网络安全日报 2023年12月12日_cve-2023-50164-CSDN博客

本文链接：https://blog.csdn.net/Galaxy_0/article/details/134941352

在这里插入图片描述

1、Kimsuky组织针对韩国研究机构进行后门攻击

https://asec.ahnlab.com/en/59387/

Kimsuky的朝鲜攻击者将韩国的研究机构作为鱼叉式网络钓鱼活动的一部分，其最终目标是在受感染的系统上分发后门。攻击者最终会利用后门窃取信息并执行命令。攻击链以导入声明诱饵开始，该诱饵实际上是一个恶意JSE文件，其中包含混淆的PowerShell脚本、Base64编码的有效负载和诱饵PDF文档。下一阶段需要打开PDF文件作为牵制策略，同时PowerShell脚本在后台执行以启动后门。

2、攻击者通过破解版Mac软件传播的新型Trojan-Proxy恶意软件

https://securelist.com/trojan-proxy-for-macos/111325/

未经授权的网站分发木马版本的破解软件已被发现使用新的Trojan-Proxy恶意软件感染苹果macOS用户。攻击者可以利用此类恶意软件通过构建代理服务器网络来获取金钱，或代表受害者实施犯罪行为：对网站、公司和个人发起攻击，购买枪支、毒品和其他非法商品。该恶意软件是一种跨平台威胁，因为在Windows和Android上发现了利用盗版工具的工件。macOS变体打着合法多媒体、图像编辑、数据恢复和生产力工具的幌子传播。这表明搜索盗版软件的用户是该活动的目标。与以磁盘映像(.DMG)文件形式提供的未经更改的正版版本不同，恶意版本以.PKG 安装程序的形式提供，该安装程序配备了安装后脚本，可在安装后激活恶意行为。

3、超三成的应用程序使用Log4J库的易受攻击版本

https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/

大约38%使用Apache Log4j库的应用程序使用的版本容易出现安全问题，其中包括Log4Shell，这是一个被识别为CVE-2021-44228的严重漏洞，尽管补丁已经发布了两年多，但其严重程度最高。Log4Shell是一个未经身份验证的远程代码执行漏洞，允许使用Log4j 2.0-beta9和最高版本2.15.0完全控制系统。该漏洞于2021年 12 月 10 日作为一个被积极利用的零日漏洞被发现，其广泛的影响、易于利用和巨大的安全影响对威胁行为者发出了公开邀请。

4、Apple 发布 iOS 17.2 并附带紧急安全补丁

https://www.securityweek.com/apple-ships-ios-17-2-with-urgent-security-patches/

最新的iOS 17.2 和 iPadOS 17.2包含至少 11 个已记录的安全缺陷的修复程序，其中一些缺陷严重到足以导致任意代码执行或应用程序沙箱逃逸。

5、BlackCat/Alphv 勒索软件泄密网站已被执法部门关闭

https://www.securityweek.com/law-enforcement-reportedly-behind-takedown-of-blackcat-alphv-ransomware-website/

勒索软件组织 BlackCat 和 Alphv 的官方泄密网站已经离线数天，据信执法部门是此次关闭的幕后黑手。基于 Tor 的BlackCat/Alphv泄露网站自 12 月 7 日起就无法访问。威胁情报公司 RedSense 第二天报告称，该网站已被执法部门关闭。

6、谷歌修补了HardPwn USA 2023中被利用的 Chromecast 漏洞

https://www.securityweek.com/google-patches-chromecast-vulnerabilities-exploited-at-hacking-contest/

谷歌已经修复了今年早些时候在黑客竞赛中展示的几个高度和中等严重程度的 Chromecast 漏洞。

7、Apache 修补 Struts 2 中的关键 RCE 漏洞

https://www.securityweek.com/apache-patches-critical-rce-vulnerability-in-struts-2/

Apache 软件基金会周末宣布了安全更新，解决了 Struts 2 开源开发框架中的一个严重性文件上传漏洞，并警告称该漏洞可能被利用来远程执行任意代码。该问题编号为CVE-2023-50164，被描述为文件上传逻辑中的缺陷，可能允许“攻击者启用具有遍历的路径”。尚未公布任何技术细节。Apache 在其公告中解释道：“攻击者可以操纵文件上传参数来实现路径遍历，在某些情况下，这可能会导致上传可用于执行远程代码执行的恶意文件。”

8、丰田金融服务公司披露数据泄露事件

丰田金融服务公司 (TFS) 披露了一起数据泄露事件，威胁行为者访问了其敏感的个人和财务数据。

9、日本汽车制造商Nissan遭遇网络攻击

https://securityaffairs.com/155360/security/nissan-oceania-suffers-cyberattack.html

日产大洋洲宣布遭受了网络攻击，并对此事件展开了调查。公司称已经通知了澳大利亚网络安全中心和新西兰国家网络安全中心。

10、国家网信办《网络安全事件报告管理办法》公开征求意见

https://www.secrss.com/articles/61529

为了规范网络安全事件的报告，减少网络安全事件造成的损失和危害，维护国家网络安全，依据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《网络安全事件报告管理办法（征求意见稿）》，现向社会公开征求意见。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

在这里插入图片描述

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…