安全通报

当前位置:首页 > 资讯 > 安全通报

通知公告资源动态新闻动态安全通报

2017-2018-2第三期网络与信息安全简报

发布时间:2018-05-02 文章来源:实验实训中心 点击次数:

一、 安全漏洞

04月份上半月根据瓯海区网络与信息安全通报中心通报:思科部分系统Cisco Smart Install协议存在高危漏洞,漏洞具体情况如下

思科IOSIOS-XE系统的配置管理类协议Cisco Smart Install存在远程执行漏洞(CVE-2018-0171)。经分析研判,此次漏洞事件源于该协议存在一处缓冲区溢出漏洞,利用上述漏洞攻击者无需通过用户验证即可受影响设备的TCP 4786端口发送恶意数据包,导致远程命令执行或拒绝服务(DoS

04月份上半月根据国家信息安全漏洞共享平台(CNVD)的漏洞通报,04月份上半月主要存在如下安全漏洞:

1Microsoft发布20184月安全更新

410日,微软发布了20184月份的月度例行安全公告,修复了其多款产品存在的227个安全漏洞。受影响的产品包括Windows 10 v170928个)、Windows 10 v170328个)、Windows 10 v1607 and WindowsServer 201627个)、Windows 10 RTM25个)、Windows 8.1 and Windows Server2012 R223个)、Windows Server 201221个)、Windows 7 and Windows Server 2008R220个)、Windows Server 200819个)、Internet Explorer13个)、Microsoft Edge11个)和Microsoft Office12个)。

利用上述漏洞,攻击者可以执行远程代码,提升权限,欺骗,绕过安全功能限制,获得敏感信息,或进行拒绝服务攻击等

2)关于WebLogic Server WLS核心组件存在反序列化漏洞

2018418日,国家信息安全漏洞共享平台(CNVD)收录了WebLogic Server WLS核心组件反序列化漏洞(CNVD-2018-07811,对应CVE-2018-2628)。攻击者利用该漏洞,可在未授权的情况下远程执行代码

WebLogicServer是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。在WebLogic Server RMI(远程方法调用)通信中,T3协议(丰富套接字)用来在 WebLogic Server 和其他 Java 程序(包括客户端及其他 WebLogic Server 实例)间传输数据,该协议在开放WebLogic控制台端口的应用上默认开启。

2018418日凌晨,Oracle官方发布了4月份关键补丁更新CPUCriticalPatch Update,其中包含该Weblogic反序列化高危漏洞。利用该漏洞,攻击者可以在未经授权的情况下,远程发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,反序列过程中会远程加载RMI registry,加载回来的registry又会被反序列化执行,最终实现了远程代码的执行。

根据官方公告情况,该漏洞的影响版本有:WebLogic10.3.6.0WebLogic12.1.3.0WebLogic12.2.1.2WebLogic12.2.1.3

CNVD对该漏洞的综合评级为“高危”。

3Oracle发布20184月的安全公告

417日,Oracle发布了20174月份的安全更新,修复了其多款产品存在的254个安全漏洞。受影响的产品包括:Oracle Database Server数据库(2个)、电子商务套装软件Oracle E-Business Suite12个)、MySQL数据库(33个)、中间件产品Fusion Middleware39个)、Oracle Siebel托管型CRM软件(2个);Communications Applications9个)、Construction and Engineering Suite4个)、EnterpriseManager Products Suite10个)、Oracle Financial Services Applications36个)、HospitalityApplications13个)、Retail Applications31个)、Support Tools1个)、Utilities Applications1个)、JD Edwards产品(3个)、PeopleSoft产品(12个)、Oracle Sun系统产品(14个)、Java SE14个)、Supply Chain Products Suite5个)和Virtualization13个)。

本次安全更新提供了针对139个高危漏洞的补丁,有227个漏洞可被远程利用。

二、防御情况(来自WAF、防火墙)

1、告警分类统计报表

blob.png 

2、告警分类统计数据

blob.png 

上半月,根据我校WAF防护结果统计,主要的攻击威胁如下

1HTTP协议违背:共拦截72215次;

2扫描共拦截19719次;

3SQL注入攻击拦截5492次;

4Web插件漏洞攻击:共拦截1175次。

3、防火墙名单

   根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,4月份上半月共拉黑地址47

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告,上半月半月境内感染网络病毒的主机数量约为54.75万个,其中包括境内被木马或被僵尸程序控制的主机约40.1万以及境内感染飞客(conficker)蠕虫的主机约14.65万。

上半月 CNCERT 监测发现境内被篡改网站数量为2021个; 境内被植入后门的网站数量为2141个;针对境内网站的仿冒页面数量为1976

四、建议防范措施

根据我校04月份上半月整体网络与信息安全情况及外部网络威胁情况,请相关人员做好相应安全措施,建议如下:

1、针对MicrosoftOracle发布的4月安全更新建议各系统管理员和校园网用户及时下载补丁更新,以防引发漏洞相关的网络安全事件

补丁下载参考信息

微软:

https://support.microsoft.com/en-us/help/20180410/security-update-deployment-information-april-10-2018

Oracle:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

3、针对思科部分系统Cisco Smart Install协议存在高危漏洞,网络管理员及学校其它单位相关网络管理人员及时核查是否存使用思科交换机并参照如下地址修复:http://www.cnvd.org.cn/webinfo/show/4475

4、针对WebLogic Server WLS核心组件存在反序列化漏洞,各系统管理核查所用系统是否存在WebLogic参照如下地址及时修复:http://www.cnvd.org.cn/webinfo/show/4491