2018年6月网络安全月报-网络与教育技术中心
学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2018年6月网络安全月报
作者: 来源: 时间:2018-06-29 点击数:

中国地质大学校园网网络安全情况月报

2018年6月   (第W0030期)  总第30期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸... 4

2.4      对外DoS攻击事件... 5

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 8

5       安全预警信息... 8

6       业界动态... 16

6.1      Windows系统的JScript组件被曝存在一个0day RCE. 16

6.2      FLASH零日漏洞CVE-2018-5002在中东地区的定向网络攻击利用... 16

 


 

1   情况综述

2018年6月1日至2018年6月30日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共276963起,近期服务器受到攻击的事件共145978起;可能感染病毒木马的僵尸主机共53台,其中确定的僵尸主机共39台;对外发生的DoS攻击事件共0起,被植入黑链的网站共1个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共130985起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.202.219

62797

 

2

202.114.196.158

13013

 

3

202.114.202.207

9375

 

4

202.114.207.36

8267

 

5

202.114.201.140

7117

 

6

202.114.196.115

4400

 

7

202.114.202.194

3630

 

8

202.114.196.121

2872

 

9

202.114.202.212

2411

 

10

202.114.207.236

2083

 

11

其他IP

15020

 

总计

130985


(二)    服务器安全事件(共145978起):

服务器地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

79412

2

202.114.196.42

6541

3

202.114.196.60

4423

4

202.114.196.199

4291

5

202.114.196.228

3543

 

6

202.114.202.214

2751

 

7

202.114.202.229

2498

 

8

202.114.196.68

2465

 

9

202.114.196.48

2183

 

10

202.114.207.62

1626

 

11

其他

36245

 

总计

145978

 


2.2 入侵事件

已被黑客攻陷的服务器:202.114.202.219

入侵风险类型排名如下:

2.3 木马僵尸

2.4 对外DoS攻击事件

本月共有0次对外DOS攻击事件

2.5 网站黑链事件

本月被植入黑链的网站:202.114.202.219

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞356个,中危漏洞189个,低危漏洞68个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有39台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共0次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月1起黑链风险。

4   安全事件处置情况

2018年6月1日至2018年6月30日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件276963起,其中入侵事件145978起,木马僵尸事件53起,对外DoS攻击事件0起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞217个,其中高危漏洞69个、中危漏洞143个、低危漏洞5个。漏洞平均分值为6.19。本周收录的漏洞中,涉及0day漏洞75个(占35%),其中互联网上出现“POSCMS'index'函数任意代码执行漏洞、Sensio Labs Symfony Web profiler跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数476个,与上周(477个)相比基本持平。

(一)重要漏洞信息

1Adobe产品安全漏洞

Adobe Acrobat是一套PDF文件编辑和转换工具,Adobe Reader一套PDF文档阅读软件。Adobe FlashPlayer是多媒体程序播放器。Adobe Photoshop,简称“PS”,是图像处理软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息,执行任意代码。

CNVD收录的相关漏洞包括:AdobePhotoshop越界内存写入漏洞、Adobe Acrobat/Reader越界写入漏洞、AdobeAcrobat/Reader越界读取漏洞(CNVD-2018-11737)、Adobe Acrobat/Reader内存破坏漏洞(CNVD-2018-11792)、AdobeAcrobat/Reader类型混淆漏洞(CNVD-2018-11795)、Adobe Acrobat/Reader不可信指针解引用漏洞、AdobeColdFusion不可信数据反序列化漏洞、Adobe Flash Player类型混淆漏洞(CNVD-2018-11803)。其中,除“AdobeAcrobat/Reader越界读取漏洞(CNVD-2018-11737)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11734

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11735

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11737

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11792

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11795

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11796

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11802

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11803

2Foxit产品安全漏洞

Foxit Reader是一款PDF文档阅读器。FoxitPhantomPDF是一个商业版。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括:Foxit Reader和PhantomPDF远程代码执行漏洞(CNVD-2018-11901、CNVD-2018-11902、CNVD-2018-11903、CNVD-2018-11904、CNVD-2018-11905、CNVD-2018-11906、CNVD-2018-11907、CNVD-2018-11908)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11901

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11902

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11903

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11904

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11905

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11906

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11907

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11908

3Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Firefox ESR是Firefox的一个延长支持版本。Skia是其中的一个开放源码的2D图形库,能够提供可在各种硬件和软件平台上工作的常见API。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过安全限制,执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:MozillaFirefox代码执行漏洞(CNVD-2018-11787、CNVD-2018-11789)、MozillaFirefox安全绕过漏洞(CNVD-2018-11790)、Mozilla Firefox信息泄露漏洞(CNVD-2018-11924、CNVD-2018-11923)、MozillaFirefox和Firefox ESR内存破坏漏洞(CNVD-2018-11925)、MozillaFirefox ESR缓冲区溢出漏洞、Mozilla Firefox ESR Skia库内存破坏漏洞。其中,除“MozillaFirefox信息泄露漏洞(CNVD-2018-11924、CNVD-2018-11923)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11787

