学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年3月网络安全月报
作者: 来源: 时间:2017-03-30 点击数:

中国地质大学校园网网络安全情况月报

2017年3月   (第W0015期)  总第15期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 7

5       安全预警信息... 8

6       业界动态... 14

6.1      谷歌发布Android系统年度安全报告,一半的设备一年都没收到安全更新... 14

6.2      CIA Vault7曝思科IOS与IOS XE远程代码执行漏洞... 15

6.3      Apache Struts2再曝远程代码执行漏洞(S2-046... 17

6.4      安全公司发现38款手机预装恶意软件,三星、小米、OPPO等悉数在列... 18

6.5      Pwn2Own 2017世界黑客大赛 macOS 和 Safari 被攻破... 19

1       联系我们... 20

 


 

1   情况综述

2017年2月26日至2017年3月27日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共288281起,近期服务器受到攻击的事件共698起;可能感染病毒木马的僵尸主机共303台,其中确定的僵尸主机共288台;对外发生的DoS攻击事件共2起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共23552起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.202.194

8277

2

202.114.202.220

5903

3

202.114.207.36

2840

4

202.114.202.216

424

5

172.29.235.245

311

6

172.29.53.252

220

7

172.29.186.80

174

8

59.71.152.50

173

9

172.29.93.160

123

10

172.29.231.78

112

11

其他IP

4995

总计

23552

(二)    服务器安全事件(共231390起):

序号

主机地址

受到攻击次数

备注

1

202.114.196.49

40562

2

202.114.196.87

34307

3

202.114.196.199

27987

4

202.114.196.245

21497

5

202.114.201.172

14017

6

202.114.196.189

9104

7

202.114.196.228

8393

8

202.114.202.130

8145

9

202.114.207.31

7738

10

202.114.200.88

7699

11

其他

92290

总计

271739


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

2.3 木马僵尸事件

2.4 对外DoS攻击事件

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞64个,中危漏洞270个,低危漏洞128个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

建议使用杀毒软件对主机进行病毒扫描,彻底清除病毒后再将主机接入网络,同时更新完善主机的漏洞补丁。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年2月26日至2017年3月27日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件1487起,其中入侵事件704起,木马僵尸事件315起,对外DoS攻击事件376起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

本月,学校收到教育部通报网络安全事件10起,主要为我校各二级单位网站struts2漏洞告警。网络与教育技术中心第一时间与各单位网站负责人联系,并指导完成漏洞修复和补丁安装。修复期间,服务器未出现被入侵,重要信息泄露等安全事故。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 218 个。从厂商分布来看,Google公司新增漏洞最多,共有 40 个;从漏洞类型来看,权限许可和访问控制类的安全漏洞占比最大,达到15.60%。新增漏洞中,超危漏洞 8个,高危漏洞31 个,中危漏洞166 个,低危漏洞 13 个。相应修复率分别为 100.00%、93.55%、55.42%以及 92.31%。根据统计,合计 141 个漏洞已有修复补丁发布,整体修复率为 64.68%。

(一)安全漏洞分布情况

从厂商分布来看,Google 公司产品的漏洞数量最多,共 40 个。漏洞数量 Top5 厂商分布如下表所示。

序号

厂商名称

漏洞数量

所占比例

1

Google

40

18.35%

2

Microsoft

24

11.01%

3

WordPress

14

6.42%

4

Adobe

8

3.67%

5

Intel

7

3.21%

从漏洞类型来看,权限许可和访问控制类的安全漏洞相对占比最大,达到 15.60%。 漏洞类型统计如下表所示。

(二)安全漏洞危害等级与修复情况

共发布超危漏洞 8 个,高危漏洞 21 个,中危漏洞166 个,低危漏洞 13 个。相应修复率分别为 100.00%、93.55%、55.42%以及 92.31%。合计 141 个漏洞已有修复补丁发布,整体修复率为 64.68%。 详细情况如下表所示。

(三)重要漏洞实例

超危漏洞8个,高危漏洞21个,其中重点漏洞实例如下表所示。

1. Adobe Flash Player 缓冲区错误漏洞(CNNVD-201703-586)

Adobe Flash Player 是美国奥多比( Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。

Adobe Flash Player 中存在内存损坏漏洞。攻击者可利用该漏洞执行任意代码。以下版本受到影响:

