学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2017年12月网络安全月报
作者: 来源: 时间:2018-03-01 点击数:

中国地质大学校园网网络安全情况月报

2017年12月   (第W0024期)  总第24期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 6

3.1      入侵事件分析... 6

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 7

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 7

5       安全预警信息... 8

6       业界动态... 14

6.1      关于Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全公告     14

6.2      关于惠普笔记本电脑键盘驱动存在记录器后门漏洞的通告... 15

6.3      关于Polo Alto Networks防火墙操作系统尊在远程代码执行漏洞的通告... 16

7       联系我们... 16

 


 

1   情况综述

2017年12月1日至2017年12月27日,我校总体网络安全情况良好,未发生重大的网络安全事件。本月收到“教育行业漏洞报告平台”通报2起,采购与招标管理中心(cgzb.cug.edu.cn)网站漏洞,学校办公系统(oaapp.cug.edu.cn)权限配置隐患。均第一时间通知网站负责人整改,目前已全部修复。

根据监测分析,我校发生的安全威胁事件共195805起,近期服务器受到攻击的事件共4551起;可能感染病毒木马的僵尸主机共14台,其中确定的僵尸主机共5台;对外发生的DoS攻击事件共29起,被植入黑链的网站共2个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共16395起):

主机类型分类统计:

 

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

7974

 

2

202.114.205.36

7502

 

3

202.114.202.207

866

 

4

202.114.196.192

22

 

5

218.199.137.24

11

 

6

218.199.137.22

8

 

7

202.114.196.97

3

 

8

202.114.207.75

3

 

9

218.199.137.1

2

 

10

123.59.59.66

2

 

11

其他IP

2

 

总计

12103

(二)    服务器安全事件(共179502起):

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

46591

2

202.114.202.223

17054

3

202.114.196.199

7270

4

202.114.202.219

5932

5

202.114.196.44

4757

 

6

202.114.196.127

3549

 

7

202.114.196.42

3211

 

8

202.114.196.189

2812

 

9

202.114.196.60

2807

 

10

202.114.202.214

2561

 

11

其他

82958

 

总计

179502

 


2.2 入侵事件

已被黑客攻陷的服务器(本月2):

序号

服务器地址

攻陷原因

备注

1

gjjyxy.cug.edu.cn202.114.196.199

黑链

2

www.jzyi.net202.114.196.192

apple.zol.com.cn202.114.196.192

域名异常

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月共有29次对外DOS攻击事件,攻击源IP均为202.114.207.36,建议该服务器主机及时登录系统排查安全问题。

2.5 网站黑链事件

本月有2起被植入黑链的网站。

其中202.114.196.192服务器的域名apple.zol.com.cn存在异常,建议服务器管理原及时排查。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞339个,中危漏洞229个,低危漏洞203个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有5台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共29次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月2起黑链风险。

4   安全事件处置情况

2017年12月1日至2017年12月27日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件195805起,其中入侵事件4551起,木马僵尸事件14起,对外DoS攻击事件29起,网站黑链事件2起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞440个,其中高危漏洞194个、中危漏洞202个、低危漏洞44个。漏洞平均分值为6.06本周收录的漏洞中,涉及0day漏洞142个(占32%),其中互联网上出现“PHICOMM K2(PSG1218)输入验证漏洞、Debut embedded http server拒绝服务漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数466个,与上周(567个)环比减少18%。

(一)重要漏洞信息

1、IBM产品安全漏洞

IBM Sterling File Gateway是美国IBM公司的一套文件传输软件,IBM AtlaseDiscovery Process Management是一款信息生命周期治理解决方案中的产品,IBM Tivoli Monitoring是系统监控软件,IBM Jazz forService Management是一款提供对服务管理环境可见性的集成服务管理产品。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取数据库敏感信息、执行任意代码或绕过安全限制等。

CNVD收录的相关漏洞包括:IBM Jazz forService Management跨站请求伪造漏洞(CNVD-2017-37857、CNVD-2017-37866)、IBM AtlaseDiscovery Process Management SQL注入漏洞、IBM FinancialTransaction Manager SQL注入漏洞、IBM QRadar命令注入漏洞、IBM SecurityGuardium Database Activity Monitor SQL注入漏洞、IBM SterlingFile Gateway安全绕过漏洞、IBM Tivoli Monitoring任意代码执行漏洞。除“IBM Jazz forService Management跨站请求伪造漏洞(CNVD-2017-37857、CNVD-2017-37866)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37857

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37866

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37592

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37588

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37867

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37858

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37582

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37722

2、Huawei产品安全漏洞

Huawei AR120-S等都是中国华为(Huawei)公司的路由器产品,Huawei S12700等是智能路由交换机。Huawei USG系列产品及Secospace USG系列是新一代专业入侵防御和防火墙产品。Huawei 畅享5S是一款智能手机。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取数据、泄露内存信息或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:多款Huawei产品IPv6协议越边界读取漏洞、多款Huawei产品输入校验漏洞、多款Huawei产品输入验证漏洞(CNVD-2017-37728)、多款Huawei防火墙产品存在内存泄露漏洞、多款Huawei路由器产品数值计算错误漏洞、多款Huawei产品拒绝服务漏洞(CNVD-2017-37724、CNVD-2017-37726)、Huawei 畅享5S信息泄露漏洞。除“多款Huawei产品拒绝服务漏洞(CNVD-2017-37726)、Huawei 畅享5S信息泄露漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37845

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37723

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37728

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37507

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37844

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37724

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37726

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37499

3、Quest产品安全漏洞

Quest NetVault Backup是美国Quest Software公司的一套数据备份软件。本周,该产品被披露存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

