学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2018年1月网络安全月报
作者: 来源: 时间:2018-03-01 点击数:

中国地质大学校园网网络安全情况月报

2018年1月   (第W0025期)  总第25期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 5

2.5      网站黑链事件... 5

3       安全事件分析... 6

3.1      入侵事件分析... 6

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 7

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 7

5       安全预警信息... 8

6       业界动态... 15

6.1      关于PHP GD Graphics Library存在拒绝服务漏洞的安全公告... 15

6.2      关于OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞的安全公告... 16

6.3      Oracle发布2018年01月的安全公告... 18

 


 

1   情况综述

2018年1月1日至2018年1月31日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共308862起,近期服务器受到攻击的事件共280151起;可能感染病毒木马的僵尸主机共41台,其中确定的僵尸主机共28台;对外发生的DoS攻击事件共35起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共28711起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.205.36

19726

2

202.114.207.36

4451

3

10.100.0.21

612

4

10.100.0.22

597

5

202.114.205.96

352

6

202.114.201.140

309

7

202.114.202.207

277

8

10.16.0.102

246

9

202.114.205.235

244

10

10.16.0.17

241

11

其他IP

1656

总计

28711


(二)    服务器安全事件(共280151起):

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

71030

2

202.114.202.223

21659

3

202.114.196.49

9826

4

202.114.202.219

9473

5

202.114.202.214

6737

6

202.114.196.42

4771

7

202.114.204.253

4560

8

202.114.196.199

4437

9

202.114.196.87

4416

10

202.114.196.2

3913

11

其他

82958

总计

179502


2.2 入侵事件

已被黑客攻陷的服务器:无

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月共有29次对外DOS攻击事件,攻击源IP均为202.114.207.36,建议该服务器主机及时登录系统排查安全问题。

2.5 网站黑链事件

本月被植入黑链的网站:无


3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞356个,中危漏洞189个,低危漏洞198个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有28台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共35次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月0起黑链风险。

4   安全事件处置情况

2018年1月1日至2018年1月31日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件308862起,其中入侵事件280151起,木马僵尸事件28起,对外DoS攻击事件35起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞241个,其中高危漏洞109个、中危漏洞115个、低危漏洞17个。漏洞平均分值为6.58。本周收录的漏洞中,涉及0day漏洞30个(占12%),其中互联网上出现Joomla! JEXTN VideoGallery extension SQL注入漏洞、GetGo Download Manager缓冲区溢出漏洞等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数671个,与上周(532个)环比增长26%。

(一)重要漏洞信息

1存在第三方帐号快捷登录授权劫持漏洞

OAuth(Open Authorization)是一个关于授权的开放网络标准。本周,该产品被披露存在第三方帐号快捷登录授权劫持漏洞,攻击者可通过登录受害者账号,获取存储在第三方移动应用上的敏感信息。

CNVD收录的相关漏洞包括:OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622

2、Oracle产品安全漏洞

Oracle Hyperion是美国甲骨文(Oracle)公司的一套财务建模应用软件。Oracle SunSystems Products Suite是Sun系统产品包。Oracle VMVirtualBox是其中的一个虚拟机组件。Oracle MySQL是一套开源的关系数据库管理系统。本周,上述产品被披露存在未明和权限提升漏洞,攻击者可利用该漏洞控制组件,影响数据的保密性、完整性和可用性。

CNVD收录的相关漏洞包括:Oracle Hyperion Planning组件存在未明漏洞、Oracle Sun Systems Products Suite存在未明漏洞(CNVD-2018-01953、CNVD-2018-01954)、Oracle VM VirtualBox权限提升漏洞(CNVD-2018-02055、CNVD-2018-02056、CNVD-2018-02061、CNVD-2018-02062)、Oracle MySQL Server存在未明漏洞(CNVD-2018-02063)。上述漏洞的综合评级为高危。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01529

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01953

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01954

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02055

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02056

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02061

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02062

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02063

3、TP-Link产品安全漏洞

TP-Link WVR、WAR和ER devices都是中国普联(TP-LINK)公司的不同系列的路由器产品。本周,上述产品被披露存在任意命令执行漏洞,远程攻击者可通过文件中的变量注入命令利用该漏洞执行任意命令。

CNVD收录的相关漏洞包括:TP-Link WVR、WAR和ER设备任意命令执行漏洞(CNVD-2018-01907、CNVD-2018-01908、CNVD-2018-01909、CNVD-2018-01910、CNVD-2018-01911、CNVD-2018-01912、CNVD-2018-01913、CNVD-2018-01914)。上述漏洞的综合评级为高危。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01907

