2018年3月网络安全月报-网络与教育技术中心
学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2018年3月网络安全月报
作者: 来源: 时间:2018-04-13 点击数:

中国地质大学校园网网络安全情况月报

2018年3月   (第W0027期)  总第27期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 5

2.5      网站黑链事件... 6

3       安全事件分析... 6

3.1      入侵事件分析... 6

3.2      木马僵尸事件分析... 7

3.3      对外DoS攻击事件分析... 7

3.4      网站黑链事件分析... 8

4       安全事件处置情况... 8

5       安全预警信息... 8

6       业界动态... 15

6.1      关于Drupal core远程代码执行漏洞的安全公告... 15

6.2      关于Exim SMTP Mail Server存在缓冲区溢出漏洞的安全公告... 17

 


 

1   情况综述

2018年3月1日至2018年3月31日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共194521起,近期服务器受到攻击的事件共164194起;可能感染病毒木马的僵尸主机共47台,其中确定的僵尸主机共28台;对外发生的DoS攻击事件共37起,被植入黑链的网站共1个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共30341起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.205.36

15988

 

2

202.114.207.36

4256

 

3

202.114.202.223

2275

 

4

202.114.196.215

2030

 

5

202.114.205.96

722

 

6

202.114.201.140

661

 

7

202.114.196.179

434

 

8

202.114.196.11

407

 

9

202.114.200.205

373

 

10

202.114.205.218

353

 

11

其他IP

2842

 

总计

30341


(二)    服务器安全事件(共164194起):

序号

主机地址

受到攻击次数

备注

1

202.114.202.223

53879

2

202.114.207.64

40654

3

202.114.196.60

6033

4

202.114.207.189

4218

5

202.114.202.219

4136

 

6

202.114.196.42

3750

 

7

202.114.196.199

3152

 

8

202.114.196.228

2581

 

9

202.114.202.214

2250

 

10

202.114.196.87

2002

 

11

其他

41539

 

总计

164194

 


2.2 入侵事件

已被黑客攻陷的服务器:202.114.202.223

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月共有37次对外DOS攻击事件,攻击源IP均为202.114.207.36,建议该服务器主机及时登录系统排查安全问题。

2.5 网站黑链事件

本月被植入黑链的网站:202.114.202.223

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞388个,中危漏洞198个,低危漏洞125个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有28台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共37次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月1起黑链风险。

4   安全事件处置情况

2018年3月1日至2018年3月31日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件194521起,其中入侵事件164194起,木马僵尸事件47起,对外DoS攻击事件37起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞487个,其中高危漏洞173个、中危漏洞282个、低危漏洞32个。漏洞平均分值为6.04。本周收录的漏洞中,涉及0day漏洞105个(占22%),其中互联网上出现“Joomla! Ek Rishta SQL注入漏洞、Seagate BlackArmor NAS远程代码执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数438个,与上周(622个)环比下降30%。(一)重要漏洞信息

1、Google产品安全漏洞

Android是一种基于Linux的自由及开放源代码的操作系统,Qualcomm Wma是其中的一个美国高通公司的Wma(数字音频压缩格式)组件。Qualcomm WLAN是无线局域网组件。本周,该产品被披露存在权限提升漏洞,攻击者可利用漏提升权限。

CNVD收录的相关漏洞包括:Google AndroidQualcomm Wma权限提升漏洞(CNVD-2018-06011、CNVD-2018-06009、CNVD-2018-06007、CNVD-2018-06006、CNVD-2018-06005)、Google AndroidQualcomm WLAN权限提升漏洞(CNVD-2018-05998、CNVD-2018-05996、CNVD-2018-05992)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06011

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06009

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06007

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06006

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06005

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05998

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05996

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05992

2Microsoft产品安全漏洞

Microsoft Windows 10等都是美国微软公司发布的一系列操作系统。Windows Shell是一个Windows系统下与用户交互的界面。StructuredQuery是一个结构化查询组件。MicrosoftOffice是一款办公软件套件产品。Edge是其中的一个系统附带的浏览器。MicrosoftAccess是一套关系数据库管理系统。本周,上述产品被披露存在代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:MicrosoftWindows Shell远程代码执行漏洞(CNVD-2018-05838)、Microsoft StructuredQuery远程代码执行漏洞、MicrosoftOffice任意代码执行漏洞(CNVD-2018-05885)、Microsoft Edge和ChakraCore远程代码执行漏洞、MicrosoftChakraCore远程代码执行漏洞(CNVD-2018-05887CNVD-2018-05734)、MicrosoftChakraCore和Edge远程代码执行漏洞、Microsoft Access任意代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05838

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05742

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05885

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05888

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05887

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05734

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05889

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05840

3Linux产品安全漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、读取任意文件或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Linux kernelbnx2x network card驱动程序拒绝服务漏洞、Linux kernelfs/f2fs/extent_cache.c文件拒绝服务漏洞、Linux kernel'futex_requeue'函数拒绝服务漏洞、Linux kernel NFS server(nfsd)文件读取漏洞、Linux kernel'setup_ntlmv2_rsp()'函数空指针解引用漏洞、Linux kernel本地权限提升漏洞(CNVD-2018-06116)。其中“Linux kernelbnx2x network card驱动程序拒绝服务漏洞、Linux kernel'setup_ntlmv2_rsp()'函数空指针解引用漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05767

