学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年4月网络安全月报
作者: 来源: 时间:2017-04-28 点击数:

中国地质大学校园网网络安全情况月报

2017年4月 (第W0016期) 总第15期

中国地质大学(武汉)网络与教育技术中心

本期目录

1 情况综述...1

2 安全事件通报...2

2.1 安全事件总体概述...2

2.2 入侵事件...4

2.3 木马僵尸事件...4

2.4 对外DoS攻击事件...4

2.5 网站黑链事件...5

3 安全事件分析...5

3.1 入侵事件分析...5

3.2 木马僵尸事件分析...6

3.3 对外DoS攻击事件分析...6

3.4 网站黑链事件分析...7

4 安全事件处置情况...7

5 安全预警信息...7

6 业界动态...14

6.1 IIS 6.0曝远程代码执行漏洞CVE-2017-7269.14

6.2 Java AMF3曝远程代码执行漏洞...15

6.3 三星产品操作系统Tizen被曝存在40多个0day漏洞...15

6.4 Linux内核ipv4/udp.c远程任意代码执行(CVE-2016-10229...16

6.5 Word曝0day漏洞:无需启用宏,打开文档就自动安装恶意程序...16

7 联系我们...17

1 情况综述

2017年3月28日至2017年4月25日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共414542起,近期服务器受到攻击的事件共725起;可能感染病毒木马的僵尸主机共42台,其中确定的僵尸主机共25台;对外发生的DoS攻击事件共1起,被植入黑链的网站共0个。与上个月对比情况如下:

 

 

2 安全事件通报

2.1安全事件总体概述

(一) 终端主机安全事件(共47309起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.202.36

46257

2

202.114.202.247

424

3

59.71.152.50

207

4

202.114.207.248

147

5

59.71.251.157

26

6

172.29.216.186

23

7

172.31.78.19

21

8

202.114.196.97

21

9

172.29.198.202

9

10

218.199.137.24

7

11

其他IP

167

总计

47309

(二) 服务器安全事件(共367233起):

序号

主机地址

受到攻击次数

备注

1

202.114.196.228

58073

2

202.114.196.87

56069

3

202.114.196.199

34314

4

202.114.201.169

15973

5

202.114.201.172

13367

6

202.114.202.130

12361

7

202.114.200.88

10017

8

202.114.196.189

8152

9

202.114.196.169

7729

10

202.114.202.219

6598

11

其他

144580

总计

367233

 

 

 

2.2入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

2.3木马僵尸事件

2.4对外DoS攻击事件

2.5网站黑链事件

本月没有被植入黑链的网站。

3 安全事件分析

3.1入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞108个,中危漏洞286个,低危漏洞197个。

3.2木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月对外发起DDOS的主机为202.114.207.75,建议使用杀毒软件对该主机进行病毒扫描,彻底清除病毒后再将主机接入网络,同时更新完善主机的漏洞补丁。

3.4网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4 安全事件处置情况

2017年3月28日至2017年4月25日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件1487起,其中入侵事件725起,木马僵尸事件42起,对外DoS攻击事件1起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5 安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 491 个。从厂商分布来看,Adobe公司新增漏洞最多,共有 53 个;新增漏洞中,高危漏洞188 个,中危漏洞260个,低危漏洞 43 个。收录的漏洞中,涉及0day漏洞83个(占17%),其中互联网上出现“ZyXEL EMG2926路由器远程命令执行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代码攻击漏洞。

(一)安全漏洞分布情况

从厂商分布来看,Adobe 公司产品的漏洞数量最多,共 53 个。CNVD整理和发布的漏洞涉及Adobe、Apple、Google等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

Adobe

53

11%

2

Apple

50

10%

3

Google

33

7%

4

Huawei

28

6%

5

ImageMagick

21

4%

6

IBM

17

3%

7

Cisco

15

3%

8

NetIQ

11

2%

9

Revive Adserver

9

2%

10

其他

254

52%

从漏洞行业来看,CNVD收录了32个电信行业漏洞,84个移动互联网行业漏洞,9个工控系统行业漏洞,如下表所示。

http://www.cnvd.org.cn/upload/webinfo/1493029371203.png

http://www.cnvd.org.cn/upload/webinfo/1493029382272.png

http://www.cnvd.org.cn/upload/webinfo/1493029395048.png

(二)安全漏洞危害等级与修复情况

此次CNVD收录了491个漏洞。其中应用程序漏洞267个,操作系统漏洞89个,web应用漏洞76个,网络设备漏洞47个,安全产品漏洞10个,数据库漏洞2个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

267

操作系统漏洞

89

web应用漏洞

76

网络设备漏洞

47

安全产品漏洞

10

数据库漏洞

2

(三)重要漏洞实例

本次收录的491个漏洞中,重点漏洞实例如下表所示。

1. Jackson框架存在Java反序列化代码执行漏洞

Jackson是一个开源的java序列化与反序列化工具。本周,该产品被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。

CNVD收录的相关漏洞包括:Jackson框架enableDefaultTyping方法反序列化漏洞。该漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04483

2. Adobe产品安全漏洞

OnePlus 3和 3T 都是中国一加科技(OnePlus)公司的智能手机。 Adobe Acrobat和Reader是美国Adobe公司开发的一款可以用便携式文档格式出版所有的文档的编辑软件。本周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞控制受影响的系统,执行任意代码。

