击者联系，支付980美元以获取私钥和解密工具。

4、Apple 修补了iOS 16.7.1版本之前被利用的严重 WebKit 漏洞

苹果公司周四为其旗舰 macOS 和 iOS 平台推出了安全更新，以修复旧系统移动设备上已经被利用的两个严重漏洞。这些在 WebKit 浏览引擎中标记的漏洞可被用来劫持敏感内容或发起任意代码执行攻击。该公司推出了iOS 17.1.2 和 iPadOS 17.1.2，修复了 WebKit 缺陷，并警告称，可以通过恶意网页内容发起漏洞利用。该公司表示：“苹果公司已获悉一份报告，称该问题可能已被针对 iOS 16.7.1 之前的 iOS 版本所利用。”

5、Zyxel 修补了防火墙、NAS设备中的至少 15 个安全漏洞

https://www.securityweek.com/major-security-flaws-in-zyxel-firewalls-access-points-nas-devices/

中国台湾网络设备供应商 Zyxel 已针对困扰其防火墙、接入点和网络访问存储 (NAS) 设备用户的重大漏洞发布了安全警告。

6、Zoom 中的一个严重漏洞允许攻击者接管会议并窃取敏感数据

https://securityaffairs.com/155011/hacking/critical-zoom-room-bug.html

AppOms 的研究人员在HackerOne 实时黑客活动 H1-4420中发现了 Zoom Room 中的一个漏洞。专家们于 2023 年 6 月发现了该漏洞，他们警告说，攻击者可以接管 Zoom Room 的服务帐户并获得对受害者组织租户的访问权限。攻击者还可以无形地访问团队聊天、白板和其他 Zoom 应用程序中的机密信息。该公司及时解决了该问题，并澄清该漏洞对生产租户没有影响。

7、DOCKER HUB 上的应用程序镜像中泄露了数千个密钥或凭据

https://securityaffairs.com/154957/security/secrets-exposed-on-docker-hub.html

Docker Hub 存储至少有 5,493 个包含敏感信息的容器镜像，可被视为暴露敏感信息。这占 Cybernews 研究团队分析的 10,178 个 Docker Hub 镜像的 54%。分析后的泄漏容器被广泛使用的平台上的其他用户下载了超过 1320 亿次。

8、Google 推出 RETVec - 用于针对垃圾邮件和恶意电子邮件的新防御措施

https://thehackernews.com/2023/11/google-unveils-retvec-gmails-new.html

谷歌推出了一款名为RETVec（Resilient and Efficient Text Vectorizer 的缩写）的新型多语言文本矢量化器，可帮助检测Gmail 中的潜在有害内容，例如垃圾邮件和恶意电子邮件。

9、GoTitan 僵尸网络利用了最近的 Apache ActiveMQ 漏洞

https://thehackernews.com/2023/11/gotitan-botnet-spotted-exploiting.html

最近披露的影响 Apache ActiveMQ 的重大安全漏洞正被威胁者积极利用，以传播一种名为 GoTitan 的基于 Go 的新型僵尸网络，以及一种名为 PrCtrl Rat 的 .NET 程序，该程序能够远程控制受感染的主机。

10、美国政府秘密协调思科支持乌克兰加强电网网络安全防护

https://www.secrss.com/articles/61166

美媒称，美国政府曾秘密协调思科公司研发新版交换机，并提供给乌克兰国有电力运营商 Ukrenergo，以加强乌克兰电网的网络防护能力。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

在这里插入图片描述

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…