学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2018年2月网络安全月报
作者: 来源: 时间:2018-03-01 点击数:

中国地质大学校园网网络安全情况月报

2018年2月   (第W0026期)  总第26期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 5

2.5      网站黑链事件... 5

3       安全事件分析... 6

3.1      入侵事件分析... 6

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 7

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 7

5       安全预警信息... 8

6       业界动态... 15

6.1      苹果ios iBoot源码泄露... 15

6.2      MySQL多个远程安全漏洞大批版本受影响... 15

6.3      关于Intel AMT存在高危漏洞的安全公告... 16

 


 

1   情况综述

2018年2月1日至2018年2月28日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共185042起,近期服务器受到攻击的事件共147156起;可能感染病毒木马的僵尸主机共35台,其中确定的僵尸主机共31台;对外发生的DoS攻击事件共1起,被植入黑链的网站共0个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共37886起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.205.36

20744

2

202.114.196.179

3284

3

202.114.196.215

2113

4

10.100.0.22

1493

5

10.100.0.21

1467

6

202.114.205.96

1022

7

202.114.201.140

921

8

202.114.207.36

748

9

10.16.0.102

622

10

10.16.0.17

614

11

其他IP

4858

总计

37866


(二)    服务器安全事件(共280151起):

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

34925

2

202.114.202.223

26645

3

202.114.196.38

16718

4

202.114.196.49

5462

5

202.114.207.189

4085

6

202.114.202.219

3250

7

202.114.196.114

3063

8

202.114.196.115

2565

9

202.114.196.42

2120

10

202.114.196.60

2021

11

其他

46337

总计

147191


2.2 入侵事件

已被黑客攻陷的服务器:无

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月共有1次对外DOS攻击事件,攻击源IP均为202.114.207.36,建议该服务器主机及时登录系统排查安全问题。

2.5 网站黑链事件

本月被植入黑链的网站:无


3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞368个,中危漏洞168个,低危漏洞178个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有31台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共1次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月0起黑链风险。

4   安全事件处置情况

2018年1月1日至2018年1月31日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件185042起,其中入侵事件147156起,木马僵尸事件31起,对外DoS攻击事件1起,网站黑链事件0起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞146个,其中高危漏洞31个、中危漏洞95个、低危漏洞20个。漏洞平均分值为5.56。本周收录的漏洞中,涉及0day漏洞102个(占36%),其中互联网上出现“Joomla! Component CW TagsSQL注入漏洞、RISE Ultimate ProjectManager SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数374个,与上周(495)个环比降低24%。

(一)重要漏洞信息

1Jiangmin产品安全漏洞

Jiangmin Antivirus是中国江民(Jiangmin)新科技术公司的一套在线杀毒软件。本周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。

CNVD收录的相关漏洞包括:JiangminAntivirus拒绝服务漏洞(CNVD-2018-03290、CNVD-2018-03291、CNVD-2018-03292、CNVD-2018-03293、CNVD-2018-03294、CNVD-2018-03295、CNVD-2018-03296、CNVD-2018-03297)。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03290

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03291

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03292

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03293

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03294

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03295

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03296

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03297

2Apache产品安全漏洞

Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库。 Apache Jmeter是一款开源的Java应用程序;Apache Hadoop是一套开源的分布式系统基础架构;Apache NiFi是一套基于数据流的数据处理和分发系统;ApacheGuacamole是一款无客户端远程桌面网关。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、执行任意代码或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Apache Geodecluster信息泄露漏洞、Apache Geode代码执行漏洞、Apache Guacamole terminal emulator缓冲区溢出漏洞、Apache HadoopYARN NodeManager密码泄露漏洞、Apache Hadoop信息泄露漏洞(CNVD-2018-03273)、Apache NiFi代码执行漏洞、Apache POI拒绝服务漏洞(CNVD-2018-03242)、Apache JMeter远程命令执行漏洞。其中,“Apache POI拒绝服务漏洞(CNVD-2018-03242)、Apache JMeter远程命令执行漏洞”的综合评级为“高危”。目前,厂商已经发布了除“Apache JMeter远程命令执行漏洞”以外漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03221

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03254

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03281

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03249

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03273

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03217

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03242

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03472

3Extreme Networks产品安全漏洞

Extreme NetworksExtremeWireless WiNG是美国极进网络(Extreme Networks)公司的一款无线接入解决方案。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击、提升权限或执行任意代码等。

CNVD收录的相关漏洞包括:ExtremeNetworks ExtremeWireless WiNG堆溢出漏洞(CNVD-2018-03320、CNVD-2018-03321)、ExtremeNetworks ExtremeWireless WiNG拒绝服务漏洞(CNVD-2018-03323、CNVD-2018-03324)、ExtremeNetworks ExtremeWireless WiNG权限提升漏洞、Extreme Networks ExtremeWireless WiNG身份验证绕过漏洞、ExtremeNetworks ExtremeWireless WiNG硬编码AES密钥漏洞、ExtremeNetworks ExtremeWireless WiNG栈溢出漏洞(CNVD-2018-03317)。其中,“ExtremeNetworks ExtremeWireless WiNG拒绝服务漏洞(CNVD-2018-03323、CNVD-2018-03324)、ExtremeNetworks ExtremeWireless WiNG权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03320

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03321

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03323

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03324

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03326

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03318

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03325

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03317

4Linux产品安全漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。本周,该产品被披露存在拒绝服务、信息泄露和内存错误引用漏洞漏洞,攻击者可利用漏洞发起拒绝服务攻击或泄露敏感信息等。

