2017年11月网络安全月报-网络与教育技术中心
学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年11月网络安全月报
作者: 来源: 时间:2017-12-01 点击数:

中国地质大学校园网网络安全情况月报

2017年11月   (第W0022期)  总第23期

中国地质大学(武汉)网络与教育技术中心

本期目录

1     情况综述... 1

2     安全事件通报... 2

2.1       安全事件总体概述... 2

2.2       入侵事件... 4

2.3       木马僵尸事件... 4

2.4       对外DoS攻击事件... 4

2.5       网站黑链事件... 5

3     安全事件分析... 5

3.1       入侵事件分析... 5

3.2       木马僵尸事件分析... 5

3.3       对外DoS攻击事件分析... 6

3.4       网站黑链事件分析... 6

4     安全事件处置情况... 7

5     安全预警信息... 7

6     业界动态... 13

6.1       船舶通信平台AmosConnect被曝后门和SQL注入漏洞... 13

6.2       关于海莲花(OceanLotus)APT团伙新活动的通告... 14

7     联系我们... 15

 


 

1   情况综述

2017年11月1日至2017年11月30日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共243921起,近期服务器受到攻击的事件共4343起;可能感染病毒木马的僵尸主机共20台,其中确定的僵尸主机共6台;对外发生的DoS攻击事件共25起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共12103起):

主机类型分类统计:

 

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

8326

 

2

202.114.202.207

3655

 

3

218.199.137.22

15

 

4

218.199.137.24

9

 

5

172.28.112.252

3

 

6

172.29.65.132

3

 

7

218.199.137.1

3

 

8

172.29.146.209

3

 

9

172.29.103.52

3

 

10

59.71.230.155

3

 

11

其他IP

41

 

总计

12103

 

(二)    服务器安全事件(共231818起):

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

59903

2

202.114.202.223

25027

3

202.114.196.114

15658

4

202.114.202.214

12380

5

202.114.196.171

8517

 

6

202.114.196.228

8338

 

7

202.114.196.199

7295

 

8

202.114.200.205

4027

 

9

202.114.203.1

3935

 

10

202.114.204.253

3913

 

11

其他

82825

 

总计

231818

 

 


2.2 入侵事件

已被黑客攻陷的服务器(本月无):

序号

服务器

攻陷原因

备注

1

1

Webshell后门

入侵风险类型排名如下:

 

2.3 木马僵尸事件

 

 

2.4 对外DoS攻击事件

本月共有25次对外DOS攻击事件,攻击源IP均为202.114.207.36,建议该服务器主机及时登录系统排查安全问题。

 

 

2.5 网站黑链事件

本月没有被植入黑链的网站。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞369个,中危漏洞269个,低危漏洞233个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共25次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月无黑链风险。

4   安全事件处置情况

2017年11月1日至2017年11月30日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件4383起,其中入侵事件4343起,木马僵尸事件20起,对外DoS攻击事件20起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 2112 个。新增漏洞中,高危漏洞614个、中危漏洞1341个、低危漏洞157个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1784个。

(一)重要漏洞信息

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Apple多款产品存在安全漏洞

CNVD编号

CNVD-2017-32727、CNVD-2017-32728

CNVD-2017-32729、CNVD-2017-32730

CNVD-2017-32731、CNVD-2017-32732

CNVD-2017-32736、CNVD-2017-32737

CNVD-2017-32738、CNVD-2017-32834

本月,Apple多款产品存在安全漏洞。攻击者利用漏洞执行任意代码或发起拒绝服务攻击等。本月漏洞包括:Apple iOS Wi-Fi组件任意代码执行漏洞、Apple iOS Wi-Fi组件任意代码执行漏洞(CNVD-2017-32728、CNVD-2017-32729、CNVD-2017-32730、CNVD-2017-32731、CNVD-2017-32732)、多款Apple产品SQLite缓冲区溢出漏洞、多款Apple产品SQLite缓冲区溢出漏洞(CNVD-2017-32737、CNVD-2017-32738)、Apple iOS Wi-Fi SQLite任意代码执行漏洞等。

