学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年7月网络安全月报
作者: 来源: 时间:2017-09-04 点击数:

中国地质大学校园网网络安全情况月报

2017年7月   (第W0019期)  总第19期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 15

6.1      Broadcom(博通)WIFI芯片存在远程代码执行漏洞... 15

7       联系我们... 16

 


 

1   情况综述

2017年6月29日至2017年7月25日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共630810起,近期服务器受到攻击的事件共4241起;可能感染病毒木马的僵尸主机共28台,其中确定的僵尸主机共10台;对外发生的DoS攻击事件共0起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共8362起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

6774

2

202.114.201.140

1366

3

202.114.202.204

97

4

123.249.13.246

17

5

202.114.196.97

13

6

117.132.13.158

13

7

182.61.16.164

7

8

59.71.243.4

6

9

172.29.11.193

6

10

202.114.196.49

6

11

其他IP

57

总计

8362

(二)    服务器安全事件(共399131起):

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

109057

2

202.114.196.87

63951

3

202.114.196.199

63151

4

202.114.196.228

52025

5

202.114.202.214

24022

6

202.114.196.171

18039

7

202.114.203.1

17461

8

202.114.196.37

17272

9

202.114.200.88

16095

10

202.114.196.189

16037

11

其他

233736

总计

630846


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月无对外DDOS事件。

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞293个,中危漏洞286个,低危漏洞217个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月没有对外发起DDOS攻击的主机。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年6月29日至2017年7月25日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件4259起,其中入侵事件4241起,木马僵尸事件18起,对外DoS攻击事件0起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 309 个。新增漏洞中,高危漏洞69个、中危漏洞208个、低危漏洞32个。漏洞平均分值为5.80。本周收录的漏洞中,涉及0day漏洞104个(占34%),其中互联网上出现“Netgear DGN2200dnslookup.cgi命令注入漏洞”等零日代码攻击漏洞。此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1352个,与上周(1192个)环比增长13%。

(一)安全漏洞分布情况

从厂商分布来看,Oracle公司产品的漏洞数量最多,共 25 个。CNVD整理和发布的漏洞涉及Oracle、IBM、IrfanView等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

Oracle

25

8%

2

IBM

25

8%

3

IrfanView

24

8%

4

XnView

12

4%

5

FineCMS

11

4%

6

WordPress

10

3%

7

Microsoft

9

3%

8

SWFTools

8

3%

9

Linux

6

2%

10

其他

181

57%

从漏洞行业来看,CNVD收录了18个电信行业漏洞,46个移动互联网行业漏洞,如下表所示。

http://www.cnvd.org.cn/upload/webinfo/1500889039915.png http://www.cnvd.org.cn/upload/webinfo/1500889039915.png

(二)安全漏洞危害等级与修复情况

此次CNVD收录了309个漏洞。其中应用程序漏洞206个,操作系统漏洞18个,web应用漏洞57个,网络设备漏洞17个,安全产品漏洞5个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

206

web应用漏洞

57

操作系统漏洞

18

网络设备漏洞

17

安全产品漏洞

5

(三)重要漏洞实例

本次收录的309个漏洞中,关注度较高的产品安全漏洞如下表所示。

1. Oracle产品安全漏洞

Oracle E-Business Suite是美国甲骨文(Oracle)公司的一套全面集成式的全球业务管理软件。本周,该产品被披露存在未明漏洞,攻击者可利用漏洞未授权更新、插入和删除数据,影响数据的完整性。

CNVD收录的相关漏洞包括:OracleE-Business Suite存在未明漏洞(CNVD-2017-15372、CNVD-2017-15373、CNVD-2017-15374、CNVD-2017-15375、CNVD-2017-15376、CNVD-2017-15377、CNVD-2017-15378、CNVD-2017-15379)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15372

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15373

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15374

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15375

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15376

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15377

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15378

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15379

2.IBM产品安全漏洞

IBM Security Guardium是美国IBM公司的一套提供数据保护功能的平台。IBM DB2Universal Database Server是一款商业关系数据库系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露数据库敏感信息、绕过安全限制或进行跨站脚本攻击等。

CNVD收录的相关漏洞包括:IBM DB2缓冲区溢出漏洞(CNVD-2017-14908)、IBM SecurityGuardium SQL注入漏洞、IBM Security Guardium XML外部实体注入漏洞、IBM SecurityGuardium信息泄露漏洞(CNVD-2017-15926)、IBM Security Guardium操作系统命令注入漏洞、IBM SecurityGuardium跨站脚本漏洞(CNVD-2017-15930)、IBM Security Guardium安全绕过漏洞、IBM SecurityGuardium信息泄露漏洞(CNVD-2017-15932)。其中,“IBM SecurityGuardium SQL注入漏洞”的综合评级为“高危”目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14908

