学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年8月网络安全月报
作者: 来源: 时间:2017-09-04 点击数:

中国地质大学校园网网络安全情况月报

2017年8月   (第W0020期)  总第20期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 14

6.1      中国深圳一家厂商的智能摄像头爆出漏洞... 14

6.2      福特、宝马、英菲尼迪和日产汽车TCU存在漏洞... 15

6.3      思科WebEx视频会议插件再度发现严重RCE漏洞... 15

7       联系我们... 16

 


 

1   情况综述

2017年7月26日至2017年8月28日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共1041710起,近期服务器受到攻击的事件共5405起;可能感染病毒木马的僵尸主机共18台,其中确定的僵尸主机共9台;对外发生的DoS攻击事件共0起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共10158起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

7754

2

202.114.202.223

2231

3

202.114.202.204

64

4

59.71.241.130

36

5

172.31.197.168

5

6

123.59.59.66

4

7

172.28.1.98

4

8

218.199.137.24

4

9

172.29.169.141

3

10

59.71.226.51

2

11

其他IP

51

总计

10158

(二)    服务器安全事件(共399131起):

序号

主机地址

受到攻击次数

备注

1

202.114.202.223

465166

2

202.114.207.64

91734

3

202.114.196.228

62142

4

202.114.196.87

57251

5

202.114.196.199

53843

6

202.114.203.1

26765

7

202.114.196.171

26640

8

202.114.196.169

26010

9

202.114.204.25

22058

10

202.114.196.44

18172

11

其他

191929

总计

1041710


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月无对外DDOS事件。

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞272个,中危漏洞216个,低危漏洞198个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月没有对外发起DDOS攻击的主机。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年7月26日至2017年8月28日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件5423起,其中入侵事件5405起,木马僵尸事件18起,对外DoS攻击事件0起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 397 个。新增漏洞中,高危漏洞160个、中危漏洞220个、低危漏洞17个。漏洞平均分值为6.68。本周收录的漏洞中,涉及0day漏洞90个(占23%),其中互联网上出现“Joomla SocialPinBoard插件任意文件上传漏洞、Humax Digital HG100R备份文件下载漏洞”等零日代码攻击漏洞。此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1493个,与上周(1665个)环比下降10%。

(一)安全漏洞分布情况

从厂商分布来看,Oracle公司产品的漏洞数量最多,共 25 个。CNVD整理和发布的漏洞涉及Oracle、IBM、IrfanView等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

HP

60

15%

2

IBM

44

11%

3

ImageMagick

39

10%

4

Oracle

19

5%

5

GNU

13

3%

6

Google

9

2%

7

Adobe

8

2%

8

Juniper Networks

7

2%

9

Liferay

6

2%

10

其他

192

48%

从漏洞行业来看,CNVD收录了10个电信行业漏洞,33个移动互联网行业漏洞,1个工控系统行业漏洞,如下表所示。

http://www.cnvd.org.cn/upload/webinfo/1500889039915.png http://www.cnvd.org.cn/upload/webinfo/1500889039915.png

(二)安全漏洞危害等级与修复情况

此次CNVD收录了397个漏洞。其中应用程序漏洞287个,web应用漏洞68个,操作系统漏洞19个,网络设备漏洞17个,安全产品漏洞6个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

287

web应用漏洞

68

操作系统漏洞

19

网络设备漏洞

17

安全产品漏洞

6

(三)重要漏洞实例

本次收录的397个漏洞中,关注度较高的产品安全漏洞如下表所示。

1.NetSarang Xmanager和Xshell等多款产品安全漏洞

NetSarang是一家提供安全链接解决方案的公司,Xshell 是一款终端模拟软件。本周,该产品被披露存在后门漏洞,攻击者可利用漏洞泄露敏感信息。

CNVD收录的相关漏洞包括:NetSarangXmanager和Xshell等多款产品nssock2.dll模块存在后门。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21513

2.HP产品安全漏洞

HPE IntelligentManagement Center (iMC) PLAT是美国惠普企业(Hewlett PackardEnterprise,HPE)公司的一套网络智能管理中心解决方案。本周,该产品被披露存在任意代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:HPEIntelligent Management Center PLAT任意代码执行漏洞(CNVD-2017-21562、CNVD-2017-21563、CNVD-2017-21564、CNVD-2017-21565、CNVD-2017-21566、CNVD-2017-21567、CNVD-2017-21568、CNVD-2017-21569)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21562

