2017-2018-1第一期网络与信息安全简报
发布时间:2017-10-25 文章来源:实验实训中心 点击次数:
一、安全漏洞
10月份上半月,根据云监测平台监测,我校邮箱有一个robots.txt暴露网站结构的中危漏洞,已交网易邮箱处理,我校其它网站和应用系统暂无出现高中危漏洞情况。
根据国家信息安全漏洞共享平台(CNVD)的漏洞通报,10月份上半月主要存在如下安全漏洞:
(1)Microsoft Windows SMB Server存在远程代码执行漏洞
2017年10月10日微软漏洞补丁日修复了多个安全漏洞,其中一个为Microsoft WindowsSMB Server远程执行代码漏洞,根据官方描述该漏洞如果被成功利用,远程攻击者可在目标系统上执行任意代码,否则将导致拒绝服务。
CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况,该漏洞影响版本范围跨度大,一旦漏洞细节披露,将造成极为广泛的攻击威胁,或可诱发APT攻击。
漏洞详情及修复方法见:??????show/4258
(2)DNSmasq存在多个高危漏洞
DNSmasq是一款广泛使用的开源软件,提供DNS、DHCP、路由器广告和网络引导服务。在DNS服务中,DNSmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度;在DHCP 服务,DNSmasq可以用于为局域网电脑分配内网ip地址和提供路由。它还被广泛用于智能手机和便携式热点,并支持虚拟化框架中的虚拟网络。支持的平台包括Linux(与glibc和uclibc)、Android、* BSD和Mac OSx。Dnsmasq包含在大多数Linux发行版和FreeBSD、OpenBSD和NetBSD的端口系统中。此外,Dnsmasq对IPv6网络也提供了完整支持。
10月上半月谷歌安全研究人员发现Dnsmasq存在7个高危漏洞,漏洞影响范围十分广泛,涉及Linux以及Android操作系统发行版本以及多个自身组件版本,也波及到一些网络设备或终端设备固件。CNVD用户组成员单位华为公司对其生产的产品情况进行了风险自查,在已排查的有可能采用相关组件的HG8021H、HG8045A、HG8045A2、HG8245A、HG8247H多款路由器中,确认未受漏洞影响。
漏洞详情及修复方法见:??????show/4257
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
上半月,根据我校WAF防护结果统计,主要的攻击威胁如下
1)非法下载,共拦截14798次;
2)恶意扫描:共拦截13345次;
3)web服务器漏洞攻击,共拦截4447次;
3)HTTP协议违背,共拦截4366次。
三、上半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,上半月本周境内感染网络病毒的主机数量约为 68.88 万个,其中包括境内被木马或被僵尸程序控制的主机约 50.29 万以及境内感染飞客(conficker)蠕虫的主机约18.49 万。
四、建议防范措施
根据我校10月份上半月整体网络与信息安全情况及外部网络威胁情况,请相关人员做好相应安全措施,建议如下:
1、系统管理员针对 Microsoft Windows SMB Server存在远程代码执行漏洞进行补丁更新。
2、针对Dnsmasq,系统管理员检查服务器系统特别是Linux系统中是否存在使用Dnsmasq软件,如存在,请升级DNSmasq 版本至2.78版本。
3、针对外部扫描、攻击,安全管理员实时查看防火墙拦截日志,将有大量扫描攻击的外部IP拉入黑名单库。