一、 安全漏洞

04月份上半月根据瓯海区网络与信息安全通报中心通报：思科部分系统Cisco Smart Install协议存在高危漏洞，漏洞具体情况如下：

思科IOS和IOS-XE系统的配置管理类协议Cisco Smart Install存在远程执行漏洞（CVE-2018-0171）。经分析研判，此次漏洞事件源于该协议存在一处缓冲区溢出漏洞，利用上述漏洞攻击者无需通过用户验证即可受影响设备的TCP 4786端口发送恶意数据包，导致远程命令执行或拒绝服务（DoS）。

04月份上半月根据国家信息安全漏洞共享平台（CNVD）的漏洞通报，04月份上半月主要存在如下安全漏洞：

（1）Microsoft发布2018年4月安全更新

4月10日，微软发布了2018年4月份的月度例行安全公告，修复了其多款产品存在的227个安全漏洞。受影响的产品包括Windows 10 v1709（28个）、Windows 10 v1703（28个）、Windows 10 v1607 and WindowsServer 2016（27个）、Windows 10 RTM（25个）、Windows 8.1 and Windows Server2012 R2（23个）、Windows Server 2012（21个）、Windows 7 and Windows Server 2008R2（20个）、Windows Server 2008（19个）、Internet Explorer（13个）、Microsoft Edge（11个）和Microsoft Office（12个）。

利用上述漏洞，攻击者可以执行远程代码，提升权限，欺骗，绕过安全功能限制，获得敏感信息，或进行拒绝服务攻击等

（2）关于WebLogic Server WLS核心组件存在反序列化漏洞

2018年4月18日，国家信息安全漏洞共享平台（CNVD）收录了WebLogic Server WLS核心组件反序列化漏洞（CNVD-2018-07811，对应CVE-2018-2628）。攻击者利用该漏洞，可在未授权的情况下远程执行代码

WebLogicServer是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。在WebLogic Server 的 RMI（远程方法调用）通信中，T3协议（丰富套接字）用来在 WebLogic Server 和其他 Java 程序（包括客户端及其他 WebLogic Server 实例）间传输数据，该协议在开放WebLogic控制台端口的应用上默认开启。

2018年4月18日凌晨，Oracle官方发布了4月份关键补丁更新CPU（CriticalPatch Update）,其中包含该Weblogic反序列化高危漏洞。利用该漏洞，攻击者可以在未经授权的情况下，远程发送攻击数据，通过T3协议在WebLogic Server中执行反序列化操作，反序列过程中会远程加载RMI registry,加载回来的registry又会被反序列化执行，最终实现了远程代码的执行。

根据官方公告情况，该漏洞的影响版本有：WebLogic10.3.6.0、WebLogic12.1.3.0、WebLogic12.2.1.2、WebLogic12.2.1.3

CNVD对该漏洞的综合评级为“高危”。

（3）Oracle发布2018年4月的安全公告

4月17日，Oracle发布了2017年4月份的安全更新，修复了其多款产品存在的254个安全漏洞。受影响的产品包括：Oracle Database Server数据库（2个）、电子商务套装软件Oracle E-Business Suite（12个）、MySQL数据库（33个）、中间件产品Fusion Middleware（39个）、Oracle Siebel托管型CRM软件（2个）；Communications Applications（9个）、Construction and Engineering Suite（4个）、EnterpriseManager Products Suite（10个）、Oracle Financial Services Applications（36个）、HospitalityApplications（13个）、Retail Applications（31个）、Support Tools（1个）、Utilities Applications（1个）、JD Edwards产品（3个）、PeopleSoft产品（12个）、Oracle Sun系统产品（14个）、Java SE（14个）、Supply Chain Products Suite（5个）和Virtualization（13个）。

本次安全更新提供了针对139个高危漏洞的补丁，有227个漏洞可被远程利用。

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP协议违背：共拦截72215次；

2）恶意扫描，共拦截19719次；

3）SQL注入攻击，共拦截5492次；

4）Web插件漏洞攻击：共拦截1175次。

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，4月份上半月共拉黑地址47个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月半月境内感染网络病毒的主机数量约为54.75万个，其中包括境内被木马或被僵尸程序控制的主机约40.1万以及境内感染飞客（conficker）蠕虫的主机约14.65万。

上半月 CNCERT 监测发现境内被篡改网站数量为2021个； 境内被植入后门的网站数量为2141个；针对境内网站的仿冒页面数量为1976。

四、建议防范措施

根据我校04月份上半月整体网络与信息安全情况及外部网络威胁情况，请相关人员做好相应安全措施，建议如下：

1、针对Microsoft和Oracle发布的4月安全更新建议各系统管理员和校园网用户及时下载补丁更新，以防引发漏洞相关的网络安全事件。

补丁下载参考信息：

微软:

??????support.microsoft.com/en-us/help/20180410/security-update-deployment-information-april-10-2018

Oracle:

??????security-advisory/cpuapr2018-3678067.html

3、针对思科部分系统Cisco Smart Install协议存在高危漏洞，请网络管理员及学校其它单位相关网络管理人员及时核查是否存在使用思科交换机，并参照如下地址修复：??????show/4475

4、针对WebLogic Server WLS核心组件存在反序列化漏洞，各系统管理核查所用系统是否存在WebLogic，并参照如下地址及时修复：??????show/4491