CNVD收录的相关漏洞包括:Linux kernel拒绝服务漏洞(CNVD-2018-03215、CNVD-2018-03255、CNVD-2018-03256)、Linux kernel内存错误引用漏洞(CNVD-2018-03259、CNVD-2018-03260)、Linux kernel信息泄露漏洞(CNVD-2018-03263)。其中,“Linux kernel内存错误引用漏洞(CNVD-2018-03259)” 的综合评级为“高危”。目前,厂商已经发布了除“Linux kernel拒绝服务漏洞(CNVD-2018-03255)”以外漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03215

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03255

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03256

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03259

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03260

http://www.cnvd.org.cn/flaw/show/CNVD-2018-03263


5Joomla! Component CW Tags SQL注入漏洞

Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS)。本周,Joomla!被披露存在SQL注入漏洞,攻击者可利用该漏洞危及应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-03430

(二)安全漏洞类型分布

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,本周,CNVD收录了146个漏洞。其中应用程序漏洞71个,安全产品漏洞28个,操作系统漏洞22个,WEB应用漏洞19个,网络设备漏洞6个。


(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-03218

GitHub Electron任意命令执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://github.com/electron/electron/releases/tag/v1.8.2-beta.4

CNVD-2018-03232

ClamAV内存错误引用漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html

CNVD-2018-03233

ClamAV缓冲区越边界读取漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html

CNVD-2018-03239

ClamAV空指针解引用漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html

CNVD-2018-03258

MC RSA Authentication Manager Security   Console SQL注入漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  http://www.emc2.com

CNVD-2018-03259

Linux kernel内存错误引用漏洞(CNVD-2018-03259)

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.13.6

CNVD-2018-03276

NetIQ Access Manager任意代码执行漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  https://www.novell.com/support/kb/doc.php?id=7022443

CNVD-2018-03424

Apple macOS High Sierra IOHIDFamily内存破坏漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://support.apple.com/zh-cn/HT208465

CNVD-2018-03422

多款Huawei产品eSap   software platform堆缓冲区溢出漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  http://www.huawei.com/en/psirt/security-advisories/hw-345171

CNVD-2018-03436

Apple iOS/watchOS/tvOS/macOS High Sierra内存破坏漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://support.apple.com/zh-cn/HT201222


6     业界动态

6.1 苹果ios iBoot源码泄露

近日,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分—— iBoot,iBoot相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS与MacOS系统开发者Jonathan Levin表示,这是 iOS 历史上最严重的一次泄漏事件。苹果于当地时间2018年2月8日上午发表声明称,证实泄露到GitHub上的代码确实是iBoot源代码,但强调对iPhone安全没有影响。苹果方面认为,苹果产品的安全性并不取决于源代码的保密性。苹果的产品还内置了许多硬件和软件保护层来保障用户的安全。

参考链接:https://www.easyaq.com/news/618886048.shtml

6.2 MySQL多个远程安全漏洞大批版本受影响

近日,MySQL爆出多个远程安全漏洞,CVE编号CVE-2018-2562及CVE-2018-2591,CVE-2018-2562漏洞影响版本包括,5.5.58及之前版本,5.6.38及之前版本,5.7.19之前版本。CVE-2018-2591漏洞影响版本包括5.6.38及之前版本,5.7.19及之前版本。在服务器分区中,MySQL服务器很容易出现远程安全漏洞。该漏洞可以在“MySQL”协议上被利用。

参考链接:http://toutiao.secjia.com/cve-2018-2562-91

6.3 关于Intel AMT存在高危漏洞的安全公告

1月15日,国家信息安全漏洞共享平台(CNVD)收录了Intel AMT存在高危安全漏洞(CNVD-2018-00925)。利用上述漏洞,攻击者可以完全控制目标用户的笔记本电脑。目前,漏洞细节尚未公开。

一、漏洞情况分析

Intel AMT,全称INTEL Active Management Technology(英特尔主动管理技术),实质上是一种集成在芯片组中的嵌入式系统,独立于特定操作系统。该技术允许管理者远程管理和修复联网的计算机系统,且实施过程对服务对象完全透明。

该漏洞存在于Intel AMT主动管理技术,导致即使采用诸如BIOS密码,BitLocker,TPM Pin或传统防病毒软件等安全措施,该漏洞依然可被利用。综合利用漏洞,攻击者可借助Intel管理引擎BIOS扩展(MEBx)默认密码“admin”功能进行登录,获取系统完全控制权限,窃取数据、还可在设备上部署恶意软件。区别于Meltdown和Spectre,成功利用此漏洞(尚未命名)需要物理访问设备。

漏洞攻击场景如下:

(1) 攻击者需要本地对计算机进行操作;

(2)重启上述笔记本电脑,进入启动菜单,通过使用英特尔管理引擎BIOS扩展(MEBx)功能,即默认密码“admin”登录;

(3)修改上述(2)中默认密码,启用远程访问,并将AMT用户选择加入‘无’来有效地破坏机器。此外,有关研究表示,攻击者可将所使用IP插入与目标用户相同的网段进行远程访问。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞存在于英特尔(Intel) AMT主动管理技术,针对笔记本电脑产品,尤其搭载英特尔企业级vPro处理器产品。

三、处置措施

目前,Intel厂商还未给出回应,CNVD建议广大用户加强对计算机资产的安全管理,且修改AMT默认密码为高复杂强度密码,或禁用AMT默认密码功能,还可及时关注Intel官网 。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-00925

https://www.sintonen.fi/advisories/intel-active-management-technology-mebx-bypass.txt

联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版