2018年5月网络安全月报-网络与教育技术中心
学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2018年5月网络安全月报
作者: 来源: 时间:2018-05-31 点击数:

中国地质大学校园网网络安全情况月报

2018年5月   (第W0029期)  总第29期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述.................................................................................................................. 1

2       安全事件通报.......................................................................................................... 2

2.1      安全事件总体概述........................................................................................ 2

2.2      入侵事件....................................................................................................... 4

2.3      木马僵尸事件................................................................................................ 4

2.4      对外DoS攻击事件........................................................................................ 5

2.5      网站黑链事件................................................................................................ 5

3       安全事件分析.......................................................................................................... 6

3.1      入侵事件分析................................................................................................ 6

3.2      木马僵尸事件分析........................................................................................ 6

3.3      对外DoS攻击事件分析................................................................................. 7

3.4      网站黑链事件分析........................................................................................ 7

4       安全事件处置情况................................................................................................... 7

5       安全预警信息.......................................................................................................... 8

6       业界动态................................................................................................................ 15

6.1      关于Drupal Core远程代码执行漏洞的安全公告..................................... 15

 


 

1   情况综述

2018年5月1日至2018年5月31日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共278817起,近期服务器受到攻击的事件共198957起;可能感染病毒木马的僵尸主机共54台,其中确定的僵尸主机共33台;对外发生的DoS攻击事件共50起,被植入黑链的网站共1个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共79860起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.36

26430

2

202.114.205.36

23320

3

202.114.207.243

5337

4

202.114.202.235

2414

5

202.114.202.194

2379

6

202.114.202.210

2350

7

202.114.202.238

2311

8

202.114.207.212

2065

9

202.114.205.225

1949

10

202.114.201.240

1671

11

其他IP

9634

总计

79860


(二)    服务器安全事件(共198957起):

服务器地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

80443

2

202.114.196.114

21246

3

202.114.202.223

8568

4

202.114.196.42

7724

5

202.114.196.60

5481

6

202.114.196.199

4629

7

202.114.196.228

3840

8

202.114.202.214

3500

9

202.114.202.229

3032

10

202.114.196.49

2197

11

其他

58297

总计

198957


2.2 入侵事件

已被黑客攻陷的服务器:202.114.202.223

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月共有50次对外DOS攻击事件,攻击源IP为202.114.207.36、202.114.196.192、202.114.205.155建议该服务器主机及时登录系统排查安全问题。


2.5 网站黑链事件

本月被植入黑链的网站:202.114.202.223

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞386个,中危漏洞209个,低危漏洞85个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有33台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共50次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月1起黑链风险。


4   安全事件处置情况

2018年5月1日至2018年5月31日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件278817起,其中入侵事件198957起,木马僵尸事件54起,对外DoS攻击事件50起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞335个,其中高危漏洞115个、中危漏洞209个、低危漏洞11个。漏洞平均分值为6.32。本周收录的漏洞中,涉及0day漏洞56个(占17%),其中互联网上出现“Digital Guardian ManagementConsole远程代码执行漏洞、EFS Easy File Sharing WebServer缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数458个,与上周(540个)环比下降15%。

(一)重要漏洞信息

1Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。DRM API是其中的一个数字版权管理API(应用程序接口)。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或绕过安全限制等。

CNVD收录的相关漏洞包括:Google Android缓冲区溢出漏洞(CNVD-2018-10124)、Google Android缓冲区越边界读取漏洞(CNVD-2018-10035、CNVD-2018-10042)、Google Android内存错误引用漏洞(CNVD-2018-10125)、Google Android权限提升漏洞(CNVD-2018-10119)、Google Android远程代码执行漏洞(CNVD-2018-10120)、Google AndroidDRM API缓冲区越边界读取漏洞、Google Android安全绕过漏洞,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10124

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10035

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10042

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10125

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10119

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10120

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10069

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09893

2Microsoft产品安全漏洞

Microsoft Windows 10是一套供个人电脑使用的操作系统,Windows Server2016是一套服务器操作系统。Edge是其中的一个系统附带的默认浏览器。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:MicrosoftChakraCore和Edge远程代码执行漏洞(CNVD-2018-10201、CNVD-2018-10202、CNVD-2018-10204、CNVD-2018-10205、CNVD-2018-10206、CNVD-2018-10207、CNVD-2018-10208、CNVD-2018-10210)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10201

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10202

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10204

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10205

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10206

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10207

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10208

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10210

3Apple产品安全漏洞

Apple Safari是美国苹果公司的一款Web浏览器,Apple iOS是为移动设备所开发的一套操作系统;macOS HighSierra是一套专为Mac计算机所开发的专用操作系统。Apple iOS是美国苹果(Apple)公司为移动设备所开发的一套操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用该漏洞执行任意代码或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Apple iOSSafari欺骗漏洞、Apple iOS和macOS High Sierra Mail中间人攻击漏洞、Apple iOS和macOS HighSierra PluginKit竞争条件漏洞、Apple Safari WebKit内存破坏漏洞(CNVD-2018-09990)、Apple Safari任意代码执行漏洞(CNVD-2018-09989)、Apple iOSTelephony缓冲区溢出漏洞、Apple iOS Telephony拒绝服务漏洞、多款Apple产品Quick Look竞争条件漏洞。除“Apple iOSSafari欺骗漏洞、Apple iOS和macOS High Sierra Mail中间人攻击漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09967

