2017-2018-1第四期网络与信息安全简报
发布时间:2017-12-11 文章来源:实验实训中心 点击次数:
一、安全漏洞
11月份下半月,根据网信办通报预警,Apache官方公告S2-055漏洞(CVE-2017-7525),Struts在 Jackson JSON库中出现了漏洞。Struts 2.5 - Struts 2.5.14受影响, 用户需要尽快升级到 Struts 2.5.14.1。
根据国家信息安全漏洞共享平台(CNVD)的漏洞通报,11月份下半月主要存在如下安全漏洞:
(1)Microsoft office组件EQNEDT32.EXE存在内存破坏漏洞
近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft office组件EQNEDT32.EXE内存破坏漏洞(CNVD-2017-34031,对应CVE-2017-11882),利用此漏洞可以使需要使用受影响的微软office 或 Microsoft 写字板程序打开恶意文件,使未经身份验证的远程攻击者可以在目标系统上执行恶意代码,远程安装恶意软件,进而可能控制整个操作系统。CNVD对该漏洞的综合评级为“高危”。
漏洞详情及修复方法见:??????show/4286
(2)微软2017年11月安全公告
11月14日,微软发布了2017年11月份的月度例行安全公告,修复了其多款产品存在的129个安全漏洞。受影响的产品包括Windows 10 v1709(11个)、Windows 10 v1703(11个)、Windows 10 v1607 and WindowsServer 2016(11个)、Windows 10 RTM(11个)、Windows 8.1 and Windows Server2012 R2(10个)、Windows Server 2012(11个)、Windows 7 and Windows Server 2008R2(11个)、Windows Server 2008(10个)、Internet Explorer (12个)、Microsoft Edg(25个)和Office(6个)。
利用上述漏洞,攻击者可以执行远程代码,提升权限,获得敏感信息或进行拒绝服务攻击等。在此提醒校园网用户下载补丁更新,以防引发漏洞相关的网络安全事件。
参考信息:??????src.microsoft.com/en-us/security-guidance
(3)6.x版本JBOSS Application Server存在反序列化命令执行漏洞
2017年9月14日,国家信息安全漏洞共享平台(CNVD)收录了JBOSS Application Server反序列化命令执行漏洞(CNVD-2017-33724,对应CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大。
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,2006年,JBoss被Redhat公司收购。
2017年8月30日,厂商Redhat发布了一个JBOSSAS5.x的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。CNVD对该漏洞的综合评级为“高危”。
漏洞详情及修复方法见:??????show/4291
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
下半月,根据我校WAF防护结果统计,主要的攻击威胁如下
1)HTTP协议违背,共拦截17573次;
2)恶意扫描:共拦截7815次;
3)Web服务器漏洞攻击:共拦截7128次;
3)SQL注入攻击,共拦截2936次;
4)Web插件漏洞攻击:共拦截513次;
三、下半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,下半月本周境内感染网络病毒的主机数量约为59.28万个,其中包括境内被木马或被僵尸程序控制的主机约34.65万以及境内感染飞客(conficker)蠕虫的主机约24.63万。
下半月CNCERT监测发现境内被篡改网站数量为2930个;境内被植入后门的网站数量为1491个;针对境内网站的仿冒页面数量为761。
四、建议防范措施
根据我校11月份下半月整体网络与信息安全情况及外部网络威胁情况,请相关人员做好相应安全措施,建议如下:
1、针对微软2017年11月安全公告及Microsoft office组件EQNEDT32.EXE漏洞,建议校园网用户下载补丁更新,以防引发漏洞相关的网络安全事件。
2、针对StrutsS2-055漏洞(CVE-2017-7525)及6.x版本JBOSS Application Server存在反序列化命令执行漏洞,相关系统管理员检查是否有使用漏洞组件,并及时更新相关漏洞补丁。
3、为防止个人敏感信息泄露,信息发布人员严格遵循国家有关个人信息保护的相关法规制度,不能将师生身份证件号码、银行账号、家庭住址、电话号码、出生日期等师生个人敏感信息在网站等信息发布平台进行公示,信息发布审核人员严格审核发布的信息,如具有“个人敏感信息”,应拒绝发布或作相应隐私处理后再发布。