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21563

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21564

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21565

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21567

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21568

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21569

3. Adobe产品安全漏洞

Adobe Reader/Acrobat是一款流行的处理PDF文件的应用程序。Adobe FlashPlayer是一款跨平台、基于浏览器的多媒体播放器产品。本周,上述产品被披露存在内存破坏和信息泄露漏洞,攻击者可利用漏洞执行任意的代码或泄露敏感信息。

CNVD收录的相关漏洞包括:AdobeAcrobat/Reader内存破坏漏洞(CNVD-2017-21193、CNVD-2017-21194、CNVD-2017-21195、CNVD-2017-21196、CNVD-2017-21197、CNVD-2017-21198、CNVD-2017-21199)、Adobe FlashPlayer信息泄露漏洞(CNVD-2017-21200)。除“Adobe FlashPlayer信息泄露漏洞(CNVD-2017-21200)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21193

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21194

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21195

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21196

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21197

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21198

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21199

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21100

4. Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,该产品被披露存在权限提升和远程代码执行漏洞,攻击者可利用漏洞提升权限或执行任意代码。

CNVD收录的相关漏洞包括:Google Androidframework权限提升漏洞、Google Android framework权限提升漏洞(CNVD-2017-21536、CNVD-2017-21537、CNVD-2017-21538)、Google AndroidSystem UI远程代码执行漏洞(CNVD-2017-21549、CNVD-2017-21550、CNVD-2017-21551、CNVD-2017-21552)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21539

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21536

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21537

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21538

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21549

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21550

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21551

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21552

5. Schneider Electric Pro-Face WinGP任意代码执行漏洞

Pro-Face GP Pro-Server EX是支持专用和开放HMI(基于PC)解决方案的首选HMI开发软件。本周,Schneider Electric被披露存在任意代码执行漏洞,攻击者可利用漏洞在进程的上下文中执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-21360

6     业界动态

6.1 中国深圳一家厂商的智能摄像头爆出漏洞

近期,安全企业 Bitdefender 和 Checkmarx 均发布报告表示,安全研究员在多个常用智能摄像头中发现远程侵入漏洞,涉及 VStarcam、Loftek、以及 Neo IP camera。其中的 Neo IP camera就是中国深圳厂商丽欧电子 (Neo Electronics)生产的智能摄像头设备,此次安全企业提供的报告中具体列出了丽欧电子 的两款产品:iDoorbell 以及 Neo CoolcamNIP-22 两种摄像头均存在缓冲区溢出问题,受影响的设备可以被攻击者远程入侵,执行任意代码并彻底接管。

参考链接:http://www.freebuf.com/news/143024.html

6.2 福特、宝马、英菲尼迪和日产汽车TCU存在漏洞

TCU是Continental AG公司生产的一种2G调制解调器,现在的汽车普遍用它来传输数据。利用这个模块汽车之间可以互相通讯,还可以用web控制台和手机app来远程控制手机。漏洞影响的是S-Gold 2 (PMB8876)蜂窝基带芯片,其中一个漏洞是TCU中处理AT命令的组件存在缓冲区溢出漏洞(漏洞编号CVE-2017-9647),这些命令包括AT+STKPROF,AT+XAPP, AT+XLOG和AT+FNS,这些命令中有很多是苹果在2015年修复的iPhone漏洞。不过要执行这个攻击,攻击者需要对汽车有物理权限。

参考链接:http://www.freebuf.com/news/143040.html

6.3 思科WebEx视频会议插件再度发现严重RCE漏洞

思科的 WebEx 浏览器插件(Chrome 和 Firefox)中再度发现严重(Critical)远程执行代码漏洞(CVE-2017-6753),这已经是今年第二次在 WebEx 中发现严重漏洞。攻击者可利用该漏洞在目标计算机的浏览器上远程注入恶意代码,目前思科已经在 WebEx 的 1.0.12 版本中修复了这个问题。

参考链接:http://www.freebuf.com/news/140760.html

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

上一条:已经是第一条了

下一条:2017年7月网络安全月报

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版