学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年10月网络安全月报
作者: 来源: 时间:2017-10-31 点击数:

中国地质大学校园网网络安全情况月报

2017年10月   (第W0022期)  总第22期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 15

6.1      WPA2安全协议存在多个高危漏洞... 15

6.2      Adobe CodeFusion存在反序列化漏洞... 15

7       联系我们... 16

 


 

1   情况综述

2017年10月1日至2017年10月30日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共378558起,近期服务器受到攻击的事件共3921起;可能感染病毒木马的僵尸主机共11台,其中确定的僵尸主机共3台;对外发生的DoS攻击事件共0起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共14539起):

主机类型分类统计:

   

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

11925

 

2

202.114.202.207

2183

 

3

202.114.202.235

315

 

4

172.31.54.171

28

 

5

202.114.202.204

22

 

6

218.199.137.24

15

 

7

10.100.0.21

3

 

8

10.100.0.22

3

 

9

202.114.207.116

2

 

10

59.71.252.35

2

 

11

其他IP

41

 

总计

14539

 

(二)    服务器安全事件(共36403起):

序号

主机地址

受到攻击次数

备注

1

202.114.196.162

63224

2

202.114.207.64

61001

3

202.114.196.199

39123

4

202.114.196.228

27639

5

202.114.202.223

21526

 

6

202.114.196.60

9716

 

7

202.114.203.1

8526

 

8

202.114.196.40

7433

 

9

202.114.196.49

7339

 

10

202.114.196.87

6676

 

11

其他

111840

 

总计

364043

 

 


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月无对外DOS攻击事件。

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞318个,中危漏洞291个,低危漏洞203个。

       

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月无对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2017年10月1日至2017年10月30日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件4352起,其中入侵事件3921起,木马僵尸事件11起,对外DoS攻击事件0起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 597 个。新增漏洞中,高危漏洞114个、中危漏洞442个、低危漏洞41个。漏洞平均分值为5.44。本次收录的漏洞中,涉及0day漏洞190个(占32%),其中互联网上出现“Intelbras WRN 150安全绕过漏洞、Joomla! Quiz Deluxe组件SQL注入漏洞”等零日代码攻击漏洞。此外, CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数635个,与上周(818个)环比下降22%。

(一)安全漏洞分布情况

从厂商分布来看,Oracle公司产品的漏洞数量最多,共 25 个。CNVD整理和发布的漏洞涉及Oracle、IBM、IrfanView等多家厂商的产品,部分漏洞数量按厂商统计如下表所示。

序号

厂商(产品)

漏洞数量

所占比例

1

Stdutility

67

11%

2

MicroSoft

61

10%

3

IrfanView

28

5%

4

Oracle

24

4%

5

Kanboard

18

3%

6

IBM

14

2%

7

Huawei

13

2%

8

Intel

13

2%

9

Exiv2

10

2%

10

其他

349

59%

从漏洞行业来看,CNVD收录了27个电信行业漏洞,21个移动互联网行业漏洞,6个工控系统行业漏洞,如下表所示。

(二)安全漏洞危害等级与修复情况

此次CNVD收录了597个漏洞。其中应用程序漏洞460个,web应用漏洞60个,操作系统漏洞40个,网络设备漏洞30个,安全产品漏洞1个。漏洞按影响类型统计如下表所示。

漏洞影响对象类型

漏洞数量

应用程序漏洞

460

web应用漏洞

60

操作系统漏洞

40

网络设备漏洞

30

安全产品漏洞

1

(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

1.Wi-Fi Alliance产品安全漏洞

WPA(Wi-FiProtected Access)是一种保护无线电脑网络(Wi-Fi)安全的系统。本周,该产品被披露存在密钥重装漏洞,攻击者可利用漏洞任意数据包解密和注入,TCP连接劫持,HTTP内容注入或单播和组寻址帧的重放。

CNVD收录的相关漏洞包括:WPA2无线网络IGTK组密钥重装漏洞(CNVD-2017-30402、CNVD-2017-30403)、WPA2无线网络GTK组密钥重装漏洞、WPA2无线网络IGTK组密钥重装漏洞、WPA2无线网络PTK-TK加密密钥重装漏洞、WPA2无线网络PTK-TK加密密钥重装漏洞、WPA2无线网络STK密钥重装漏洞、WPA2无线网络TPK密钥重装漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30402

