安全通报

当前位置:首页 > 资 讯 > 安全通报

通知公告资源动态新闻动态安全通报

2018-2019-2第三期网络与信息安全简报

发布时间:2019-04-23 文章来源:信息服务中心 点击次数:

一、 安全漏洞

2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,官方补丁尚未发布,漏洞细节未公开。

1、漏洞情况分析

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。

部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

CNVD对该漏洞的综合评级为“高危”。

2、漏洞影响范围

该漏洞的影响版本如下:

WebLogic 10.X

WebLogic 12.1.3

CNVD秘书处对WebLogic服务在全球范围内的分布情况进行分析,结果显示该服务的全球用户规模约为6.9万,其中位于我国境内的用户规模约为2.9万。

CNVD秘书处组织技术力量进行技术检测,发现我国境内WebLogic用户中,共有461个网站受此漏洞影响,所占比例为1.6%,该比例远低于我平台在2018年4月18日收录的WebLogic Server反序列化漏洞(CNVD-2018-07811)的影响范围。

CNVD国家漏洞库将对发现存在漏洞网站的单位进行通报,及时消除漏洞攻击威胁。

3、漏洞处置建议

目前,Oracle官方暂未发布补丁,临时解决方案如下:

1、删除该war包并重启webLogic;

2、通过访问策略控制禁止 /_async/* 路径的URL访问。

建议使用WebLogic Server构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。

二、防御情况(来自WAF、防火墙)

1、告警分类统计报表

图片1.jpg


     2、告警分类统计数据

2.jpg 

上半月,根据我校WAF防护结果统计,主要的攻击威胁如下

事件类型

事件次数

HTTP访问控制事件

43043

WEB构件漏洞攻击

9971

爬虫事件

5619

SQL注入攻击

5255

WEB服务器漏洞攻击

1810

非法下载

1192

路径穿越攻击

458

命令注入攻击

320

XPATH注入攻击

318

文件非法上传

124

总计

68110

1HTTP访问控制事件:共拦截43043次;

2)WEB构件漏洞攻击:共拦截9971次。

3)爬虫事件:共拦截5619次; 

4)SQL注入攻击:共拦截5255次;

5WEB服务器漏洞攻击:共拦截1810次;

    3、防火墙黑名单

   根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,04月份上半月共拉黑地址23个

    三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为48.0万个。

上半月 CNCERT 监测发现境内被篡改网站数量为976个; 境内被植入后门的网站数量为1911个;针对境内网站的仿冒页面数量为5090个

    四、建议防范措施

根据我校04月份上半月整体网络与信息安全情况及外部网络威胁情况,应做到以下几点:

1、U盘使用前要进行杀毒扫描检查,不能随意乱插拔或不经杀毒扫描使用。

2、密码信息不要随意乱放,防止泄露。

3、检查是否关闭windows自动播放功能。

4、不要打开来历不明的邮件和访问不建议访问的网站。

5、离开电脑时应对电脑进行锁定,打开电脑需要输入密码。

6、关闭远程桌面,开放使用的一定要注意密码复杂度。

7、检查启动项中是否存在无用启动项和无用服务。