 

其他编号

CVE-2017-7103、CVE-2017-7105

CVE-2017-7108、CVE-2017-7110

CVE-2017-7112、CVE-2017-7115

CVE-2017-7128、CVE-2017-7129

CVE-2017-7130、CVE-2017-7127

 

发布时间

2017/11/03

 

影响产品

Apple iCloud

Apple macOS

Apple IOS

 

2

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2017-32275、CNVD-2017-32495

CNVD-2017-32519、CNVD-2017-32520

CNVD-2017-32522、CNVD-2017-32525

CNVD-2017-32918、CNVD-2017-32919

CNVD-2017-32920、CNVD-2017-32921

本月,Cisco多款产品存在安全漏洞。允许攻击者利用漏洞覆盖系统文件、造成拒绝服务并执行任意的命令等。本月漏洞包括:Cisco Cloud Services Platform未授权访问漏洞、Cisco   Wide Area Application Services拒绝服务漏洞(CNVD-2017-32495)、Cisco IOS XE Software命令执行漏洞、Cisco   YesMaxTotal、YesMax HD和YesQuattro   STB拒绝服务漏洞、Cisco Prime Collaboration Provisioning Tool任意文件覆盖漏洞、Cisco IoT Field Network Director拒绝服务漏洞、多款Cisco产品命令注入漏洞、Cisco Aironet Access Points拒绝服务漏洞(CNVD-2017-32919、CNVD-2017-32920)、Cisco Wireless LAN   Controller拒绝服务漏洞(CNVD-2017-32921)等。

 

其他编号

CVE-2017-12251、CVE-2017-12256

CVE-2017-6796、CVE-2017-6631

CVE-2017-6792、CVE-2017-6780

CVE-2017-12243、CVE-2017-12273

CVE-2017-12274、CVE-2017-12275

 

发布时间

2017/11/07

 

影响产品

Cisco Firepower 4100 Series Next-Generation   Firewall

Cisco Wide Area Application Services (WAAS)   Appliances

Cisco ASR 920 Series Aggregation Services   Router

Cisco Prime Collaboration Provisioning

Cisco Firepower 9300 Security Appliance

Cisco Unified Computing System Manager

Cisco Aironet 2800 Series Access Points

Cisco Aironet 3800 Series Access Points

Cisco Aironet 1560 Series Access Points

Cisco Aironet 2800 Series Access Points

Cisco Aironet 3800 Series Access Points

Cisco Aironet 1560 Series Access Points

Cisco Cloud Services Platform (CSP)

Cisco Wireless LAN Controller

Cisco IoT Field Network Director

Cisco IOS XE Software

Cisco YesMaxTotal

Cisco YesMax HD

Cisco YesQuattro STB

 

3

Google多款产品存在安全漏洞

CNVD编号

CNVD-2017-32470、CNVD-2017-32471

CNVD-2017-32472、CNVD-2017-32473

CNVD-2017-32979、CNVD-2017-32980

CNVD-2017-32984、CNVD-2017-32982

CNVD-2017-32983、CNVD-2017-32986

本月,Google多款产品存在安全漏洞。允许攻击者利用漏洞提升权限并执行任意的命令等。本月漏洞包括:Google Android MediaTek组件权限提升漏洞(CNVD-2017-32470、CNVD-2017-32471、CNVD-2017-32472、CNVD-2017-32473)、Google Android HTC   bootloader权限提升漏洞(CNVD-2017-32979)、Google Android system (camera)权限提升漏洞、Google   Android Motorola bootloader权限提升漏洞(CNVD-2017-32984)、Google Android Huawei bootloader权限提升漏洞、Google   Android MediaTek soc driver权限提升漏洞、Google Android   Broadcom wifi权限提升漏洞等。

 