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01908

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01909

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01910

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01911

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01912

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01913

http://www.cnvd.org.cn/flaw/show/CNVD-2018-01914

4、Cisco产品安全漏洞

Cisco PrimeInfrastructure是美国思科(Cisco)公司的一套技术进行无线管理的解决方案。Cisco IOS Software/NX-OSSystem是一套操作系统。Cisco StarOS operating system是一套虚拟化操作系统。Cisco WebExMeetings Server是一套包含音频、视频和Web会议的多功能会议解决方案。Cisco PrimeService Catalog(PSC)是一套通过单一的门户网站提供所有IT服务的服务目录解决方案。Cisco SmallBusiness Managed Switches software是一套交换机管理软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:Cisco PrimeInfrastructure权限提升漏洞(CNVD-2018-02043)、Cisco IOS Software拒绝服务漏洞(CNVD-2018-02048)、Cisco StarOS命令注入漏洞、Cisco WebExMeetings Server权限提升漏洞、Cisco Prime Service Catalog跨站请求伪造漏洞、Cisco SmallBusiness Switches跨站脚本漏洞、Cisco NX-OS System Software未授权操作漏洞、Cisco SmallBusiness 300 and 500 Series HTTP响应拆分漏洞。其中Cisco PrimeInfrastructure权限提升漏洞(CNVD-2018-02043)、Cisco IOS Software拒绝服务漏洞(CNVD-2018-02048)、Cisco StarOS命令注入漏洞综合评级为高危目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02043

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02048

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02053

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02054

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02041

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02050

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02052

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02049

5、Joomla! JEXTN FAQ Pro extension SQL注入漏洞

Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),本周,Joomla!被披露存在SQL注入漏洞,攻击者可借助view=category操作中的id参数利用该漏洞注入SQL命令。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-01623

(二)安全漏洞类型分布

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,本周,CNVD收录了241个漏洞。其中应用程序漏洞155个,WEB应用漏洞42个,网络设备漏洞32个,数据库漏洞6个,安全产品漏洞5个,操作系统漏洞1个。

(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-01631

Auth0 passport-wsfed-saml2权限提升漏洞

厂商已发布漏洞修复程序,请及时关注更新:https://auth0.com/docs/security/bulletins/cve-2017-16897

CNVD-2018-01940

Mozilla   Thunderbird命令执行漏洞

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:   https://www.mozilla.org/en-US/security/advisories/mfsa2017-30/

CNVD-2018-02025

Siemens   S7-300 PLC通讯模块存在命令执行漏洞

厂商已提供漏洞修补方案,请关注厂商主页及时更新: https://www.siemens.com/cn/zh/home.html

CNVD-2018-01794

Siemens   DESIGO PX固件文件上传漏洞

目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:  https://www.siemens.com/cert/advisories

CNVD-2018-01931

Polycom   HDX端点远程执行代码漏洞

用户可联系供应商获得补丁信息:   http://www.polycom.com/

CNVD-2018-01641

Dolibarr   ERP/CRM SQL注入漏洞(CNVD-2018-01641)

厂商已发布漏洞修复程序,请及时关注更新:   https://github.com/Dolibarr/dolibarr/commit/4a5988accbb770b74105baacd5a034689272128c

CNVD-2018-01643

Dolibarr   ERP/CRM SQL注入漏洞(CNVD-2018-01643)

厂商已发布漏洞修复程序,请及时关注更新:   https://github.com/Dolibarr/dolibarr/commit/4a5988accbb770b74105baacd5a034689272128c

CNVD-2018-01644

Dolibarr   ERP/CRM SQL注入漏洞(CNVD-2018-01644)

厂商已发布漏洞修复程序,请及时关注更新:   https://github.com/Dolibarr/dolibarr/commit/4a5988accbb770b74105baacd5a034689272128c

CNVD-2018-01943

Sony   Music Center for PC不可信搜索路径漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:   https://musiccenter.sony.net


6     业界动态

6.1 关于PHP GD Graphics Library存在拒绝服务漏洞的安全公告

2018年1月18日,国家信息安全漏洞共享平台(CNVD)收录了PHP GD Graphics Library存在拒绝服务漏洞(CNVD-2018-02505,对应CVE-2018-5711)。综合利用上述漏洞,攻击者可以构造恶意GIF文件,远程利用PHP函数形成无限循环的方式发起拒绝服务攻击。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。