-Adobe Flash Player for Windows、 Macintosh 和 Linux 24.0.0.221 及之前的版本

-Adobe Flash Player for Google Chrome 24.0.0.221 及之前的版本

-Adobe Flash Player for Microsoft Edge 和 Internet Explorer 11 24.0.0.221 及之前的版本

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://helpx.adobe.com/security/products/flash-player/apsb17-07.html

2. OnePlus 3 和 3T OxygenOS 权限许可和访问控制漏洞 (CNNVD-201703-450)

OnePlus 3 和 3T 都是中国一加科技(OnePlus)公司的智能手机。 OxygenOS 是其自带的操作系统。

OnePlus 3 和 3T 中的 OxygenOS 4.0.2 之前的版本中存在安全漏 6 洞。攻击者可利用该漏洞执行代码。

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页: https://oneplus.net/

3. AlienVault OSSIM 和 USM 权限许可和访问控制漏洞 (CNNVD-201703-645)

AlienVault OSSIM 和 USM 都是美国 AlienVault 公司的产品。OS SIM 是一套开源的安全信息管理系统。USM 是一套提供了安全监控、 安全事件管理和报告、威胁感知系统等功能的安全管理平台。

AlienVault OSSIM 和 USM 5.3.1 之前的版本中的 session.inc 文件的logcheck函数存在安全漏洞。远程攻击者可借助AV Re port SchedulerHTTP User-Agent 头利用该漏洞绕过身份验证,获 取敏感信息,修改应用程序或以 root 权限执行任意代码。

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补 丁获取链接: https://www.alienvault.com/forums/discussion/7765/alien vault-v5-3-1-hotfix

4. Microsoft Internet Explorer 缓冲区错误漏洞 (CNNVD-201703-720)

Microsoft Internet Explorer(IE)是美国微软(Microsoft) 公司开发的一款Web 浏览器,是Windows 操作系统附带的默认浏览器。

Microsoft IE 9 版本至 11 版本中存在内存损坏漏洞。远程攻击 7 者可借助特制的 Web 站点利用该漏洞执行任意代码(内存损坏)。

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://technet.microsoft.com/zh-cn/library/security/ms 17-006

5. ImageMagick 资源管理错误漏洞(CNNVD-201703-578)

ImageMagick 是美国 ImageMagick Studio 公司的一套开源的图 象处理软件。该软件可读取、转换、写入多种格式的图片。

ODR-PadEnc 中使用的 ImageMagick 6.9.2-2 之前的版本中的 Ma gickCore/option.c 文件的IsOptionMember函数存在内存泄露漏 洞。攻击者可利用该漏洞造成拒绝服务(内存损坏)。

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补 丁获取链接: http://git.imagemagick.org/repos/ImageMagick/commit/679 0815c75bdea0357df5564345847856e995d6b

6Android Audioserver 输入验证漏洞(CNNVD-201703-242)

Android 是美国谷歌(Google)公司和开放手持设备联盟(简称 OHA)共同开发的一套以 Linux 为基础的开源操作系统。Audioserve r 是其中的一个音频服务器软件。

Android 中的 Audioserver 存在拒绝服务漏洞。攻击者可借助本 地恶意的应用程序利用该漏洞造成设备挂起和重启。Android 的以下版本受到影响:

-5.1.1 版本

-6.0 版本

-6.0.1 版本

-7.0 版本

-7.1.1 版本

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补 丁获取链接: https://source.android.com/security/bulletin/2017-03-01. html