其他编号

CVE-2017-0795、CVE-2017-0796

CVE-2017-0797、CVE-2017-0798

CVE-2017-0826、CVE-2017-0822

CVE-2017-0829、CVE-2017-0828

CVE-2017-0827、CVE-2017-0824

 

发布时间

2017/11/07

 

影响产品

Google Android

 

4

Oracle多款产品存在漏洞

CNVD编号

CNVD-2017-32197、CNVD-2017-32198

CNVD-2017-32199、CNVD-2017-32200

CNVD-2017-32201、CNVD-2017-32203

CNVD-2017-32204、CNVD-2017-32205

CNVD-2017-32206、CNVD-2017-32207

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞成拒绝服务(组件挂起和频繁崩溃)等。本月漏洞包括:Oracle MySQL Server拒绝服务漏洞(CNVD-2017-32197、CNVD-2017-32198、CNVD-2017-32199、CNVD-2017-32200、CNVD-2017-32201、CNVD-2017-32203、CNVD-2017-32204、CNVD-2017-32205、CNVD-2017-32206、CNVD-2017-32207)等。

 

其他编号

CVE-2017-10155、CVE-2017-10384

CVE-2017-10276、CVE-2017-10167

CVE-2017-10378、CVE-2017-10296

CVE-2017-10311、CVE-2017-10320

CVE-2017-10314、CVE-2017-10227

 

发布时间

2017/11/01

 

影响产品

Oracle MySQL Server

 

5

IBM多款产品存在漏洞

CNVD编号

CNVD-2017-32875、CNVD-2017-32876

CNVD-2017-32877、CNVD-2017-33177

CNVD-2017-33517、CNVD-2017-33610

CNVD-2017-33790、CNVD-2017-34406

CNVD-2017-34404、CNVD-2017-34478

本月,IBM多款产品存在安全漏洞,允许攻击者利用漏洞获取root访问权限并在系统上执行任意命令等。本月漏洞包括:多款IBM DB2产品本地权限提升漏洞、多款IBM DB2产品本地权限提升漏洞(CNVD-2017-32876、CNVD-2017-32877)、IBM QRadar SIEM和QRadar Incident Forensics输入验证漏洞、IBM   Security Identity Manager Virtual Appliance任意命令执行漏洞(CNVD-2017-33517)、IBM DB2和DB2 Connect Server for Linux、UNIX和Windows权限提升漏洞、多款IBM产品Service Assistant GUI权限提升漏洞、IBM Jazz Reporting Service信息泄露漏洞(CNVD-2017-34406)、IBM Security Access Manager Appliance命令注入漏洞、IBM Business Process Manager XML外部实体注入漏洞等。

 

其他编号

CVE-2017-1438、CVE-2017-1439

CVE-2017-1451、CVE-2016-9726

CVE-2017-1407、CVE-2017-1452

CVE-2017-1710、CVE-2017-1340

CVE-2017-1453、CVE-2017-1527

 

发布时间

2017/11/17

 

影响产品

IBM Jazz Reporting Service(JRS)

IBM Security Access Manager

IBM Business Process Manager

IBM QRadar Incident Forensics

IBM Security Identity Manager

IBM SAN Volume Controller

IBM FlashSystem V9000

IBM Storwize V7000

IBM Storwize V5000

IBM QRadar SIEM

IBM DB2

 