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05820

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05681

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05765

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06157

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06116

4D-Link DCS-933L和DCS-934L权限获取漏洞

D-Link DCS-933L和DCS-934L都是友讯(D-Link)公司的网络摄像机产品。本周,D-Link被披露存在权限获取漏洞,攻击者可利用该漏洞获取凭证并控制摄像机。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-05967

(二)安全漏洞类型分布

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,本周,CNVD收录了487个漏洞。其中应用程序漏洞248个,WEB应用漏洞115个,操作系统漏洞71个,网络设备漏洞44个,安全产品漏洞6个,数据库漏洞3个。


(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-05560

boot2docker跨站请求伪造漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  http://boot2docker.io/

CNVD-2018-05561

boot2docker代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  http://boot2docker.io/

CNVD-2018-05698

CloudMe缓冲区溢出漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  https://www.cloudme.com/zh/sync

CNVD-2018-05872

Stremio Subtitles远程代码执行漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
  https://www.strem.io

CNVD-2018-05946

Amazon Music Player远程代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  https://www.amazon.com/

CNVD-2018-05971

Volkswagen Customer-Link AppHTC Customer-Link Bridge注入漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  http://www.vw.com/

CNVD-2018-06019

Geutebruck IP Cameras远程代码执行漏洞

用户可联系供应商获得补丁信息:
  https://www.geutebrueck.com//en_EN/login.html

CNVD-2018-06094

多款EMC产品权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  https://www.emc.com

CNVD-2018-06093

多款Dell产品任意文件上传漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  https://www.emc.com

CNVD-2018-06168

Joomla! JTicketing组件SQL注入漏洞

用户可参考如下厂商提供的安全补丁以修复该漏洞:
  https://techjoomla.com/


6     业界动态

6.1 关于Drupal core远程代码执行漏洞的安全公告

2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Drupal core远程代码执行漏洞(CNVD-2018-06660,对应CVE-2018-7600)。综合利用上述漏洞,攻击者可实现远程代码执行攻击。目前,漏洞细节尚未公开。

Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架,而非一般意义上的内容管理系统。

Drupal 6,7,8多个子版本存在远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码,从而影响到业务系统的安全性。

CNVD对上述漏洞的综合评级为“高危”。

Drupal的6.x,7.x和8.x版本受此漏洞影响。

CNVD秘书处对该系统在全球的分布情况进行了统计,全球系统规模约为30.9万,用户量排名前五的分别是美国(48.5%)、德国(8.1%)、法国(4%)、英国(3.8%)和俄罗斯(3.7%),而在我国境内的分布较少(0.88%)。

目前,厂商已发布补丁和安全公告以修复该漏洞,具体修复建议如下:

1)推荐更新

主要支持版本推荐更新到Drupal相应的最新子版本。

7.x版本更新到7.58

更新地址:https://www.drupal.org/project/drupal/releases/7.58

8.5.x版本更新到8.5.1

更新地址:https://www.drupal.org/project/drupal/releases/8.5.1

8.4.x版本更新到8.4.6

更新地址:https://www.drupal.org/project/drupal/releases/8.4.6

8.3.x版本更新到8.3.9

更新地址:https://www.drupal.org/project/drupal/releases/8.3.9

2)使用patch更新

如果不能立即更新,请使用对应patch。

8.5.x,8.4.x,8.3.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28

7.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

3)其他不支持版本

Drupal 8.0/8.1/8.2版本已彻底不再维护,如果还在使用这些版本的Drupal,请尽快更新到8.3.9或8.4.6版本。

Drupal 6也受到漏洞影响,此版本由Drupal 6 Long Term Support维护。

参考https://www.drupal.org/project/d6lts

参考链接:

https://www.drupal.org/sa-core-2018-002

https://groups.drupal.org/security/faq-2018-002

6.2 关于Exim SMTP Mail Server存在缓冲区溢出漏洞的安全公告

近日,国家信息安全漏洞共享平台(CNVD)收录了Exim SMTP Mail Server缓冲区溢出漏洞(CNVD-2018-04619,对应CVE-2018-6789)。攻击者可利用该漏洞在受影响的应用程序上下文中,通过堆溢出实现代码的执行,若攻击尝试失败仍可导致拒绝服务条件。目前,漏洞利用代码已公开,厂商已发布漏洞修复版本。

Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。

该漏洞是源于Exim 4.90.1之前版本中SMTP侦听器'base64d()'解码函数在发送handcrafted消息时存在缓冲区溢出漏洞,由于Exim未能充分检查用户提供的数据。攻击者可利用该漏洞绕过了ASLR、PIE、NX等系统通用系统缓解措施,在受影响的应用程序上下文中执行任意代码,若攻击尝试失败仍可导致拒绝服务。

CNVD对上述漏洞的综合评级为“高危”。

漏洞影响Exim版本号在4.90.1之前的版本。

安恒应急响应中心提供数据显示,在全球的分布情况中,美国占比最多(51.32%),其次是德国(4.51%)和荷兰(4.5%),而在我国境内的分布较少(2.01%)

补丁地址:https://www.exim.org/mirmon/ftp_mirrors.html

参考链接:

http://www.openwall.com/lists/oss-security/2018/02/07/2

https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018-6789-en/

联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版