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11789

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11790

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11924

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11923

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11925

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11927

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11928

4Microsoft产品安全漏洞

Microsoft Edge是一款Web浏览器。MicrosoftInternet Explorer是一款网页浏览器。本周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码,造成内存破坏。

CNVD收录的相关漏洞包括:Microsoft Edge内存破坏漏洞(CNVD-2018-11917、CNVD-2018-11918)、Microsoft Edge和ChakraCore内存破坏漏洞(CNVD-2018-11919、CNVD-2018-11920)、MicrosoftInternet Explorer内存破坏漏洞(CNVD-2018-11932、CNVD-2018-11933、CNVD-2018-11936)、Microsoft Edge内存破坏漏洞(CNVD-2018-11935)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11917

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11918

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11919

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11920

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11932

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11933

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11936

http://www.cnvd.org.cn/flaw/show/CNVD-2018-11935

5PvPGN Stats SQL注入漏洞

PvPGN Stats是一款基于PHP的支持网站与PvPGN游戏服务器集成的工具,它能够显示服务器状态、梯形图页面等。本周,PvPGN Stats被披露存在SQL注入漏洞,远程攻击者可借助GET参数’user’利用该漏洞获取PvPGN数据库的访问权限(包括:邮件、用户名和密码)。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-11636

更多高危漏洞如表www.cnvd.org.cn/4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。

参考链接:http:// flaw/list.htm

(二)安全漏洞类型分布

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,本周,CNVD收录了217个漏洞。其中应用程序漏洞149个,网络设备漏洞49个,WEB应用漏洞17个,安全产品漏洞2个。

(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-11715              

WordPress Redirection插件反序列化漏洞                                                                  

用户可联系供应商获得补丁信息:

https://wordpress.org/plugins/redirection/

CNVD-2018-11717

Apache Geode server远程代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread.html/dc8875c0b924885a884eba6d5bd7dc3f123411b2d33cffd00e351c99@%3Cuser.geode.apache.org%3E

CNVD-2018-11836

CA Privileged Access Manager任意命令执行漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://support.ca.com/us/product-content/recommended-reading/security-notices/ca20180614-01--security-notice-for-ca-privileged-access-manager.html

CNVD-2018-11849

Linaro LAVA远程代码执行漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://git.linaro.org/lava/lava.git/commit/?id=583666c84ea2f12797a3eb71392bcb05782f5b14

CNVD-2018-11713

Shopify权限提升漏洞

用户可联系供应商获得补丁信息:

https://app.shopify.com/services/partners/dev_shops/new

CNVD-2018-11961

多款Cisco产品NX-OS   Software远程代码执行漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxos-bo

CNVD-2018-11840

VirusTotal代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.virustotal.com/

CNVD-2018-11848

Quick Chat SQL注入漏洞

厂商已发布漏洞修复程序,请及时关注更新:

https://wordpress.org/plugins/quick-chat/#developers

CNVD-2018-11912

redis-cli缓冲区溢出漏洞

厂商已发布了漏洞修复程序,请及时关注更新:

https://github.com/antirez/redis/commit/9fdcc15962f9ff4baebe6fdd9478

CNVD-2018-11841

Carbon Black Cb Response代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.carbonblack.com/products/cb-response/

6     业界动态

6.1 Windows系统的JScript组件被曝存在一个0day RCE

近期,TelspaceSystems公司的安全研究专家Dmitri Kaslov在Windows操作系统的JScript组件中发现了一个严重的安全漏洞,而这个漏洞将允许攻击者在目标主机上执行恶意代码。目前,该漏洞的CVSSv2严重等级评估为6.8分(10)。在利用该漏洞实施攻击的过程中,攻击者需要欺骗用户访问特定的恶意Web页面,或在主机中下载并打开恶意JS文件。

参考链接http://www.freebuf.com/articles/system/174187.html

6.2 FLASH零日漏洞CVE-2018-5002在中东地区的定向网络攻击利用

近期,安全研究团队 (SRT) 识别出了Adobe Flash 0day漏洞 CVE-2018-5002 的定向网络攻击行为,该 0 day漏洞被攻击者用于针对中东地区重要人士和组织的网络渗透。攻击者利用该漏洞构造的恶意Flash对象,可以在目标受害者电脑上执行代码,实现后续渗透的一系列Payload和恶意代码运行。

参考链接:https://www.easyaq.com/news/2071564544.shtml

联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

上一条:已经是第一条了

下一条:2018年5月网络安全月报

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版