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15924

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15925

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15926

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15927

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15930

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15931

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15932

3. Microsoft产品安全漏洞

Microsoft Edge是内置于Windows 10版本中的网页浏览器。Skype是一款即时通讯软件。MicrosoftMalware Protection Engine是一款微软的恶意程序保护引擎。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码或绕过安全限制等。

CNVD收录的相关漏洞包括:MicrosoftSkype 'MSFTEDIT.DLL'缓冲区溢出漏洞、Microsoft Edge欺骗漏洞(CNVD-2017-14641)、Microsoft Edge安全绕过漏洞(CNVD-2017-14644)、Microsoft Edge远程代码执行漏洞(CNVD-2017-14639)、Microsoft Edge远程代码执行漏洞(CNVD-2017-14640)、Microsoft Edge脚本引擎远程内存破坏漏洞(CNVD-2017-14642)、Microsoft Edge脚本引擎远程内存破坏漏洞(CNVD-2017-14643)、MicrosoftMalware Protection Engine远程执行代码漏洞。除“Microsoft Skype'MSFTEDIT.DLL'缓冲区溢出漏洞、Microsoft Edge欺骗漏洞(CNVD-2017-14641)、Microsoft Edge安全绕过漏洞(CNVD-2017-14644)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15887

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14641

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14644

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14639

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14640

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14642

http://www.cnvd.org.cn/flaw/show/CNVD-2017-14643

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15844

4. WordPress产品安全漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。本周,该产品被披露存在目录遍历、跨站脚本和SQL注入漏洞等,攻击者可利用漏洞泄露数据库敏感信息或进行跨站脚本攻击。

CNVD收录的相关漏洞包括:WordPressResponsive Lightbox插件跨站脚本漏洞、WordPress ShortcodesUltimate插件目录遍历漏洞、WordPress Photo Gallery目录遍历漏洞、WordPress WP Statistics插件跨站脚本漏洞、WordPress WPStatistics插件SQL注入漏洞、WordPress All-in-One WP Migration插件跨站脚本漏洞、WordPressHow-Interest插件跨站脚本漏洞、WordPress DSubscribers插件SQL注入漏洞。其中,“WordPressDSubscribers插件SQL注入漏洞、WordPress WP Statistics插件SQL注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15110

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15111

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15388

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15389

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15390

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15391

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15392

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15393

5. NetBSD任意代码执行漏洞

NetBSD是一款基于BSD的操作系统。本周,NetBSD被披露存在任意代码执行漏洞,攻击者可利用漏洞在受影响的系统的上下文中执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-15812

6     业界动态

6.1 Broadcom(博通)WIFI芯片存在远程代码执行漏洞

近期,国家信息安全漏洞共享平台(CNVD)收录了博通WIFI芯片远程代码执行漏洞(CNVD-2017-14425,对应编号CVE-2017-9417,报送者命名为BroadPWN)。远程攻击者可利用漏洞在目标手机设备上执行任意代码。由于所述芯片组在移动终端设备上应用十分广泛,有可能诱发大规模攻击风险。

Broadcom Corporation(博通公司)是有线和无线通信半导体供应商,其生产的BroadcomBCM43xx系列WiFi芯片广泛应用在移动终端设备中,是APPLE、HTC、LG、Google、Samsung等厂商的供应链厂商。

目前漏洞报告者暂未披露详细细节。根据描述,该漏洞技术成因是Broadcom Wi-Fi芯片自身的堆溢出问题,当WIFI芯片从连接的网络(一般为WIFI局域网下)接收到特定构造的长度不正确的WME(Quality-of-Service)元素时,漏洞就会被触发,导致目标设备崩溃重启,也有可能使得攻击者取得操作系统内核特权,进一步在该终端设备上执行恶意代码取得控制权。根据报告,漏洞的攻击利用方式还可直接绕过操作系统层面的数据执行保护(DEP)和地址空间随机化(ASLR)防护措施。

CNVD对漏洞的综合评级为“高危”。相关漏洞细节在将会在7月22日至27日的Blackhat大会上发布。

参考链接:http://www.freebuf.com/news/138557.html

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版