学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2016年11月网络安全月报
作者: 来源: 时间:2016-12-01 点击数:

中国地质大学校园网网络安全情况月报

2016年11月   (第W0011期)  总第11期

中国地质大学(武汉)网络与教育技术中心

 

 


 

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 4

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 9

6.1      Uber被曝存严重漏洞,现已修复... 9

6.2      Google将于2017年结束对Android 2.3/3.0的支持... 12

6.3      Google Play Services将停止支持Android Gingerbread和Honeycomb. 13

6.4      iOS又曝新漏洞,播放特定视频导致自动关机... 13

6.5      WordPress自动更新服务器存在漏洞... 14

6.6      曝特斯拉专属App安全性不够高,易被黑客盗走汽车... 16

7       联系我们... 17

 


 

1   情况综述

2016年10月26日至2016年11月25日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共337961起,近期服务器受到攻击的事件共818起,受到攻击威胁比较严重的服务器共1台,为202.114.202.219;可能感染病毒木马的僵尸主机共10台,其中确定的僵尸主机共8台;被植入黑链的网站共1个,为202.114.202.219。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共288701起):

主机类型分类统计:

   

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.196.11

15244

 

2

202.114.202.194

11353

 

3

202.114.196.192

4560

 

4

172.29.241.249

3607

 

5

59.71.229.37

3560

 

6

59.71.243.57

3481

 

7

59.71.225.26

3126

 

8

59.71.228.88

3026

 

9

172.29.221.5

2598

 

10

59.71.238.86

2547

 

11

其他IP

235599

 

总计

288701

 

(二)    服务器安全事件(共49260起):

 

序号

主机地址

受到攻击次数

备注

1

202.114.196.87

4435

2

202.114.196.199

3800

3

202.114.196.114

3106

4

202.114.196.42

2920

5

202.114.201.114

1346

 

6

202.114.196.245

1345

 

7

202.114.201.172

1268

 

8

202.114.196.12

1081

 

9

202.114.196.9

850

 

10

202.114.200.90

796

 

11

其他

28313

 

总计

49260

 

 


2.2 入侵事件

已被黑客攻陷的服务器:

序号

服务器

攻陷原因

备注

1

202.114.202.219

黑链: 被挂载2个黑链,涉及到反动及其他非法内容等

2.3 木马僵尸事件

2.4 对外DoS攻击事件

无。

2.5 网站黑链事件

被植入黑链的网站:

序号

IP地址

黑链类型

黑链数量

备注

1

202.114.202.219

反动及其他非法内容

2

 

(1)黑链网站(202.114.202.219):

被植入黑链的页面:

 202.114.202.219/rwt/CNKI/http/P7RYALUDN3WXTLUPMW4A/touch/web/Journal/Article/HBRW201512016.html

 202.114.202.219/rwt/CNKI/http/P7RYALUDN3WXTLUPMW4A/touch/web/Dissertation/Article/80201-1014046181.nh.html

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞87个,中危漏洞338个,低危漏洞166个。

       

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

建议使用杀毒软件对主机进行病毒扫描,彻底清除病毒后再将主机接入网络,同时更新完善主机的漏洞补丁。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2016年10月26日至2016年11月25日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件12起,其中入侵事件1起,木马僵尸事件10起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 219 个。从厂商分布来看,Microsoft 公司新增漏洞最多,共有 67 个;从漏洞类型来看,缓冲区溢出类的安全漏洞占比最大,达到15.53%。新增漏洞中,危急漏洞 10 个,高危漏洞 46 个,中危漏洞93 个,低危漏洞 70 个。相应修复率分别为 100.00%、100.00%、40.86%以及 58.57%。根据统计,合计 135 个漏洞已有修复补丁发布,整体修复率为 61.64%。

(一)安全漏洞分布情况

从厂商分布来看,Microsoft 公司产品的漏洞数量最多,共 67 个,影响 Office 办公软件和 Edge 浏览器等多个应用。各厂商漏洞数量分布如下表所示。

序号

厂商名称

漏洞数量

所占比例

1

Microsoft

67

30.59%

2

Adobe

11

5.02%

3

Haxx

11

5.02%

4

NVIDIA

11

5.02%

5

IBM

6

2.74%

从漏洞类型来看,缓冲区溢出类的安全漏洞相对占比最大,达到 15.53%。 漏洞类型统计如下表所示。

(二)安全漏洞危害等级与修复情况

共发布危急漏洞 10 个,高危漏洞 46 个,中危漏洞93 个,低危漏洞 70 个。相应修复率分别为 100.00%、100.00%、 40.86%以及 58.57%。合计 135 个漏洞已有修复补丁发布,整体修复率为 61.64%。 详细情况如下表所示。

(三)重要漏洞实例

1、危急漏洞实例

危急漏洞10个,其中重点漏洞实例如下表所示。

2、高危漏洞实例

高危漏洞46个,其中重点漏洞实例如下表所示。

6     业界动态

6.1 Uber被曝存严重漏洞,现已修复

据外媒报道,UberCentral近日被曝发现了一个严重漏洞,可泄露用户姓名,手机号码,email地址以及Uber用户的唯一ID(userUUIDs)。UberCentral是全球最大的驾乘分享服务公司Uber今年夏天为吸引企业客户推出App——企业可通过其为自己的员工(或客户)分别预订、支付乘车费用。

