一、安全漏洞

01月份上半月根据国家信息安全漏洞共享平台（CNVD）的漏洞通报，01月份上半月主要存在如下安全漏洞：

（1）CPU处理器内核存在Meltdown和Spectre漏洞

1月4日，国家信息安全漏洞共享平台（CNVD）收录了CPU处理器内核的Meltdown漏洞（CNVD-2018-00303，对应CVE-2017-5754）和Spectre漏洞（CNVD-2018-00302和CNVD-2018-00304，对应CVE-2017-5715和CVE-2017-5753）。利用上述漏洞，攻击者可以绕过内存访问的安全隔离机制，使用恶意程序来获取操作系统和其他程序的被保护数据，造成内存敏感信息泄露。

具体漏洞信息如下：

1）Meltdown漏洞利用破坏了用户程序和操作系统之间的基本隔离，允许攻击者未授权访问其他程序和操作系统的内存，获取其他程序和操作系统的敏感信息。

2）Spectre漏洞利用破坏了不同应用程序之间的安全隔离，允许攻击者借助于无错程序（Error-Free）来获取敏感信息。

具体的漏洞攻击场景如下：

1）单台物理主机：低权限的攻击者利用漏洞，可访问本地操作系统的内核空间，进一步实现提权或命令执行等操作。

2）云服务虚拟机：攻击者利用漏洞可以绕过虚拟机的隔离防护机制，访问其他租户的内存数据，导致其他云租户的敏感信息泄漏。

3）网页浏览器：利用浏览器的即时编译器（Just-In-Time Compiler）特性，执行恶意代码，读取浏览器内存数据，导致用户账号、密码、邮箱、cookie等信息泄漏。

漏洞影响范围：

该漏洞存在于英特尔（Intel）x86及x64的硬件中，在1995年以后生产的Intel、AMD、ARM处理器芯片受此漏洞影响，具体受影响的型号列表请参考厂商公告。

1）Intel：

??????security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

2）AMD：??????speculative-execution

3）ARM：??????support/security-update

同时使用这些处理器芯片的操作系统（Windows、Linux、Mac OS、Android）和云计算设施（亚马逊、微软、谷歌、腾讯云、阿里云等）也受此漏洞影响。

CNVD对该漏洞的综合评级为“高危”。

漏洞详情及修复方法见：??????show/4359

（2）Western Digital My Cloud NAS设备存在高危漏洞

1月5日，国家信息安全漏洞共享平台（CNVD）收录了6起Western Digital My Cloud NAS设备高危漏洞，包括：Western Digital My Cloud NAS设备信息泄露漏洞（CNVD-2018-00399）、Western Digital My Cloud NAS设备拒绝服务漏洞（CNVD-2018-00400）、Western Digital My Cloud NAS设备跨站请求伪造漏洞（CNVD-2018-00402）、Western Digital My Cloud NAS设备命令注入漏洞（CNVD-2018-00401）、Western Digital My Cloud NAS设备无限制文件上传漏洞（CNVD-2018-00403）、Western Digital My Cloud NAS设备硬编码后门漏洞（CNVD-2018-00404）。综合利用上述漏洞，远程攻击者可发起拒绝服务器攻击、远程执行命令、获取My Cloud设备控制权。目前漏洞的修复方案尚未公布。

Western Digital My Cloud NAS是一款应用广泛的网络连接云存储设备，可用于托管文件，并自动备份和同步该文件与各种云和基于Web的服务。此外，该设备不仅可让用户共享家庭网络中的文件，而且私有云功能还允许用户随时随地访问该文件数据。

CNVD对上述漏洞的综合评级为“高危”。

漏洞详情及修复方法见：??????show/4357

（3）Android平台WebView控件存在跨域访问高危漏洞

2017年12月7日，国家信息安全漏洞共享平台（CNVD）接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞，可远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。Palo Alto Networks PAN-OS是美国Palo AltoNetworks公司为其下一代防火墙设备开发的一套操作系统。 2017年12月12日，Palo AltoNetworks公司发布了PAN-OS安全漏洞公告，修复了PAN-OS多个漏洞，通过组合利用这些不相关的漏洞，攻击者通过设备的管理接口可以在最高特权用户的上下文中远程执行代码。  

CNVD对该漏洞的综合评级为“高危”。

漏洞详情及修复方法见：??????show/4365

（4）Intel AMT存在高危漏洞

1月15日，国家信息安全漏洞共享平台（CNVD）收录了Intel AMT存在高危安全漏洞（CNVD-2018-00925）。利用上述漏洞，攻击者可以完全控制目标用户的笔记本电脑。目前，漏洞细节尚未公开。

Intel AMT，全称INTEL Active Management Technology(英特尔主动管理技术)，实质上是一种集成在芯片组中的嵌入式系统，独立于特定操作系统。该技术允许管理者远程管理和修复联网的计算机系统，且实施过程对服务对象完全透明。

该漏洞存在于Intel AMT主动管理技术，导致即使采用诸如BIOS密码，BitLocker，TPM Pin或传统防病毒软件等安全措施，该漏洞依然可被利用。综合利用漏洞，攻击者可借助Intel管理引擎BIOS扩展(MEBx)默认密码“admin”功能进行登录，获取系统完全控制权限，窃取数据、还可在设备上部署恶意软件。区别于Meltdown和Spectre，成功利用此漏洞（尚未命名）需要物理访问设备。

CNVD对该漏洞的综合评级为“高危”。

详情及修复方法见：??????show/4385

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP协议违背：共拦截35358次；

2）恶意扫描，共拦截9867次；

3）SQL注入攻击，共拦截1012次；

4）Web服务器漏洞攻击：共拦截417次；

5）Web插件漏洞攻击：共拦截172次；

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月第一周境内感染网络病毒的主机数量约为 20.1 万个，其中包括境内被木马或被僵尸程序控制的主机约 14.4万以及境内感染飞客（conficker）蠕虫的主机约5.7万。

上半月 CNCERT 监测发现境内被篡改网站数量为 2210个； 境内被植入后门的网站数量为 827个；针对境内网站的仿冒页面数量为407。

四、建议防范措施

根据我校01月份上半月整体网络与信息安全情况及外部网络威胁情况，请相关人员做好相应安全措施，建议如下：

1、针对CPU处理器内核存在Meltdown和Spectre漏洞，信息安全员及时关注动态，对升级情况进行评估及测试，因涉及面比较广，后续系统管理员根据评估及测试结果进行逐渐升级。校园网用户安装并及时更新防病毒软件，并养成良好上网习惯，不轻易浏览不信任的网站，不轻易点击来源不明的网页链接，提高安全防范意识。

2、针对Western Digital My Cloud NAS设备存在高危漏洞，厂商暂无修复方案，请等待厂商官方修复方案。

3、针对Android平台WebView控件存在跨域访问高危漏洞，如有单位和人员使用，可根据??????show/4365的漏洞修复建议进行修复

4、针对Intel AMT存在高危漏洞，因其主要针对笔记本用户，建议校园网笔记本用户修改AMT默认密码为高复杂强度密码，或禁用AMT默认密码功能。