2016-2017-2第三期网络与信息安全简报
发布时间:2017-05-02 文章来源:实验实训中心 点击次数:
一、安全漏洞(来自漏洞监测平台)
4月份下半月,根据市公安局网监及云监测平台监测,我校网站和应用系统暂无出现高中危漏洞情况。
根据国家信息安全漏洞共享平台(CNVD)的漏洞通报,4月份下半月主要存在如下漏洞:
1)Jackson框架存在Java反序列化代码执行漏洞
Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。4月15日,CNVD白帽子(ID:ayound)提交了Jackson存在Java反序列化漏洞的情况,CNVD秘书处进行了本地环境核实,确认漏洞在一定条件下可被触发,达到任意代码和系统指令执行的目的。该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞
2)zabbix存在数据库写入和代码执行高危漏洞
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案,可用于对服务器网络集群的集成管理。
漏洞的技术成因在于Zabbix 2.4.x版本trapper功能代码部分,该部分代码的主要功能是允许Proxy和Server进行网络通信(一般通过TCP 10051端口),并且Zabbix Server提供了针对Zabbix Proxy的API调用接口。攻击者可构造特定的恶意trapper数据包绕过其后台数据库(一般是MySQL)的逻辑检查,造成数据库写入。攻击者可通过中间人的方式修改Zabbix proxy和Server间的请求来触发漏洞,并执行系统命令注入,进而控制Zabbix服务器主机。
虽然要实施攻击存在一定的复杂度,但CNVD对漏洞的综合评级仍为“高危”。
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
上半月,根据我校WAF防护结果统计,主要的攻击威胁如下
1)服务器信息泄露,共拦截171376次(主要为百度等搜索网站进行爬虫);
2)HTTP协议违背,共拦截4740次;
3)Web插件漏洞攻击,共拦截39839次。
三、下半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,下半月境内感染网络病毒的主机数量约为43.7 万个,其中包括境内被木马或被僵尸程序控制的主机约25.6 万以及境内感染飞客(conficker)蠕虫的主机约18.1万。
放马站点是网络病毒传播的源头。下半月,CNCERT监测发现的放马站点共涉及域名951个,涉及IP地址337个。在951个域名中,有2.7%为境外注册,且顶级域为.com的约占72.3%;在337个IP中,有约5.9%位于境外。根据对放马URL的分析发现,大部分放马站点是通过域名访问,而通过IP直接访问的涉及10个IP。
国家计算机病毒应急处理中心通过对互联网的监测发现,近期一种感染手机木马程序变种Trojan.Android.Gen感染手机用户。
经分析发现,该恶意木马程序感染会在受感染手机系统中获取如下权限:获取root权限;篡改、修改系统文件;创建指定文件及目录;释放指令注入到手机进程中实现发送和屏蔽短信的功能;频繁弹出广告,影响手机系统的正常使用。
另外,该变种具有恶意扣费,窃取手机用户隐私信息,静默下载安装其他应用程序等功能。
四、建议防范措施
根据我校4四月份下半月整体网络与信息安全情况及外部网络威胁情况,请各学院、各部门做好相应安全措施,建议如下:
1)我校网络信息安全员根据相关部门发布的漏洞情况,及时核对我校是否存在相关漏洞,并进行补丁修复和防火墙策略配置。
2)针对手机木马程序变种Trojan.Android.Gen感染手机用户,建议立即升级手机中的防病毒软件,进行全面杀毒。
3)各学院、各部门应及时对系统进行安全扫描,安装系统补丁,修补操作系统和应用软件漏洞。特别是对第三方软件的安装使用要严格管理,对必须使用的第三方软件要保证及时更新。
4) 网站管理者要加强网站的监督管理,定期对上传的Web网页文件进行比对,包括文件的创建、更新时间,文件大小等,及时发现异常的Web网页文件。一旦发现异常文件,应立即删除并更新。定期维护升级网站服务器,检查服务器所存在的漏洞和安全隐患。
5) 对于重点系统和网站,很有可能被利用现有的漏洞进行挂马,或跳转到其他恶意网站。实训中心采取了相应措施,建立了对重点网站的巡查机制,以便于及时发现问题。
6) 及时下载安装操作系统和系统中应用软件的漏洞补丁程序,阻止各类病毒、木马等恶意程序入侵操作系统。
7) 计算机用户在Web网页时,务必打开计算机系统中防病毒软件的“网页监控”功能。同时,计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本,防止恶意木马利用漏洞进行入侵感染操作系统。
8) 不要轻易打开来历不明的邮件,尤其是邮件的附件;不要随便登录不明网站。
9) 使用U盘、软盘进行数据交换前,先对其进行病毒检查;同时, 禁用U盘的自动播放功能,避免在插入U盘或移动硬盘时受到病毒感染。
10) 做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。
11) 发现网络和系统异常,及时与实训中心联系。