2018年4月网络安全月报-网络与教育技术中心
学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2018年4月网络安全月报
作者: 来源: 时间:2018-04-30 点击数:

中国地质大学校园网网络安全情况月报

2018年4月   (第W0028期)  总第28期

中国地质大学(武汉)网络与教育技术中心

本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 5

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 13

6.1      关于Cisco Smart Install远程命令执行漏洞的安全公告... 13

6.2      关于WebLogic Server WLS核心组件存在反序列化漏洞的安全公告... 17

 


 

1   情况综述

2018年4月1日至2018年4月30日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共271778起,近期服务器受到攻击的事件共212532起;可能感染病毒木马的僵尸主机共50台,其中确定的僵尸主机共30台;对外发生的DoS攻击事件共8起,被植入黑链的网站共1个。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共59246起):

主机类型分类统计:

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.205.36

19743

2

202.114.207.36

10767

3

202.114.207.243

7962

4

202.114.196.11

3897

5

202.114.196.114

3622

6

202.114.202.223

3357

7

202.114.202.194

1068

8

202.114.207.241

1060

9

202.114.205.96

946

10

202.114.201.140

851

11

其他IP

5973

总计

59246


(二)    服务器安全事件(共212532起):

服务器地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.207.64

69292

2

202.114.202.223

34273

3

202.114.196.60

9611

4

202.114.202.214

9293

5

202.114.196.127

6680

6

202.114.207.189

5328

7

202.114.196.42

5324

8

202.114.196.114

4969

9

202.114.202.219

4508

10

202.114.196.199

4230

11

其他

59024

总计

212532


2.2 入侵事件

已被黑客攻陷的服务器:202.114.202.223

入侵风险类型排名如下:

2.3 木马僵尸事件

2.4 对外DoS攻击事件

本月共有8次对外DOS攻击事件,攻击源IP均为202.114.207.36,建议该服务器主机及时登录系统排查安全问题。

2.5 网站黑链事件

本月被植入黑链的网站:202.114.202.223

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞396个,中危漏洞199个,低危漏洞105个。

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

本月有30台服务器确认已被僵尸木马感染。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

本月共8次对外DOS攻击事件。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

本月1起黑链风险。

4   安全事件处置情况

2018年3月1日至2018年3月31日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件271778起,其中入侵事件212532起,木马僵尸事件50起,对外DoS攻击事件8起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞248个,其中高危漏洞80个、中危漏洞151个、低危漏洞17个。漏洞平均分值为5.85。本周收录的漏洞中,涉及0day漏洞51个(占21%),其中互联网上出现“Secutech RiS-11、RiS-22和RiS-33 DNS更改漏洞、Frog CMS任意文件上传漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数581个,与上周(562个)环比增长3%。

(一)重要漏洞信息

1WebLogic Server WLS核心组件反序列化漏洞

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件。本周,该产品被披露存在反序列化漏洞,攻击者可利用漏洞在未授权的情况下远程执行代码。

CNVD收录的相关漏洞包括:OracleWebLogic Server WLS核心组件反序列化漏洞。该漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07811

2Apple产品安全漏洞

Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。iCloud forWindows是一款基于Windows平台的云服务。WebKit是其中的一个Web浏览器引擎组件。本周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括:多款Apple产品WebKit内存破坏漏洞(CNVD-2018-07779、CNVD-2018-07780、CNVD-2018-07781、CNVD-2018-07782、CNVD-2018-07807、CNVD-2018-07808、CNVD-2018-07809、CNVD-2018-07810)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07779

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07780

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07781

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07782

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07807

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07808

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07809

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07810

3Google产品安全漏洞

Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Qualcommclosed-source components是其中的一个美国高通(Qualcomm)公司开发的闭源组件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏提升权限或执行任意代码等。

CNVD收录的相关漏洞包括:Google Android本地权限提升漏洞(CNVD-2018-07851、CNVD-2018-07863)、Google Android缓冲区溢出漏洞(CNVD-2018-07849、CNVD-2018-07861)、Google Android权限提升漏洞(CNVD-2018-07850、CNVD-2018-07858)、Google Android远程代码执行漏洞(CNVD-2018-07862)、Google AndroidQualcomm闭源组件缓冲区溢出漏洞。除“Google Android本地权限提升漏洞(CNVD-2018-07851、CNVD-2018-07863)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07851

