安全通报

当前位置:首页 > 资讯 > 安全通报

通知公告资源动态新闻动态安全通报

2018-2019-2第七期网络与信息安全简报

发布时间:2019-07-04 文章来源:信息服务中心 点击次数:

安全公告编号:CNTA-2019-0020

2019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统配置信息泄露漏洞(CNVD-2019-16798)。攻击者利用该漏洞,可在未授权的情况下获取敏感配置文件信息。目前,漏洞相关细节和验证代码已公开,厂商已发布补丁进行修复。

一、漏洞情况分析

Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统,客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位,在我国境内应用较为广泛。

2019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞(CNVD-2019-16798)。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞的影响版本如下:

Coremail XT 3.0.1至XT 5.0.9版本,XT 5.0.9a及以上版本已修复该漏洞。

CNVD秘书处对Coremail服务在我国境内的分布情况进行统计,结果显示我国境内的Coremail服务器数量约为3.7万(根据IP端口统计)。

综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1484台服务器受此漏洞影响,影响比例约为4.0%。按受影响行业进行统计,高校占比较高。我平台已将探测结果与论客公司共享,协助其开展用户侧修复相关工作。

三、漏洞处置建议

目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本号1.1.0-alpha build20190524(3813d273)。如已安装的程序包的版本号日期早于20190524,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。如有疑问,也可通过400-888-2488 或 support@coremail.cn 联系厂商售后人员提供协助。

临时修补方法如下:

1、在不影响使用的情况下,仅允许VPN连接后才可访问;

2、在Web服务器(nginx/apache)上限制外网对 /mailsms 路径的访问。

建议使用Coremail构建邮件服务器的信息系统运营者立即自查,发现存在漏洞后及时修复。

二、防御情况(来自WAF、防火墙)

1、告警分类统计报表

1.png                                             

2、告警分类统计数据

2.png

上半月,根据我校WAF防护结果统计,主要的攻击威胁如下

事件类型

事件次数

HTTP协议违背

32006

HTTP访问控制事件

20681

敏感信息过滤

15630

COOKIE篡改

10051

爬虫事件

9536

页面内容非法

7418

资源盗链

6442

WEB构件漏洞攻击

3008

非法下载

1652

总计

106424

 

1HTTP协议违背事件:共拦截32006次;

2HTTP访问控制:共拦截20681次。

3)敏感信息过滤:共拦截15630次;

4COOKIE篡改:共拦截10051次;

5)爬虫事件:共拦截9536次;

 

3、防火墙黑名单

   根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,06月份上半月共拉黑地址27个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为41.9万个。

上半月 CNCERT 监测发现境内被篡改网站数量为8817个; 境内被植入后门的网站数量为7726个;针对境内网站的仿冒页面数量为10998个。

四、建议防范措施

根据我校06月份上半月整体网络与信息安全情况及外部网络威胁情况,应做到以下几点:

1、对于校内资源尽量使用VPN进行访问,减少对外开发的信息系统数量

2、个人电脑要设置开机密码,离开时养成随手锁屏的习惯