CNVD收录的相关漏洞包括:Adobe Acrobat和Reader内存破坏漏洞(CNVD-2017-04690、CNVD-2017-04691、CNVD-2017-04692、CNVD-2017-04693、CNVD-2017-04694、CNVD-2017-04695、CNVD-2017-04696、CNVD-2017-04697)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04690

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04691

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04692

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04693

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04694

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04695

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04696

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04697

3. Google产品安全漏洞

Google Android是一款基于Linux开放性内核的手机操作系统。本周,该产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括:Google AndroidBroadcom Wi-Fi Driver权限提升漏洞(CNVD-2017-04965、CNVD-2017-04966、CNVD-2017-04967、CNVD-2017-04968、CNVD-2017-04969、CNVD-2017-04576、CNVD-2017-04578、CNVD-2017-04579)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04965

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04966

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04967

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04968

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04969

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04976

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04978

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04979

4. Huawei产品安全漏洞

华为Tecal RH1288V2等都是中国华为(Huawei)公司的服务器。华为Campus S7700等都是企业级园区交换机。华为HiSuite是一套用于PC端的手机助手软件。HuaweiVicky-AL00A/Victoria-AL00A是一款智能手机。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码和发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:多款华为服务器缓冲区溢出漏洞、华为CampusS7700/S9300/S9700交换机安全绕过漏洞、华为Campus系列交换机堆缓冲区溢出漏洞、华为交换机Y.1731拒绝服务漏洞、华为HiSuite中间人攻击漏洞、华为手机Bastet组件存在多个缓冲区溢出漏洞(CNVD-2017-04679、CNVD-2017-04678)、华为手机Bastet组件存在多个缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04637

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04632

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05106

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05108

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05109

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04679

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04678

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04677

5. Linksys Smart Wi-Fi Routers命令注入漏洞

Linksys Smart Wi-Fi Routers是智能Wi-Fi路由器。本周,Linksys Smart Wi-Fi Routers被披露存在命令注入漏洞,攻击者通过设备认证可以以root权限在设备的操作系统上注入和执行恶意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-05025

6 业界动态

6.1IIS 6.0曝远程代码执行漏洞CVE-2017-7269

微软方面也已经确认了该漏洞:Windows Server2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,远程攻击者通过以“If:<http://”开头的长header PROPFIND请求,执行任意代码。该漏洞自2016年7、8月起就已被利用。

参考链接:http://www.freebuf.com/vuls/130531.html

6.2Java AMF3曝远程代码执行漏洞

近期,德国安全团队@codewhitesec发现了Java AMF3的多个功能实现漏洞,美国CERT/CC也发出了安全预警。攻击者可以远程通过欺骗或控制服务连接方式,在AMF3反序列动作时执行任意代码。CERT/CC的安全公告提到了3个漏洞,第一个漏洞可让攻击者欺骗或控制RMI(Remote MethodInvocation)服务器来执行代码。第二个漏洞则可被攻击者利用实现任意代码执行——该漏洞影响到了Flamingo,Apache的Flex BlazeDS和GraniteDS。XXE漏洞也影响到了这些产品,另外还有WebORB。

参考链接:http://www.freebuf.com/vuls/131335.html

6.3三星产品操作系统Tizen被曝存在40多个0day漏洞

在4月3日的卡巴斯基安全分析师峰会上,以色列安全研究人员AmihaiNeiderman表示:三星产品主流操作系统Tizen存在40多个0-day漏洞,这些漏洞能让黑客非常容易远程攻击和控制三星设备,Neiderman也计划陆续公布这些漏洞。目前,三星广泛在其智能电视、智能手表和Z系列智能手机中使用了Tizen操作系统,另外,为了减少对Google Android的依赖,三星还打算将其产品全面转移到Tizen系统上来。

参考链接:http://www.freebuf.com/news/131364.html

1

2

3

4

5

6

6.1

6.2

6.3

6.4Linux内核ipv4/udp.c远程任意代码执行(CVE-2016-10229)

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。Linux kernel4.5之前的版本中的udp.c文件存在安全漏洞,Linux内核中的udp.c允许远程攻击者通过UDP流量执行任意代码,这些流量会在执行具有MSG_PEEK标志的recv系统调用时触发不安全的第二次校验和计算,远程攻击者可精心构造数据执行任意代码,进一步导致本地提权,属于高危漏洞。但由于现实情况中,基于UDP协议的服务时MSG_PEEK标志在实际使用的情况较少,受该远程命令执行漏洞危害影响群体范围有限。

参考链接:http://www.freebuf.com/vuls/131907.html

6.5Word曝0day漏洞:无需启用宏,打开文档就自动安装恶意程序

研究员表示,他们在一封邮件中发现了恶意Word文档附件,该文件包含OLE2link对象。一旦打开文件,文件中的利用代码就会执行,随后连接到一台由攻击者所控制的远程服务器,并从服务器上下载伪装成RFT文档的HTML应用文件(HTA)。HTA文件自动执行,攻击者就能实现目标设备之上的任意代码执行了,随后开始从”其他知名恶意软件家族“下载额外的payload,这些payload感染目标PC,并关闭该恶意Word文件。通过OfficeProtected View(受保护视图)特性查看这种恶意文档就可让攻击失效,因此我们建议Windows用户在查看Office 文档时开启此特性。

参考链接:http://www.freebuf.com/vuls/131586.html

7 联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版