6

Microsoft多款产品存在漏洞

CNVD编号

CNVD-2017-32617、CNVD-2017-32618

CNVD-2017-32619、CNVD-2017-32622

CNVD-2017-32623、CNVD-2017-32624

CNVD-2017-32625、CNVD-2017-32663

CNVD-2017-32664、CNVD-2017-33310

11月14日,微软发布了2017年11月份的月度例行安全公告,修复了其多款产品存在的129个安全漏洞。受影响的产品包括Windows 10 v1709(11个)、Windows 10 v1703(11个)、Windows 10 v1607 and WindowsServer   2016(11个)、Windows 10 RTM(11个)、Windows 8.1 and Windows Server2012 R2(10个)、Windows Server 2012(11个)、Windows 7 and Windows Server 2008R2(11个)、Windows Server 2008(10个)、Internet Explorer (12个)、Microsoft Edg(25个)和Office(6个)。利用上述漏洞,攻击者可以执行远程代码,提升权限,获得敏感信息或进行拒绝服务攻击等。本月漏洞包括:Microsoft Windows Internet Explorer远程代码执行漏洞、Microsoft Windows Edge和Internet Explorer   JavaScript引擎远程代码执行漏洞、Microsoft Windows Internet   Explorer内存破坏漏洞、Microsoft Office内存破坏漏洞(CNVD-2017-32622)、Microsoft PowerPoint、SharePoint Enterprise Server和Office Online   Server远程代码执行漏洞、多款Microsoft产品远程代码执行漏洞、Microsoft Windows Internet Explorer和Edge   JavaScript引擎远程代码执行漏洞、Microsoft Windows Kernel   'Win32k.sys'本地权限提升漏洞(CNVD-2017-32663)、Microsoft Windows Edge和Internet Explorer远程内存破坏漏洞、Microsoft Windows和Office graphics远程代码执行漏洞等。

 

其他编号

CVE-2017-8749、CVE-2017-8748

CVE-2017-8747、CVE-2017-8744

CVE-2017-8743、CVE-2017-8742

CVE-2017-8741、CVE-2017-8675

CVE-2017-8750、CVE-2017-8682

 

发布时间

2017/11/16

 

影响产品

Microsoft SharePoint Enterprise Server 2016

Microsoft Office Compatibility Pack

Microsoft SharePoint Server 2013

Microsoft PowerPoint Viewer 2007

Microsoft Office Web Apps 2010

Microsoft Windows Server 2008

Microsoft Office Online Server

Microsoft Office Word Viewer

Microsoft Internet Explorer

Microsoft PowerPoint 2016

Microsoft PowerPoint 2007

Microsoft Windows Server 2016

Microsoft Windows Server 2012

Microsoft Windows Server 2008

Microsoft PowerPoint 2010

Microsoft PowerPoint 2013

Microsoft PowerPoint 2016

Microsoft Office 2007

Microsoft Office 2010

Microsoft Office 2013

Microsoft Office 2016

Microsoft Windows 7

Microsoft Windows 8.1

Microsoft Windows RT 8.1

Microsoft Windows 10

Microsoft Edge

 

7

Adobe多款产品存在漏洞

CNVD编号

CNVD-2017-32684、CNVD-2017-32685

CNVD-2017-35580、CNVD-2017-35581

CNVD-2017-35582、CNVD-2017-35583

CNVD-2017-35584、CNVD-2017-35585

CNVD-2017-35586、CNVD-2017-35587

本月,Adobe多款产品存在安全漏洞。允许攻击者利用漏洞执行任意代码或造成拒绝服务等。本月漏洞包括:Adobe Flash Player远程内存破坏代码执行漏洞、Adobe Flash   Player内存破坏漏洞(CNVD-2017-32685)、多款Adobe产品未初始化指针访问漏洞、多款Adobe产品未初始化指针访问漏洞(CNVD-2017-35581)、多款Adobe产品内存错误引用漏洞(CNVD-2017-35582、CNVD-2017-35583、CNVD-2017-35584、CNVD-2017-35585、CNVD-2017-35586、CNVD-2017-35587)等

 

其他编号

CVE-2017-11281、CVE-2017-11282

CVE-2017-16377、CVE-2017-16378

CVE-2017-16360、CVE-2017-16388

CVE-2017-16389、CVE-2017-16390

CVE-2017-16393、CVE-2017-16398

 

发布时间

2017/11/30

 

影响产品

Adobe Flash Player for Microsoft Edge and   Internet Explorer 11

Adobe Flash Player for Google Chrome

Adobe Flash Player Desktop Runtime

Adobe Acrobat DC (Continuous Track)

Adobe Acrobat Reader DC (Continuous Track)

Adobe Acrobat DC (Classic Track)