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09977

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09974

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09990

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09989

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09971

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09970

http://www.cnvd.org.cn/flaw/show/CNVD-2018-09975

4Mozilla权限提升漏洞

Mozilla Firefox浏览器(火狐)是一个自由的、开放源码的浏览器,适用于Windows、Linux及MacOSX平台。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:MozillaFirefox JavaScript注入漏洞、Mozilla Firefox XSLT缓冲区溢出漏洞、MozillaFirefox堆内存错误引用漏洞、Mozilla Firefox同源保护绕过漏洞、MozillaFirefox未初始化内存使用漏洞、Mozilla Firefox整数溢出漏洞(CNVD-2018-10242)、MozillaFirefox内存错误引用漏洞(CNVD-2018-10245、CNVD-2018-10246)。除“MozillaFirefox JavaScript注入漏洞、Mozilla Firefox XSLT缓冲区溢出漏洞、MozillaFirefox堆内存错误引用漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10243

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10234

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10233

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10244

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10241

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10242

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10245

http://www.cnvd.org.cn/flaw/show/CNVD-2018-10246

(二)安全漏洞类型分布

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,本周,CNVD收录了335个漏洞。其中应用程序漏洞208个,操作系统漏洞64个,WEB应用漏洞30个,网络设备漏洞30个,安全产品漏洞3个。


(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-10002

GE多款PACSystems产品输入验证错误漏洞

用户可联系供应商获得补丁信息: https://digitalsupport.ge.com

CNVD-2018-10059

GNU C Library任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.gnu.org/software/libc/

CNVD-2018-10151

Phoenix Contact managed FL SWITCH命令注入漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.phoenixcontact.com/

CNVD-2018-10149

Phoenix Contact managed FL SWITCH缓冲区溢出漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://www.phoenixcontact.com/

CNVD-2018-10156

tinysvcmdns library缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
  https://bitbucket.org/geekman/tinysvcmdns

CNVD-2018-10216

Foxit Reader任意代码执行漏洞(CNVD-2018-10216)

厂商已发布漏洞修复程序,请及时关注更新:
  https://www.foxitsoftware.com/support/security-bulletins.php

CNVD-2018-10303

HP SiteScope未指明未经授权访问漏洞

厂商已发布了漏洞修复程序,请及时关注更新:
  https://www.auscert.org.au/bulletins/52758/

CNVD-2018-10332

procps-ng权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://gitlab.com/procps-ng/procps

CNVD-2018-10334

procps-ng整数溢出漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://gitlab.com/procps-ng/procps

CNVD-2018-10333

procps-ng任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页: https://gitlab.com/procps-ng/procps


6     业界动态

6.1 关于Drupal Core远程代码执行漏洞的安全公告

2018年4月26日,国家信息安全漏洞共享平台(CNVD)收录了Drupal Core远程代码执行漏洞(CNVD-2018-08523,对应CVE-2018-7602)。综合利用上述漏洞,攻击者可实现远程代码执行攻击。部分漏洞验证代码已被公开,近期被不法分子利用进行大规模攻击的可能性较大,厂商已发布补丁进行修复。

一、漏洞情况分析

Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。Drupal在业界常被视为内容管理框架,而与一般意义上的内容管理系统存在差异。

2018年3月29日,CNVD收录了Drupal 6,7,8多个子版本存在远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码(http://www.cnvd.org.cn/webinfo/show/4463)。但由于Drupal官方对该漏洞修复不完全,导致补丁可以被绕过,造成任意代码执行:Drupal官方发布的漏洞补丁通过过滤带有#的输入来处理请求数据(GET,POST,COOKIE,REQUEST),但是Drupal应用还会处理path?destination=URL形式的请求,发起请求需要对destination=URL中的URL进行编码,攻击者对URL中的#进行两次编码即可绕过sanitize()函数的过滤,从而实现远程代码执行。

CNVD对该漏洞的综合评级为“高危”。


二、漏洞影响范围

受影响版本:

Drupal的7.x和8.x版本受此漏洞影响。

修复版本:

Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8

CNVD秘书处对该系统在全球的分布情况进行了统计,全球系统规模约为30.9万,用户量排名前五的分别是美国(48.5%)、德国(8.1%)、法国(4%)、英国(3.8%)和俄罗斯(3.7%),而在我国境内分布较少(0.88%)。

三、漏洞修复建议

目前,厂商已发布补丁和安全公告以修复该漏洞,具体修复建议如下:

Drupal 7.x请升级到Drupal 7.59版本。

官方给出7.X版本补丁,若用户无法立即升级版本,请更新补丁,补丁地址为:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0

Drupal 8.5.x请升级到Drupal 8.5.3版本

官方给出8.X版本补丁,若用户无法立即升级版本,请更新补丁,补丁地址为:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

Drupal 8.4.x版本请升级到8.4.8版本,官方给出8.X版本补丁,若用户无法立即升级版本,请更新补丁,补丁地址为:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

参考链接:

https://www.drupal.org/sa-core-2018-004

https://nvd.nist.gov/vuln/detail/CVE-2018-7602

http://www.cnvd.org.cn/flaw/show/CNVD-2018-08523

联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版