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07863

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07849

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07861

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07850

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07858

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07862

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07765

4MikroTik RouterOS权限提升漏洞

MikroTik RouterOS是拉脱维亚MikroTik公司的一套基于Linux核心开发的路由操作系统。本周,MikroTik被披露存在权限提升漏洞,远程攻击者可利用该漏洞获取客户端内部网络的访问权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-07908

(二)安全漏洞类型分布

根据漏洞影响对象的类型,漏洞可分为Web应用漏洞、应用程序漏洞、网络设备漏洞(如路由器、交换机等)、数据库漏洞、安全产品漏洞(如防火墙、入侵检测系统等)和操作系统漏洞。不同类型漏洞的分布如图所示,本周,CNVD收录了248个漏洞。其中应用程序漏洞139个,操作系统漏洞40个,WEB应用漏洞36个,网络设备漏洞26个,安全产品漏洞7个。


(三)重要漏洞实例

本次收录的漏洞中,关注度较高的产品安全漏洞如下表所示。

CNVD编号

漏洞名称

综合评级

修复方式

CNVD-2018-07712

Mozilla Firefox代码执行漏洞(CNVD-2018-07712)

厂商已发布了漏洞修复程序,请及时关注更新:
  https://www.mozilla.org/en-US/security/advisories/mfsa2018-10/

CNVD-2018-07715

Dell EMC Isilon OneFS不正确授权漏洞

厂商已发布漏洞修复程序,请及时关注更新:
  https://support.emc.com/downloads/15209_Isilon-OneFS

CNVD-2018-07716

Jolokia agent JNDI注入漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://jolokia.org/#Security_fixes_with_1.5.0

CNVD-2018-07745

LCDS LAquis SCADA任意代码执行漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://laquisscada.com/instale1.php

CNVD-2018-07756

textpattern拒绝服务漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://github.com/textpattern/textpattern/issues/1098

CNVD-2018-07865

Moxa EDR-810命令注入漏洞

用户可联系供应商获得补丁信息:
  https://www.moxa.com/support/download.aspx?type=support&id=15851

CNVD-2018-07880

Heimdal PRO权限提升漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  https://heimdalsecurity.com/

CNVD-2018-07879

Heimdal PRO文件执行漏洞

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
  https://heimdalsecurity.com/

CNVD-2018-07893

Mitel ST conferencing组件文件上传漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://www.mitel.com/mitel-product-security-advisory-18-0004

CNVD-2018-07948

Mitel Connect ONSITE和Mitel ST conferencing组件PHP漏洞

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  https://www.mitel.com/mitel-product-security-advisory-18-0004


6     业界动态

6.1 关于Cisco Smart Install远程命令执行漏洞的安全公告

2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Cisco Smart Install远程命令执行漏洞(CNVD-2018-06774,对应CVE-2018-0171)。综合利用上述漏洞,允许未经身份验证的远程攻击者向远端Cisco设备的 TCP 4786 端口发送精心构造的恶意数据包,触发漏洞造成设备远程执行Cisco系统命令或拒绝服务(DoS)。目前,漏洞利用代码已公开,且厂商已发布漏洞修复版本。

一、漏洞情况分析

Smart Install 作为一项即插即用配置和镜像管理功能,为新加入网络的交换机提供零配置部署,实现了自动化初始配置和操作系统镜像加载的过程,同时还提供配置文件的备份功能。

Cisco SmartInstall存在远程命令执行漏洞,SMI IBC Server Process进程中包含了Smart Install Client的实现代码。Smart InstallClient在TCP(4786)端口上开启服务(默认开启),用来与 Smart Install Director 交互。当服务处理一段特殊构造的恶意信息ibd_init_discovery_msg时,因为未能检查拷贝到固定大小缓冲区的数据尺寸,大小和数据是直接从网络数据包中获得的,并由攻击者控制,smi_ibc_handle_ibd_init_discovery_msg函数在处理该数据包时会触发缓冲区栈溢出造成设备拒绝服务(DoS)或远程执行Cisco系统命令。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