CNVD收录的相关漏洞包括:Quest NetVaultBackup SQL注入漏洞(CNVD-2017-37630、CNVD-2017-37631、CNVD-2017-37632、CNVD-2017-37633、CNVD-2017-37634、CNVD-2017-37635、CNVD-2017-37636、CNVD-2017-37637)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37630

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37631

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37632

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37633

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37634

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37635

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37636

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37637

4、QNAP产品安全漏洞

QNAP QTS是中国威联通(QNAP Systems)公司的一套Turbo NAS作业系统。Video Station是其中的一个视频播放器。本周,上述产品被披露存在缓冲区溢出和SQL注入漏洞,攻击者可利用漏洞执行任意代码或获取数据库敏感信息。

CNVD收录的相关漏洞包括:QNAP QTS缓冲区溢出漏洞、QNAP QTS缓冲区溢出漏洞(CNVD-2017-37605、CNVD-2017-37606、CNVD-2017-37607、CNVD-2017-37608、CNVD-2017-37609、CNVD-2017-37610)、QNAP VideoStation命令注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37604

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37605

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37606

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37607

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37608

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37609

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37610

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37603

5、多款Shenzhen Tenda产品app_data_center命令注入漏洞

Shenzhen Tenda Ac9等都是中国腾达(Tenda)公司的无线路由器产品。本周,Tenda被披露存在命令注入漏洞,远程攻击者可通过发送特制的cgi-bin/luci/usbeject?dev_name=GET请求利用该漏洞执行任意的操作系统命令。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-37811

(二)安全漏洞类型分布

   根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,CNVD收录了440个漏洞。其中应用程序漏洞296个,web应用漏洞60个,网络设备漏洞60个,操作系统漏洞18个,安全产品漏洞4个,数据库漏洞2个。

(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2017-37282

ldns双重释放漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  https://git.nlnetlabs.nl/ldns/commit/?id=c8391790

CNVD-2017-37570

Xen 'Hypervisor'内存破坏漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://xenbits.xen.org/xsa/advisory-249.html

CNVD-2017-37577

Xen '/mm/hap/hap.c'内存破坏漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://xenbits.xen.org/xsa/advisory-248.html

CNVD-2017-37604

QNAP QTS缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  https://www.qnap.com/en/security-advisory/nas-201712-15

CNVD-2017-37614

iBall iB-WRA300N3GT权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  https://www.iball.co.in

CNVD-2017-37689

WECON LeviStudio HMI堆缓冲区溢出漏洞

用户可联系供应商获得补丁信息:
  http://www.we-con.com.cn/en/download.aspx?id=45

CNVD-2017-37710

xrdp 'scp_v0s_accept'函数拒绝服务漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  https://github.com/neutrinolabs/xrdp/pull/958

CNVD-2017-37715

PCRE本地堆栈缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  http://www.pcre.org/

CNVD-2017-37821

Ipsilon存在未明漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
  https://ipsilon-project.org/release/2.1.0.html

CNVD-2017-37822

Ikiwiki提权漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
  https://ikiwiki.info/security/#index46h2

6     业界动态

6.1 关于Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全公告

   最近,近日,国家信息安全漏洞共享平台(CNVD)收录了 Apache Struts2的两个中危漏洞,分别是:S2-054拒绝服务漏洞(CNVD-2017-35898,对CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,对应CVE-2017-7525)。攻击者可利用上述漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。

参考链接:

https://cwiki.apache.org/confluence/display/WW/S2-054

https://cwiki.apache.org/confluence/display/WW/S2-055

6.2 关于惠普笔记本电脑键盘驱动存在记录器后门漏洞的通告

近日,国家信息安全漏洞共享平台(CNVD)收录了惠普笔记本电脑键盘驱动存在的记录器后门漏洞(CNVD-2016-00711)。攻击者利用该漏洞可以监视用户并获取敏感信息。

安全研究人员发布公告称惠普笔记本电脑键盘驱动存在的记录器后门漏洞,键盘记录代码出现在SynTP. sys文件中,是“Synaptics”触摸板驱动程序的一部分,它可以驱动一些HP笔记本模型。默认情况下,日志是禁用的,但可以通过设置注册表值来启用,注册表键为:

HKLM\Software\Synaptics\%ProductName%HKLM\Software\Synaptics\%ProductName%\Default

恶意软件的开发者可以通过修改注册表键值来启用键盘记录行为,并使用原生本地内核签名工具监视用户,这些工具无法被安全产品检测到。 CNVD对该漏洞的综合评级为“高危”。

参考链接:

https://support.hp.com/us-en/document/c05827409

6.3 关于Polo Alto Networks防火墙操作系统尊在远程代码执行漏洞的通告

近日,近日,国家信息安全漏洞共享平台(CNVD)收录了Palo Alto Networks防火墙操作系统PAN-OS远程代码执行漏洞(CNVD-2017-37056,对应CVE-2017-15944)。允许远程攻击者通过包含管理接口的向量来执行任意代码。

Palo Alto Networks PAN-OS是美国Palo AltoNetworks公司为其下一代防火墙设备开发的一套操作系统。 2017年12月12日,Palo AltoNetworks公司发布了PAN-OS安全漏洞公告,修复了PAN-OS多个漏洞,通过组合利用这些不相关的漏洞,攻击者通过设备的管理接口可以在最高特权用户的上下文中远程执行代码。CNVD对该漏洞的综合评级为“高危”。

参考链接:

https://securityadvisories.paloaltonetworks.com/Home/Detail/102

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通


官方企业微信

手机客户端IOS版

手机客户端安卓版
信息化地图

网络与信息中心,网络维护:02767885175  管理入口

  • 手机版