6     业界动态

6.1 谷歌发布Android系统年度安全报告,一半的设备一年都没收到安全更新

2015年,网络安全机构Zimperium的安全研究人员披露了Android系统有史以来最严重漏洞——Stagefright。利用这个漏洞,只需简单的一条彩信,黑客就可能完全控制用户手机。据悉,这个漏洞波及了超过9.5亿台Android手机。
 Stagefright漏洞引发了大众对Android生态系统安全性的关注,谷歌随后开始尝试每个月都对Android设备推送安全更新。
 3月23日,谷歌发布了Android系统年度安全报告,全面回顾了2016年在安全方面的各项工作进展。
 在月度安全更新方面,Android安全部门主管表示,谷歌通过与运营商和制造商的合作,将安全更新的等待时间从6~9个星期降低到了几天。而且谷歌还缩减了安全更新程序包的大小,并取消了每次更新都需要用户同意这一过程。
 此外,Google Play里几乎每种PHA(Potentially Harmful App,潜在有害应用)的安装量都降低了。2016年底,只从Google Play下载应用的设备只有0.05%存在PHA,相比2015年的0.15%大幅下降。
 不过,报告里透露的并不只有好消息。数据显示,截至2016年底,仍然有一半的活跃Android设备在过去一年中并未收到平台安全更新。而且,2015年初只有0.5%的Android设备安装了PHA,但是到2016年底,这个数据上涨到了0.71%。
 对于普通用户来说,想要确保手机的安全性,要记住的只有两点:
 选择会每月推送安全更新的Android手机;
 只从谷歌的Play Store应用商店中下载App。

6.2 CIA Vault7曝思科IOS与IOS XE远程代码执行漏洞

就在CIA Vault7大规模泄露后,来自思科的专家们通过调查发出警告,称思科IOS与IOS XE软件集群管理协议中存在远程代码执行漏洞。
 最近,维基解密宣布计划与部分IT企业就其产品中存在之安全漏洞的详细信息开展共享,而这些漏洞则来自此前已然引发轩然大波的CIA Vault7曝光副本中的相关黑客工具与技术利用描述。
 维基解密创始人阿桑奇在发送给各技术厂商的邮件中提出一系列条件,要求填写并认可后方能够访问Vault7副本中的具体信息。
 不过就目前来看,部分IT巨头似乎并不打算接受这些条件,思科公司正是其中之一——网络巨头正在对Vault7当中包含的文档进行分析。思科已经确认一项IOS/IOS XE bug,其影响到思科公司旗下超过300种交换机机型。

思科IOS与思科IOS XE软件当中的思科集群管理协议(简称CMP)处理代码内包含的这项漏洞可被未经授权的攻击者所远程利用,从而以远程方式以高权限方式进行代码执行并导致相关设备进行重新加载。
 攻击者可以凭借该漏洞获得对目标设备的完整控制权。
 这项用于远程登录的集群管理协议在各集群成员之间充当信令与命令协议。
 此项安全漏洞主要由以下两项因素相结合而引发:
 · 未能将特定CMP远程登录选项限定在仅介于集群内各成员间的本地内部通信中,而是允许任何受影响设备通过远程登录连接的方式接受并处理这些选项;
 · 对恶意格式的特定CMP远程登录选项进行不当处理。
 攻击者能够通过发送恶意格式的特定CMP远程登录选项的方式触发此项安全漏洞,同时利用受影响思科设备建立一项远程登录会话,经由配置以接受上述远程登录连接。
 此项安全漏洞会影响到目标设备的默认配置场景,即用户未对交换机集群进行配置的情况,且可通过IPv4或者IPv6实现。
 思科公司在状态更新中表示:
 “攻击者能够通过发送恶意格式的特定CMP远程登录选项的方式触发此项安全漏洞,同时利用受影响思科设备建立一项远程登录会话,经由配置以接受上述远程登录连接。此类利用手段将允许攻击者执行任意代码,获取对目标设备的完整控制权或者导致受影响设备进行重新加载。
 思科咨询部门确认该项安全漏洞总计影响到264款Catalyst交换机、51款工业以太网交换机以及其它3款思科设备。当然,这些存在安全漏洞的设备亦全部运行有IOS软件并可通过远程登录连接实现配置。
 作为应对措施,思科公司的专家们建议禁用远程登录连接,并将SSH作为远程设备访问的最佳实现选项。
 截至撰稿之时,我们尚不清楚此项安全漏洞是否已经被恶意人士所实际利用。

