一、安全漏洞

12月份下半月根据国家信息安全漏洞共享平台（CNVD）的漏洞通报，12月份下半月主要存在如下安全漏洞：

（1）WebLogic Server WLS 组件存在远程命令执行漏洞

2017年10月18日，国家信息安全漏洞共享平台（CNVD）收录了WebLogic Server WLS 组件远程命令执行漏洞（CNVD-2017-31499，对应CVE-2017-10271）。远程攻击者利用该漏洞通过发送精心构造的 HTTP 请求，获取目标服务器的控制权限。近期，由于漏洞验证代码已公开，漏洞细节和验证利用代码疑似在社会小范围内传播，近期被不法分子利用出现大规模攻击尝试的可能性极大。

Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务器组件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。

根据安恒信息安全团队提供的信息，漏洞引发的原因是Weblogic的“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行，远程攻击者利用该漏洞通过发送精心构造好的HTTP XML数据包请求，直接在目标服务器执行Java代码或操作系统命令。近期可能会有其他使用了“XMLDecoder”类进行反序列化操作的程序爆发类似漏洞，需要及时关注，同时在安全开发方面应避免使用“XMLDecoder”类进行XML反序列化操作。

漏洞影响范围：

OracleWebLogic Server10.3.6.0.0

OracleWebLogic Server12.1.3.0.0

OracleWebLogic Server12.2.1.1.0

OracleWebLogic Server12.2.1.2.0

CNVD对上述风险的综合评级为“高危”。  

漏洞详情及修复方法见：??????show/4333

（2）GoAhead Web Server存在远程代码执行漏洞

GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的嵌入式Web Server。它是世界上最受欢迎的嵌入式Web服务器，被部署在数以百万计的嵌入式设备上。

近日，GoAhead被曝出远程命令执行漏洞。根据知道创宇安全团队提供的漏洞分析，该漏洞源于使用不受信任的HTTP请求参数初始化CGI脚本环境，并且会影响所有启用了动态链接可执行文件（CGI脚本）支持的用户。当与glibc动态链接器结合使用时，使用特殊变量（如LD_PRELOAD）可以滥用该漏洞，从而导致远程代码执行。

根据官方的安全公告，该漏洞会影响GoAhead2.5.0～3.6.5（不含3.6.5）之间的所有版本。（GoAhead 2.5.0版本开始进行了重构，之前的版本在网上已不可寻）

漏洞详情及修复方法见：??????show/4329

（3）Palo Alto Networks防火墙操作系统PAN-OS存在远程代码执行漏洞

近日，国家信息安全漏洞共享平台（CNVD）收录了Palo Alto Networks防火墙操作系统PAN-OS远程代码执行漏洞（CNVD-2017-37056，对应CVE-2017-15944）。允许远程攻击者通过包含管理接口的向量来执行任意代码。

Palo Alto Networks PAN-OS是美国Palo AltoNetworks公司为其下一代防火墙设备开发的一套操作系统。 2017年12月12日，Palo AltoNetworks公司发布了PAN-OS安全漏洞公告，修复了PAN-OS多个漏洞，通过组合利用这些不相关的漏洞，攻击者通过设备的管理接口可以在最高特权用户的上下文中远程执行代码。  

CNVD对该漏洞的综合评级为“高危”。

详情及修复方法见：??????show/ 4323

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

下半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP协议违背：共拦截234073次；

2）恶意扫描，共拦截7833次；

3）SQL注入攻击，共拦截3903次；

4）Web插件漏洞攻击：共拦截786次；

5）非法下载：共拦截523次；

三、下半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，下半月境内感染网络病毒的主机数量约为 40.7 万个，其中包括境内被木马或被僵尸程序控制的主机约 17.6 万以及境内感染飞客（conficker）蠕虫的主机约22.1 万。

下半月 CNCERT 监测发现境内被篡改网站数量为 4399个； 境内被植入后门的网站数量为 1895个；针对境内网站的仿冒页面数量为622。

四、建议防范措施

根据我校12月份下半月整体网络与信息安全情况及外部网络威胁情况，请相关人员做好相应安全措施，建议如下：

1、针对WebLogic Server WLS 组件存在远程命令执行漏洞，相关系统管理员检查是否有使用漏洞组件，并及时更新相关漏洞补丁。

2、针对GoAhead Web Server存在远程代码执行漏洞和Palo Alto Networks防火墙操作系统PAN-OS漏洞，如有单位和人员使用，请及时更新补丁

3、据相关消息，周边某学校出现勒索病毒感染，请相关系统管理人员检查相应的安全措施是否到位。校园网用户养成良好的电脑网络使用习惯，及时更新电脑补丁。