Kevin Roh是一名活跃的白帽子,在业余时间寻找漏洞。他在9月至10月间对UberCentral研究时发现可以通过两种技术枚举Uber用户的userUUIDs,或通用唯一标识符。不久,他又发现了第三个漏洞的存在,可以获得用户姓名,手机号码以及与用户注册时与userUUIDs相关联的email地址。

Kevin在应用中发现了一个IDOR(InsecureDirectObject References,不安全的直接对象引用)漏洞,可进行用户记录(如在此案例中就是UUID,32位字符串)的检索。

“不安全的直接对象引用”:根据OWASP项目(开放式Web应用程序安全项目)所提供的定义,当一个Web应用程序可以根据用户提供的输入信息来向用户提供对象的直接访问,那么这就是一种不安全的直接对象引用。这个漏洞的存在,将允许攻击者绕过系统的身份验证机制,并直接访问到网络系统中的所有资源。

根据OWASP项目官方提供的信息:“不安全的直接对象引用将允许攻击者绕过系统的身份验证机制,并可以通过修改对象的引用参数值来直接访问系统资源。这些资源有可能是属于其他用户的数据库数据,也有可能是存储在文件系统中的文件。如果Web应用程序在没有对用户的输入数据进行安全检测的情况下直接向用户提供了请求对象的访问权限,那么就会出现这种不安全的情况。”

“当攻击者从终端枚举大量的UUIDs时,他们就可以发动批量IDOR攻击,”Roh在一篇博文中解释道。

Roh之前曾受邀参加Uber的漏洞赏金计划,他可以查看UberCENTRAL后台。9月初他发现了第一个漏洞,该漏洞允许他通过email与POST请求,作为admin枚举UUIDs。他在10月发现了另一个类似的漏洞,不过这次是通过GET请求来枚举UUIDs。攻击者需获得admin权限才能进行枚举,但是这可以通过分析合法邮件而取得。十月底,Roh再次发现第三个漏洞,可获得完整的用户姓名与手机号码和email地址。

虽然从技术层面来说漏洞出现在UberCENTRAL上,但Roh在周二接受采访时称在Uber修复漏洞之前,所有Uber用户的信息都可以被检索到。

Roh认为,“对于攻击者来说,UUIDs仅在有不安全的直接对象引用时才可用。

Admin可以通过任何Uber账号关联的email地址查看用户的UUID。当admin添加用户时,用户的信息应当仅在其登陆UberCENTRAL才会显示。”

Uber在10月时已经对这三个漏洞进行了修复。

Uber在今年三月正式推出了漏洞赏金项目,HackerOne的CTO Alex Price认为,项目参与者与Uber之间的透明度至关重要。

“经常被重申的是对待外部研究人员(白帽子)应当像内部安全团队成员一般,而不仅仅是金钱或是雇佣关系,这会使得他们更高效,”Rice说道。

Roh在HackerOne的Uber项目中排行前四,自该项目开展以来,他一直在进行Uber的研究及漏洞发现工作。稍早时,他曾发现Uber合作伙伴网站上泄露了900个许可证,社会安全号码以及税务信息等,Uber及时修复了漏洞并邀请他进入私下的测试赏金项目中。

6.2 Google将于2017年结束对Android 2.3/3.0的支持

Android 2.3(Gingerbread /姜饼)和Android 3.0(Honeycomb /蜂巢)是Google Play服务所支持的最古老的两个Android版本(接近5-6年),Google已经宣布,该公司将于2017年初结束对Android 2.3/3.0的支持。姜饼可以说是最长命的Android版本之一,即使在Android 4.1-4.3(Jelly Bean / 果冻豆)时代,它的使用量依然很高(尤其在低端设备上)。

作为对比,Android 3.0几乎被视作一个灾难。短命的它于2011年2月被推出,然后很快就被同年10月亮相的Android 4.0(Ice Cream Sandwich /冰淇淋三明治)给取代了。

结束支持之后,低于Android 4.0 ICS的版本将无法再使用任何官方API。尽管开发者们仍然可以继续为旧版本做开发,但显然会极大地增加他们的工作量。

6.3 Google Play Services将停止支持Android Gingerbread和Honeycomb

Google宣布在2017年年初不再继续为Android Gingerbread和Honeycomb提供Google Play Services支持。在Google Play Services 10.0.0以及面向Android的Firebase客户端库将会是支持Android API level 9(Android 2.3 Gingerbread)的最后一个版本。

这些库的下个版本10.2.0计划将于2017年年初上线发布,最低支持的API level从9提升至14(Android 4.0.1 Ice Cream Sandwich)。根据本月公布的版本占比信息显示依然有1.3%的Android设备运行Gingerbread和ICS。

