2016-2017-2第五期网络与信息安全简报
发布时间:2017-06-02 文章来源: 点击次数:
一、安全漏洞(来自漏洞监测平台)
5月份下半月,根据温州市网络与信息安全信息通报中心及云监测平台监测,我校网站和应用系统暂无出现高中危漏洞情况。
根据国家信息安全漏洞共享平台(CNVD)的漏洞通报,5月份下半月主要存在如下安全漏洞:
(1)Joomla! com_fields组件存在SQL注入漏洞
Joomla!是一套基于PHP的开源内容管理系统(CMS)。可用于搭建商业网站、个人博客、信息管理系统、Web服务等,还可进行二次开发以扩充使用范围。
“com_fields”是Joomla! 3.7.0版本中引入的一个新的组件,在该组件的.MarchModelFields模型下的 ./administrator /components/ com_fields/ models/fields.php文件中,有一个getListQuery方法对用户输入传入到list.fullordering未进行有效过滤,攻击者利用该漏洞不需要任何身份认证,通过给URL添加适当的参数注入嵌套的SQL查询即可获取数据库敏感信息。
CNVD对该漏洞的综合评级均为“高危”。
(2)Samba存在远程代码执行漏洞
Samba是运行于Linux和UNIX系统上实现SMB协议的软件,实现不同计算机之间提供文件及打印机等资源的共享服务。Samba现在已经实现Unix和Linux机器与各种Windows网络功能(包括Active Directory和Windows Server Domain)进行互操作的方法。
Samba从3.5.0版本开始的几乎所有版本均存在远程代码执行漏洞,且该漏洞已存在7年之久。成功利用漏洞需要满足以下三个条件:
1. 在互联网上开启文件和打印机共享的445端口,可以通过该端口与存在漏洞的主机进行通信。
2. 配置共享文件目录为可写权限。
3. 攻击者已知或可猜测出对应文件的路径。
该漏洞主要原因是is_known_pipename函数中的pipename参数中存在路径符号问题,远程攻击者通过构造一个有’/’ 符号的管道名或路径名,利用客户端将指定库文件上传到具有可写权限的共享目录加载恶意文件并提权到samba所在服务器的root权限,造成任意代码执行。
CNVD对上述漏洞的综合评级为“高危”。
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
上半月,根据我校WAF防护结果统计,主要的攻击威胁如下
1)服务器信息泄露,共拦截138108次(主要为百度等搜索网站进行爬虫);
2)HTTP协议违背,共拦截9018次;
3)Web插件漏洞攻击,共拦截909次。
三、下半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,下半月本周境内感染网络病毒的主 机数量约为 47.6 万个,其中包括 境内被木马或被僵尸程序控制的 主机约 30.4 万以及境内感染飞客 (conficker)蠕虫的主机约 17.2 万。
(1)关于警惕“影子经纪人”事件系列漏洞威胁
北京时间5月12日,全球互联网遭受Wannacry勒索软件蠕虫感染。截止17日16时,CNCERT监测发现全球近356.3万个IP地址遭受“永恒之蓝”SMB漏洞攻击,其中位于我国境内的IP地址数量接近12.5万个,对我国互联网造成严重的安全威胁。综合CNCERT和国内网络安全企业已获知的样本情况和分析结果,该勒索软件蠕虫在传播时基于445端口并利用SMB漏洞(对应微软漏洞公告:MS17-010),可以判断是由于“影子经纪人”(Shadow Brokers)组织此前公开披露漏洞攻击工具而导致的后续勒索软件蠕虫攻击。
(2)关于“EternalRocks”的新型网络蠕虫病毒
日前,国外研究人员发现一种名为“EternalRocks”的新型网络蠕虫病毒,经分析,其采用了7个“Shadow Broker”(影子经纪人)组织在互联网上发布的“方程式”(Equation Group)组织工具,分别是“ETERNALBLUE”、“ETERNALCHAMPION”,“ETERNALROMANCE”,“ETERNALSYNERGY”、“SMBTOUCH”、“ARCHITOUCH”,“DOUBLEPULSAR”。 针对微软Windows系列操作系统的SMB服务进行攻击,并且与“WannaCry”勒索病毒相似,同样利用Windows操作系统SMB协议漏洞(MS17-010)进行传播,受害主机会被安装后门程序。经监测,目前尚未发现国内用户感染案例,国家计算机病毒应急处理中心将对该病毒进行持续跟踪监测。建议国内用户做好防护工作,尽快安装MS17-010漏洞补丁。
四、建议防范措施
根据我校5月份下半月整体网络与信息安全情况及外部网络威胁情况,请各学院、各部门做好相应安全措施,建议如下:
1、为防范永恒之石、影子经纪人等蠕虫病毒攻击,我校网络信息安全员应在边界出口设备和在内网核心主干交换设备做好端口禁用的安全防护策略,安全设备做好相关策略配置。
2、系统管理员针对各信息系统下载360NSA 武器库免疫工具,对系统漏洞进行修复,并打好MS17-010、MS17-061、MS14-068、MS09-050、MS08-067 等补丁。
针对Joomla! com_fields漏洞,如有使用Joomla!开源内容管理系统(CMS),请升级版本至3.7.1版本。
针对Samba存在远程代码执行漏洞,如有使用Samba(Linux下使用),请升级至4.6.4、4.5.10、4.4.14 版本中的一个。
3、针对终端用户,应提高防范意识,并做到:
1) 做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
2) 养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
3) 注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
4) 停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
5) 不要打开来历不明或可疑的电子邮件和附件。
6) 注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。