一、漏洞情况分析

PHP(超文本预处理器)是一种通用开源脚本语言。GD Graphics Library(又名libgd或libgd2)是一个开源的用于动态创建图像的库,它支持创建图表、图形和缩略图等,广泛应用于PHP语言的开发。

该漏洞触发的前提条件为受影响版本的PHP,并且使用了libgd库,漏洞文件存在于ext/gd/libgd/gd_gif_in.c。在LWZReadByte_函数存在一个循环(while-loop),该循环里GetCode_函数会调用GetDataBlock来读取GIF图片中的数据,但由于GetCode_函数未能正确处理int到unsigned char的类型转换,导致PHP在解析特定GIF文件调用PHP函数imagecreatefromgif或imagecreatefromstring时出现死循环,从而导致服务器计算资源大量消耗,直至崩溃宕机。该漏洞允许远程攻击者利用该漏洞导致拒绝服务攻击。

CNVD对上述漏洞的综合评级为高危

二、漏洞影响范围

PHP 5 < 5.6.33版本

PHP 7.0 < 7.0.27版本

PHP 7.1 < 7.1.13版本

PHP 7.2 < 7.2.1版本

三、漏洞修复建议

目前,厂商已发布升级新版本以修复该漏洞,最新版本下载链接:

http://php.net/downloads.php

附:参考链接:

http://php.net/ChangeLog-7.php

https://bugs.php.net/bug.php?id=75571

http://www.cnvd.org.cn/flaw/show/CNVD-2018-02505

6.2 关于OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞的安全公告

2018年1月21日,国家信息安全漏洞共享平台(CNVD)接收了OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞(CNVD-2018-01622)。综合利用上述漏洞,攻击者可通过登录受害者账号,获取存储在第三方移动应用上的敏感信息。由于OAuth广泛应用于微博等社交网络服务,漏洞一旦被黑客组织利用,可能导致用户隐私信息泄露。

一、漏洞情况分析

OAuth(Open Authorization)是一个关于授权的开放网络标准,允许用户授权第三方移动应用,访问用户存储在其他服务提供者上的信息,而无需将用户名和密码提供给第三方移动应用或分享数据的所有内容。

该漏洞利用OAuth第三方授权无需用户名和密码的特点,结合redirect_uri未指定授权目录引发用户劫持攻击。攻击者通过登录某种社交网络服务,修改链接redirect_uri参数值指向,将伪造后的用户授权链接发给目标用户,当目标用户点击或被欺骗访问上述授权链接进行登陆后,攻击者即可通过referer获取用户授权,快速登录目标用户账号,还可登陆该账号绑定的其他网站信息,查看敏感信息或执行授权操作,还可以利用受害人账号进行非法信息传播、诈骗等非法行为。

CNVD对上述漏洞的综合评级为中危

二、漏洞影响范围

上述漏洞影响采用第三方登陆授权方式的服务。

三、漏洞修复建议

CNVD建议第三方应用平台采取如下措施进行漏洞的防范,同时请广大用户注意第三方授权链接,谨慎输入账号密码:

1. 在注册第三方授权时,redirect_uri需要限制到指定网站的指定目录,比如redirect_uri注册为passport.aaa.com/oauth/,而非aaa.com或者passport.aaa.com。

2. 禁止非源跳转。通过增加网站跳转的判断条件,禁止对非本网站的链接进行跳转。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622

6.3 Oracle发布2018年01月的安全公告

01月16日,Oracle发布了2018年01月份的安全更新,修复了其多款产品存在的238个安全漏洞。受影响的产品包括Oracle Database Server数据库(5个)、MySQL数据库(25个)、电子商务套装软件Oracle E-Business Suite(7个)、中间件产品Fusion Middleware(27个)、Oracle Siebel托管型CRM软件(2个);JD Edwards产品(2个)、PeopleSoft产品(15个);CommunicationsApplications(10个)、Construction and Engineering Suite(1个)、Financial ServicesApplications(34个)、Health Sciences Applications(7个)、Hospitality Applications(21个)、Hyperion(4个)、Java SE(21个)、Java Micro Edition(1个)、Retail Applications(12个)、Sun Systems ProductsSuite(13个)、Supply Chain Products Suite(14个)、Support Tools(3个)和Virtualization(14个)。

本次安全更新提供了针对123个高危漏洞的补丁,有216个漏洞可被远程利用。CNVD提醒广大Oracle用户,请及时下载补丁更新,避免引发漏洞相关的安全事件。

参考信息:

http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版