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30403

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30404

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30405

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30406

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30400

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30401

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30399

2. Microsoft产品安全漏洞

Microsoft Windows Server2016等都是美国微软公司发布的操作系统。Internet Explorer(IE)是其中的一个浏览器。Microsoft Edge是内置于Windows 10版本中的网页浏览器。本周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Microsoft Edge脚本引擎远程内存破坏漏洞(CNVD-2017-30539、CNVD-2017-30540、CNVD-2017-30541、CNVD-2017-30542、CNVD-2017-30543)、MicrosoftInternet Explorer Scripting内存破坏漏洞、Microsoft Internet Explorer内存破坏漏洞(CNVD-2017-30134、CNVD-2017-30137)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30539

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30540

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30541

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30542

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30543

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30131

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30134

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30137

3. Oracle产品安全漏洞

Oracle HospitalityApplications是美国甲骨文公司的一套用于酒店管理的业务应用程序、服务器和存储解决方案。Hospitality Suite8是其中的一个高级客户管理组件。本周,该产品被披露存未明漏洞,攻击者可利用漏洞影响系统的机密性、完整性及可用性。

CNVD收录的相关漏洞包括:OracleHospitality Suite8存在未明漏洞(CNVD-2017-30879、CNVD-2017-30880、CNVD-2017-30881、CNVD-2017-30882、CNVD-2017-30883、CNVD-2017-30884、CNVD-2017-30885、CNVD-2017-30886)。其中,“OracleHospitality Suite8存在未明漏洞(CNVD-2017-30880、CNVD-2017-30881)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30879

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30880

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30881

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30882

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30883

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30884

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30885

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30886

4. Huawei产品安全漏洞

Huawei FusionSphere和FusionSphereOpenStack(FSO)都是华为公司的产品,前者是基于OpenStack框架开发的云操作系统产品,后者是FusionSphere在ICT场景中的云平台软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、提升权限或插入恶意程序等。

CNVD收录的相关漏洞包括:HuaweiFusionSphere OpenStack鉴权不当漏洞、Huawei FusionSphere OpenStack鉴权不当漏洞(CNVD-2017-30767)、HuaweiFusionSphere OpenStack路径校验漏洞、Huawei FusionSphere OpenStack命令注入漏洞(CNVD-2017-30766、CNVD-2017-30901)、HuaweiFusionSphere OpenStack签名校验漏洞、Huawei FusionSphere OpenStack权限提升漏洞、HuaweiFusionSphere OpenStack信息泄露漏洞。除“Huawei FusionSphere OpenStack路径校验漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-29734

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30067

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30068

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30069

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30072

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30073

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30074

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30075

5. Progea Movicon SCADA/HMI权限提升漏洞

Movicon是由意大利自动化软件供应商PROGEA公司开发的(Scada/HMI)工业监控软件。本周,Progea被披露存在权限提升漏洞,本地用户可将任意代码插入到未引用的服务路径中,并升级其权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-30496

6     业界动态

6.1 WPA2安全协议存在多个高危漏洞

近日,鲁汶大学的研究人员 Mathy Vanhoef在 WPA2 协议中发现了严重的安全漏洞,这对无线网络的安全造成了极大的考验。攻击者可以利用 KRACK 攻击读取先前认为是安全的敏感信息,如信用卡号,密码,聊天信息,电子邮件,照片等。进行一些网络配置之后,它还可以注入和操作数据。建议大家近期多关注路由器控制面板里的检查更新,也可以去路由器厂商的网站看看有没有更新固件。

参考链接: http://www.freebuf.com/news/150917.html

6.2 Adobe CodeFusion存在反序列化漏洞

AdobeColdFusion是一个动态Web服务器,其CFML是一种程序设计语言,类似现在的JSP里的JSTL。AdobeColdFusion在开启“Remote Adobe LiveCycle Data Management access”功能的条件下会开启rmi registery服务。会在本地监听1099端口。可通过RMI协议向AdobeColdFusion 服务端发送精心构造的反序列化代码来触发漏洞。

参考链接:https://mp.weixin.qq.com/s/I-IizZsXUAfmpZaWUcecXQ

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版