6.3 Apache Struts2再曝远程代码执行漏洞(S2-046)

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。
 本月初,Strust2漏洞爆出一个RCE远程代码执行漏洞(S2-045)可致远程代码执行。而时隔两周,又出现一个相似的远程代码执行漏洞。
 漏洞编号
 CNNVD-201703-152(CVE-2017-5638)
 漏洞简介
 使用恶意的Content-Disposition值或者使用不合适的Content-Length头就可能导致远程命令执行。该漏洞与S2-045 CNNVD-201703-152(CVE-2017-5638)相似,但使用了不同的攻击向量。
 触发漏洞需要满足的条件:
 JakartaStreamMultipartRequest已开启。也就是说,Struts2需要通过Jakarta stream parser配置(非默认)。在Struts2配置文件中检查<constant name=struts.multipart.parser value=jakarta-stream />
 上传的文件大小根据Content-Length头的声明要大于Struts2默认允许的2GB大小。

解决方案:
 如果你正在使用基于Jakarta的文件上传Multipart解析器,请将Apache Struts升级到2.3.32或2.5.10.1。
 和先前的漏洞一样,也有相应的变通方案,即采用其他Mutipart解析器实施方案。Apache也提供2个插件作为解决方案——如果使用的是Apache Struts 2.3.8 2.5.5或者2.3.20 2.5.5版本,即可采用该解决方案。
 另外也可以从堆中移除File Upload Interceptor,定义自有堆并设为默认,该解决方案针对Struts 2.5.8 2.5.10有效。

6.4 安全公司发现38款手机预装恶意软件,三星、小米、OPPO等悉数在列

国外安全公司 Check Point 最近发布了一篇报告,称在其调查的两家企业中,发现了38部被预装恶意软件的 Android 手机。报告并未透露被调查企业的名字,但雷锋网惊讶地发现,报告中赫然出现了三星、小米、红米、中兴、Oppo、Vivo 、联想、LG 等国内外众多知名品牌。
 研究人员称,他们并不清楚攻击者只是专门针对这两家公司,还是这种预装恶意软件的行为广泛存在,目前仍在调查之中。
 报告中表示,手机厂商提供的官方ROM固件中并没有包含恶意软件,但设备到达用户的手中时已经被加入了恶意软件,因此判断恶意软件是在设备供应链的某一环节被加入到设备中的。
 在这些预装的恶意软件中,大部分主要是收集用户的信息和展示广告,但也发现其中六部手机中的恶意程序拥有系统级权限;其中一部手机中存在勒索软件,会通过AES加密算法锁定用户的文件并实施勒索。
 据雷锋网料解,由于恶意软件在用户拿到手机之前就已嵌入在手机固件中,因此就算用户万分小心,依然免不了受影响。而且,用户无法用常规方法自行删除恶意软件,除非重新刷机或者提前获取手机最高Root权限。
 CheckPoint 官方博客附带的表格中展示了他们认定的恶意软件包名,哈希值以及受影响的设备。其中有部分安装包的包名,看起来疑似国内知名的唱吧、风云直播、快手下载等软件,但目前尚未证实。

6.5 Pwn2Own 2017世界黑客大赛 macOS 和 Safari 被攻破

第十七届年度 CanSecWest 安全会议正在加拿大不列颠哥伦比亚省温哥华市中心举行,研究人员正在竞争夺取 10 周年 Pwn2Own 计算机黑客大赛的冠军,并获得获得超过100万美元的奖金。第一天的结果已经在零日计划网站上公布。 独立黑客 SamuelGro&szlig; 和 Niklas Baumstark 取得了成功,并获得了 2.8万 美元将近。
 黑客们成功的通过 Safari 浏览器的漏洞在 macOS 上获得了 Root 权限,并在 Touch Bar 版 MacBook Pro 上滚动显示信息。同时,Chaitin 安全实验室也攻破了 Safari,并在 macOS 系统获得了 Root 权限。他们在破解过程中找到了 6 个 Bug,并获得了3.5万美元奖金。
 参加 Pwn2Own 黑客大会的团队们第一天一共拿到了23.3万美元奖金,其中腾讯安全团队拿到了10.5万美元奖金,厉害了我的企鹅。其他成功被攻破的软件包括 Adobe Reader、Ubuntu 桌面版和 Windows 系统的微软 Edge 浏览器。苹果公司代表也参加了这次黑客大会,被发现的安全漏洞将很快被苹果修复。

1   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版