2017年9月网络安全月报-网络与教育技术中心
学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年9月网络安全月报
作者: 来源: 时间:2017-09-30 点击数:

中国地质大学校园网网络安全情况月报

2017年9月   (第W0021期)  总第21期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 14

6.1      主板厂商利用英特尔UEFI BIOS固件漏洞留后门... 14

6.2      华为、三星等手机Bootloader被曝存在多个高危漏洞... 14

7       联系我们... 15

 


 

1   情况综述

2017年9月1日至2017年9月30日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共464102起,近期服务器受到攻击的事件共4263起;可能感染病毒木马的僵尸主机共23台,其中确定的僵尸主机共16台;对外发生的DoS攻击事件共64起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共10158起):

主机类型分类统计:

     

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

11622

 

2

202.114.202.207

90

 

3

172.31.54.171

14

 

4

218.199.137.24

12

 

5

172.29.91.23

10

 

6

202.114.202.204

8

 

7

59.71.226.224

7

 

8

89.19.25.94

6

 

9

68.195.201.218

6

 

10

59.71.236.169

5

 

11

其他IP

88

 

总计

11868

 

(二)    服务器安全事件(共399131起):

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

68740

2

202.114.196.228

46738

3

202.114.196.87

44714

4

202.114.196.199

40045

5

202.114.202.223

38538

 

6

202.114.202.214

23213

 

7

202.114.196.169

17623

 

8

202.114.196.49

17311

 

9

202.114.196.44

16138

 

10

202.114.196.182

14360

 

11

其他

124814

 

总计

452234

 

 


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞307个,中危漏洞277个,低危漏洞168个。

           

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月对外发起DDOS的攻击事件共有64起,发起攻击的IP均为202.114.207.36,建议及时下线该主机并进行风险排查。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年9月1日至2017年9月30日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件4352起,其中入侵事件4265起,木马僵尸事件23起,对外DoS攻击事件64起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 325 个。新增漏洞中,高危漏洞129个、中危漏洞182个、低危漏洞14个。漏洞平均分值为6.27。本周收录的漏洞中,涉及0day漏洞90个(占28%),其中互联网上出现“Cisco DPC3939固件任意命令执行漏洞、NexusPHP SQL注入漏洞(CNVD-2017-27285)”等零日代码攻击漏洞。此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1162个,与上周(1029个)环比增长13%。

(一)安全漏洞分布情况

从厂商分布来看,Oracle公司产品的漏洞数量最多,共 25 个。CNVD整理和发布的漏洞涉及Oracle、IBM、IrfanView等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

Oracle

42

13%

2

Tcpdump

41

13%

3

Google

18

6%

4

Cisco

14

4%

5

MicroSoft

10

3%

6

SMA

10

3%

7

IBM

9

3%

8

Apache

8

2%

9

Synology

8

2%

10

其他

165

51%

从漏洞行业来看,CNVD收录了6个电信行业漏洞,33个移动互联网行业漏洞,5个工控系统行业漏洞,如下表所示。

http://www.cnvd.org.cn/upload/webinfo/1500889039915.png http://www.cnvd.org.cn/upload/webinfo/1500889039915.png

(二)安全漏洞危害等级与修复情况

此次CNVD收录了325个漏洞。其中应用程序漏洞229个,web应用漏洞41个,操作系统漏洞26个,网络设备漏洞29个,安全产品漏洞6个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

229

web应用漏洞

41

操作系统漏洞

29

网络设备漏洞

26

(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

1.Apache Tomcat存在多个漏洞

Tomcat是Apache 软件基金会开发一个免费的开放源代码的Web 应用服务器。本周,该产品被披露存在信息泄露与远程代码执行漏洞,攻击者可利用漏洞获取敏感信息或执行任意代码。

CNVD收录的相关漏洞包括:Apache Tomcat远程代码执行漏洞(CNVD-2017-27472)、Apache Tomcat信息泄露漏洞(CNVD-2017-27471)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27472

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27471

2. Spring AMQP与Spring Data REST存在远程代码执行漏洞

Spring AMQP是基于Spring框架的AMQP消息解决方案,Spring Data REST可以在Spring Data存储库之上构建超媒体驱动的REST Web服务。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Pivotal SpringAMQP远程代码执行漏洞、Pivotal Spring Data REST远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27969

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27968

3. Tcpdump产品安全漏洞

Tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。NFS parser是其中的一个网络文件系统解析器。AODV parser是其中的一个按需路由协议解析器。本周,该产品被披露存在堆缓冲区溢出和远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Tcpdump缓冲区溢出漏洞(CNVD-2017-27596、CNVD-2017-27741)、Tcpdump NFS解析器缓冲区溢出漏洞(CNVD-2017-27750、CNVD-2017-27746)、Tcpdump NFS解析器缓冲区溢出漏洞、Tcpdump AODV解析器缓冲区溢出漏洞、Tcpdump ARP解析器缓冲区溢出漏洞、Tcpdump BEEP解析器缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27596

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27741

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27750

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27746

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27594

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27749

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27739

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27742

4. Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,该产品被披露存在权限提升和远程代码执行漏洞,攻击者可利用漏洞提升权限或执行任意代码。

CNVD收录的相关漏洞包括:Google AndroidQualcomm组件存在未明漏洞(CNVD-2017-27865、CNVD-2017-27866、CNVD-2017-27867、CNVD-2017-27868、CNVD-2017-27869)、Google AndroidQualcomm组件缓冲区溢出漏洞(CNVD-2017-27564)、Google Android Qualcomm组件拒绝服务漏洞、Google AndroidQualcomm组件远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27865

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27866

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27867

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27868

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27869

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27564

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27563

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27566

5. Brother DCP-J132W拒绝服务漏洞

Brother DCP-J132W是Brother推出的打印机。本周,Brother被披露存在远程控制漏洞,远程攻击者可通过发送大量HTTP数据包而导致打印机挂起(破坏其网络连接)。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27958

6     业界动态

6.1 主板厂商利用英特尔UEFI BIOS固件漏洞留后门

Cylance的安全研究员Alex Matrosov发现了一些主板厂商利用英特尔的UEFI BIOS固件几个漏洞留后门。这些漏洞允许攻击者绕过BIOS固件保护,例如Intel BootGuard和Intel BIOS Guard,以禁用和更改UEFI BIOS固件,例如放置rootkit。

参考链接:https://95cnsec.com/motherboards-bios-flaws.html

6.2 华为、三星等手机Bootloader被曝存在多个高危漏洞

California大学的研究团队发现主流手机平台的bootloader中存在代码执行和DOS的安全漏洞。研究人员用BootStomp发现了6个新发现的漏洞,其中5个分别被厂商确认。还有一个之前报告过的安全缺陷。这些漏洞中有的允许攻击者作为bootloader的一部分执行二进制代码,攻击者也可以进行永久的DOS攻击。研究人员开发的工具BootStomp能识别出两个bootloader的漏洞,攻击者可以在root权限下利用这两个漏洞解锁设备并打破信任链。

参考链接:http://www.freebuf.com/news/146858.html

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版