6.4 iOS又曝新漏洞,播放特定视频导致自动关机

继iPhone的关机门事件后,苹果iOS设备又被爆出存在新的漏洞。有用户发现,如果通过iOS设备在Safari浏览器中播放一段特定的MP4视频,则将导致设备运行速度变慢,并最终会造成设备的自动关机。

据了解,一位名叫EverythingApplePro的用户分享了一段相关视频,该视频显示如果在Safari浏览器中播放一段特定视频,则将导致iOS设备过载,并逐渐变得无法使用。

该故障的原因暂时还未查清,不过从视频来看,可能是在播放时导致设备内存泄漏,而该漏洞几乎存在于所有iOS系统。

在老版的系统中这一漏洞对设备的影响会更大,例如,运行iOS 10.2 beta 3的iPhone如果受此故障影响的时间足够长,那么就会关机,而且关机时会无限期地显示正常关机程序时会看到的图形,目前苹果还未对此置评。

在苹果修复此漏洞之前,用户可以通过“硬重启”设备来解决这一问题。需要注意的是,前几代iPhone重启是同时按住电源键和Home键的,不过iPhone 7的Home键按不动了,它的“硬重启”方法是同时长按电源键和调低音量键。

6.5 WordPress自动更新服务器存在漏洞

互联网中高达四分之一网站可能面临严重威胁——WordPress核心更新服务器已因一项安全漏洞而遭到恶意入侵。

这项已被关闭的远程代码执行漏洞源自api.wordpress.org内的一个php webhook,其允许开发者自行选择散列算法以证明代码更新合法。

WordPress安全项目WordFence首席开发者Matt Barry发现,攻击者能够提交极弱散列算法并作为验证过程的组成部分。如此一来,共享密钥只需要数个小时即可暴力破解完成。

利用这项漏洞的攻击者随后可向WordPress更新服务器发送URL,其会被旋即推送至全部WordPress站点。Web监控服务W3techs.com认为,这些站点可能占全球整体万维网网站中的27.1%。

“通过入侵api.wordpress.org,攻击者可能足以一次性突破全世界超过四分之一的网站,”Barry表示。

“我们分析了WordPress的代码,并发现其中一项安全漏洞可能允许攻击者在api.wordpress.org上执行其自有代码并获取访问权。”

“入侵更新服务器可能意味着攻击者能够提供自有URL,从而将软件自动下载并安装至各WordPress网站当中。”

攻击者还能够进一步执行恶意活动; 一旦后门或者恶意更新被推送完成,他们将能够立足于受入侵网站禁用WordPress的默认自动更新机制。

Barry指出,WordPress未能利用签名验证以检查已安装的各项更新,而是选择信任来自api.wordpress.org的全部URL与软件包。

WordPress的哈希验证流程在受到削弱之后,攻击者将能够向shell_exec直接传送POST参数,从而执行远程代码并顺利入侵api.wordpress.org更新服务器。

Barry选择了安全性较弱的adler32散列算法,其能够将可能的排列组合由43亿个(2的32次方)大幅缩减至10万到40万个。

“这代表着共享内容更易被猜出,只需要数个小时攻击者即可自行向api.wordpress.org发送webhook,”Barry表示。“一旦该webhook允许此请求,攻击方即可在api.wordpress.org上执行shell命令以访问底层操作系统,这意味着api.wordpress.org被正式攻破。”

Barry于9月2日将该项bug报告给了WordPress开发方Automattic,五天之后相关修复补丁即正式推出。

然而他仍然认为,api.wordpress.org将成为数百万依赖其进行更新的WordPress网站的单点故障根源。

在他看来,Automattic方面并没有回应他提出的故障点讨论建议,亦无意调整现有更新认证机制。

Barry并不是惟一一名关注这种控制能力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中,亦有研究人员提出了类似的理论性攻击途径。

不过尽管这方面建议最早可追溯至三年前,但WordPress管理方显然仍坚持对这一观点加以忽略。

6.6 曝特斯拉专属App安全性不够高,易被黑客盗走汽车

据福布斯网站消息,挪威互联网安全公司指出,特斯拉为其电动汽车定制的智能手机应用能为车主提供诸多方便,如查看汽车剩余电量、在拥挤的停车场寻找爱车,甚至在无钥匙情况下远程打开车门。但是特斯拉专属应用的安全性不够高,很可能导致用户的Model S或Model X被盗。

如果这款应用被入侵,黑客就可以根据它来确定汽车所在位置,在没有钥匙的情况下打开车门,将汽车开走。

安全公司称,只要首先在特斯拉超级充电站附近建立一个免费的WiFi热点,然后发起一个虚假的免费提供汉堡的促销活动,以吸引周围的人在其网络上注册。接下来,Promon将恶意软件安装到热点用户的移动设备上,不知不觉中就窃取了特斯拉车主的用户名和密码。通过这种方法,黑客还能窃取车主手机上的银行账户和电邮账户的登录信息,以及其他敏感信息。

安全公司表示,目前正与特斯拉进行密切对话。特斯拉一位发言人称,特斯拉已经意识到该问题。而到目前为止,还没有车主报告称有黑客试图通过专属应用来盗取汽车。

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

孟天:18802711157

邮箱:mengtian@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版