Adobe Acrobat Reader DC (Classic Track)

Adobe Acrobat 2017

Adobe Acrobat Reader 2017

Adobe Acrobat XI

Adobe Reader XI

 

8

Apache多款产品存在漏洞

CNVD编号

CNVD-2017-32355、CNVD-2017-33519

CNVD-2017-33574、CNVD-2017-34166

CNVD-2017-34168、CNVD-2017-34169

CNVD-2017-34170、CNVD-2017-34176

CNVD-2017-34181、CNVD-2017-34233

本月,Apache多款产品存在安全漏洞。攻击者利用漏洞绕过安全限制、执行未授权的操作、发起拒绝服务攻击或执行任意代码等。本月漏洞包括:Apache Struts远程代码执行漏洞(CNVD-2017-32355)、Apache Commons Jelly安全绕过漏洞、Apache   Solr/Lucene远程代码执行漏洞、Apache Traffic Server HTTP/2   experimental功能存在未明漏洞、Apache Brooklyn远程代码执行漏洞、Apache Spark反序列化程代码执行漏洞、Apache James java反序列化任意命令执行漏洞、Apache OpenOffice DOC文件解析远程代码执行漏洞、Apache   OpenNLP XXE漏洞、Apache CouchDB权限提升漏洞等。

 

(二)安全漏洞类型分布

   根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前9个月相比,本月操作系统漏洞、应用程序漏洞、数据库漏洞、网络设备漏洞和安全产品漏洞的数量处于高位,web应用漏洞的数量处于基本持平。漏洞按影响类型统计如下图所示。

 

(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

Advantech WebAccess堆栈缓冲溢出漏洞

CNVD-2017-32562

2017/11/3

2

Microsoft office组件EQNEDT32.EXE内存破坏漏洞

CNVD-2017-34031

2017/11/16

3

Red Hat JBoss Enterprise Application   Platform远程代码执行漏洞(CNVD-2017-33724)

CNVD-2017-33724

2017/11/13

4

WordPress WPDB SQL注入漏洞

CNVD-2017-32143

2017/11/01

5

EasyAdmin   /application/index/controller/index.php页面存在SQL注入漏洞

CNVD-2017-30752

2017/11/02

6     业界动态

6.1 船舶通信平台AmosConnect被曝后门和SQL注入漏洞

   最近,全球船只上安装的卫星通信系统SATCOM被曝受到两大高危漏洞影响:具有全系统访问权限的隐藏后门账户;登录表单存在SQL注入漏洞。任何人均可查看AtmosConnect的源代码,通过authenticateBackdoorUser逆向推算出密码。攻击者可借助该漏洞滥用AmosConnect任务管理器在远程系统上执行具有SYSTEM权限的命令。除了该后门,登录表单中的SQL注入漏洞也对该平台构成影响,攻击者可访问内部数据库存储的凭证。

参考链接: https://www.easyaq.com/news/703213534.shtml?from=timeline&isappinstalled=0

6.2 关于海莲花(OceanLotus)APT团伙新活动的通告

   2017年11月6日,国外安全公司Volexity发布了一篇关于疑似海莲花APT团伙新活动的报告,该报告指出攻击团伙攻击了与政府、军事、人权、民主、媒体和国家石油勘探等有关的个人和组织的100多个网站。通过针对性的JavaScript脚本进行信息收集,修改网页视图,配合社会工程学诱导受害人点击安装恶意软件或者登陆钓鱼页面,以进行下一步的攻击渗透。

Volexity将这次攻击行动与2015年由SkyEye实验室首先确定为OceanLotus的高级持续威胁(APT)小组绑定。OceanLotus也被称为APT32,被认为是越南APT组织,其攻击日益复杂战术,技术和程序(TTP)。

参考链接:https://www.volexity.com/blog/2017/11/06/oceanlotus-blossoms-mass-digital-surveillance-and-exploitation-of-asean-nations-the-media-human-rights-and-civil-society/

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版