支持 SmartInstall Client模式的交换机受此漏洞影响,包括但不限于以下:

Catalyst 4500Supervisor Engines

Catalyst 3850Series

Catalyst 3750Series

Catalyst 3650Series

Catalyst 3560Series

Catalyst 2960Series

Catalyst 2975Series

IE 2000

IE 3000

IE 3010

IE 4000

IE 5000

SM-ES2 SKUs

SM-ES3 SKUs

NME-16ES-1G-P

SM-X-ES3 SKUs

根据CNVD技术组成员单位知道创宇公司提供的分析数据显示,全球Cisco Smart Install系统规模为14.3万;按国家分布情况来看,用户量排名前三的分别是美国(29%)、中国(11%)和日本(6%)。

三、漏洞修复建议

远程自查方法A:

确认目标设备是否开启4786/TCP端口,如果开启则表示可能受到影响。

比如用nmap扫描目标设备端口:

nmap -p T:4786 192.168.1.254

远程自查方法B:

使用Cisco提供的脚本探测是否开放Cisco Smart Install协议,若开启则可能受到影响。

# pythonsmi_check.py -i 192.168.1.254

本地自查方法A:(需登录设备)

此外,可以通过以下命令确认是否开启 Smart Install Client 功能:

switch>show vstack config

Role:Client (SmartInstall enabled)

Vstack Director IP address: 0.0.0.0

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0344B794 *.4786 *.* LISTEN

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

本地自查方法B:(需登录设备)

switch>show version

将回显内容保存在a.txt中,并上传至Cisco的CiscoIOS Software Checker进行检测。

检测地址:https://tools.cisco.com/security/center/softwarechecker.x

修复方法:

思科官方已发布针对此漏洞的补丁但未提供下载链接,详细修复方案如下:

临时处置措施:(关闭协议)

switch#conf t

switch(config)#no vstack

switch(config)#do wr

switch(config)#exit

检查端口已经关掉:

switch>show tcp brief all

TCB Local Address Foreign Address (state)

0350A018 *.443 *.* LISTEN

03293634 *.443 *.* LISTEN

03292D9C *.80 *.* LISTEN

03292504*.80 *.* LISTEN

参考链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

http://www.cnvd.org.cn/flaw/show/CNVD-2018-06774

6.2 关于WebLogic Server WLS核心组件存在反序列化漏洞的安全公告

2018年4月18日,国家信息安全漏洞共享平台(CNVD)收录了WebLogic Server WLS核心组件反序列化漏洞(CNVD-2018-07811,对应CVE-2018-2628)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。漏洞验证代码已被公开,近期被不法分子利用进行大规模攻击的可能性较大,厂商已发布补丁进行修复。

一、漏洞情况分析

WebLogicServer是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。在WebLogic Server 的 RMI(远程方法调用)通信中,T3协议(丰富套接字)用来在 WebLogic Server 和其他 Java 程序(包括客户端及其他 WebLogic Server 实例)间传输数据,该协议在开放WebLogic控制台端口的应用上默认开启。

2018年4月18日凌晨,Oracle官方发布了4月份关键补丁更新CPU(CriticalPatch Update),其中包含该Weblogic反序列化高危漏洞。利用该漏洞,攻击者可以在未经授权的情况下,远程发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,反序列过程中会远程加载RMI registry,加载回来的registry又会被反序列化执行,最终实现了远程代码的执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

根据官方公告情况,该漏洞的影响版本如下:

WebLogic10.3.6.0

WebLogic12.1.3.0

WebLogic12.2.1.2

WebLogic12.2.1.3

CNVD秘书处组织对WebLogic服务在全球范围内的分布情况进行了统计,结果显示该服务的全球规模约为6.9万,其中我国境内的用户量约为1.2万。随机抽样检测结果显示,大约为6%的WebLogic服务受此漏洞影响。

三、漏洞处置建议

1、临时修复建议:通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器,对T3/T3s协议的访问权限进行配置,阻断漏洞利用途径。

2、美国甲骨文公司已发布了修复补丁,建议及时更新至最新版本:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html。

参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-07811

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

http://toutiao.secjia.com/cve-2018-2628

联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

吴雪涛:18627998795

邮箱:wuxuetao@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版