此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年2月)
索引:  K08260953/2017-02327 发布机构:  吉林省通信管理局办公室
生成日期:  2017-3-23 13:18:28 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年2月)
吉林省互联网网络安全情况月度通报(2017年2月)
发布时间:2017-3-23 13:18:28  

1.情况综述

  2017年2月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。

2.本月网络安全事件处置情况

  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件91起,其中包括网页篡改事件12起、漏洞事件74起、网站后门5起;协调省内各基础电信企业上报事件963起,均已及时处理。

  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端71个,受控端779个;处置被蠕虫病毒感染IP684个。

3.本月重要漏洞情况

3.1 Microsoft Windows SMB TreeConnect响应拒绝服务漏洞

  3.1.1 漏洞情况分析

  Microsoft Windows是美国微软公司发布的一系列操作系统。服务器信息块(SMB)是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源。

  微软 Windows 操作系统未能正确处理来自服务器(SMB)的流量,即Windows客户端无法正确处理一个包含了太多字节的特制服务器响应(在 SMB2 TREE_CONNECT 响应结构中的定义),导致mrxsmb20.sys 崩溃(蓝屏死机)。

  CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现攻击尝试爆发的可能。

  3.1.2 漏洞影响产品

  Windows 8.1、Windows10、Windows Server 2016、Windows Server 2012 R2

  3.1.3漏洞处置建议

  目前,厂商尚未发布漏洞修复补丁, CNVD建议用户采取如下临时解决办法,并关注厂商更新,及时将程序升级到最新版本,避免引发漏洞相关的网络安全事件:

  将本地网络至广域网的外传 SMB 连接屏蔽掉(TCP 139/445端口、以及UDP 137/138端口)。

3.2 F5 BIG-IP设备存在TicketBleed漏洞

  3.2.1 漏洞情况分析

  F5BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,主要用于互联网出入口流量管理和负载优化。Session Tickets是加速重复连接的一项恢复技术。

  BIG-.IP虚拟服务器配置客户端SSL配置文件启用了非默认Session Tickets选项,当客户端提供SessionID和SessionTickets时, Session ID的长度可以在1到31个字节之间,而F5堆栈总是回显32字节的内存。攻击者利用该漏洞提供1字节Session ID可收到31字节的未初始化内存信息,从而获取其他会话安全套接字层(SSL)SessionID。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,但通过漏洞一次只能获取31个字节数据,而不是64k,需要多次轮询执行攻击,并且仅影响专有的F5 TLS堆栈。

  CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现大量攻击尝试的可能。

  3.2.2漏洞影响产品

  受此漏洞影响的设备类型和版本,以及受该漏洞影响的组件和功能的详细信息请参阅下表。根据CNVD秘书处普查情况,相关F5 BIG-IP设备共有70028台暴露在互联网上,而在中国境内有2213台BIG-IP设备(占全球比例3.16%),但测试未发现受到漏洞实际影响。根据漏洞研究者的抽查比例,互联网上443端口受该漏洞影响的443端口TLS服务比例约为0.2%。

产品名称
受影响版本
不受影响版本
威胁评级
受影响服务组件
BIG-IP LTM
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2  11.2.1
High
BIG-IP virtual server*
BIG-IP AAM
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2
High
BIG-IP virtual server*
BIG-IP AFM
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2
High
BIG-IP virtual server*
BIG-IP Analytics
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2  11.2.1
High
BIG-IP virtual server*
BIG-IP APM
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2  11.2.1
High
BIG-IP virtual server*
BIG-IP ASM
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2  11.2.1
High
BIG-IP virtual server*
BIG-IP GTM
11.4.0 - 11.6.1
11.6.1 HF2  11.2.1
High
BIG-IP virtual server*
BIG-IP Link Controller
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2  11.2.1
High
BIG-IP virtual server*
BIG-IP PEM
12.0.0 - 12.1.2  11.4.0 - 11.6.1
11.6.1 HF2
High
BIG-IP virtual server*
BIG-IP PSM
11.4.0 - 11.4.1
None
High
BIG-IP virtual server*

  3.2.3漏洞处置建议

  受影响的产品在本次公开披露时并非所有版本都可以通过升级解决。F5官方提供的临时解决方案如下:

  1.登录到配置实用程序

  2.在菜单上导航到本地流量>配置文件>SSL>客户端

  3.将配置的选项从基本切换到高级

  4.取消选中Session Ticket选项以禁用该功能

  5.单击更新以保存更改

3.3 Node.js存在反序列化远程代码执行漏洞

  3.3.1 漏洞情况分析

  Node.js是一个Javascript运行环境(runtime),对Google V8引擎进行了封装。Node.js同时也是一个基于Chrome JavaScript运行时建立的平台,用于方便地搭建快速响应、易于扩展的网络应用。

  Node.js反序列化模块node-serialize库中的unserialize()函数未做安全处理,该漏洞通过传递调用JavaScriptIIFE函数表达式的方式实现远程任意代码执行的效果。攻击者可通过远程攻击获得当前服务器运行环境权限,由于实际部署中node.js运行环境较多为操作系统root权限,因此可完全控制服务器主机。CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现攻击尝试爆发的可能。

  3.3.2 漏洞影响产品

  根据漏洞研究者测试结果,由于涉及IIFE函数表达式,漏洞影响到Node.js现有的所有版本。根据CNVD秘书处的普查结果,目前互联网上直接标定使用node.js运行环境的服务器约有6.8万余台,其中排名前五名的国家和地区是美国(占比58.9%)、中国(23.2%)、英国(4.1%)、荷兰(3.6%)、德国(3.0%)。由于一个应用广泛的名为Express的WEB应用开发框架是基于node.js运行环境的,根据CNVD秘书处初步普查结果,受该漏洞影响的网站服务器有可能超过70万台,后续CNVD将进一步进行漏洞实际威胁影响的精确评估,做好境内用户的应急响应工作。

  3.3.3漏洞处置建议

  厂商尚未提供漏洞修补方案,请关注主页更新情况:https://github.com/luin/serialize。同时也可以通过以下临时解决方案加固服务器主机:

  1. 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值并保证该值不被泄漏。

  2. 确保Serialize字符串仅内部发送。

  3. 使用公钥(RAS)加密Serialize字符串,确保字符串不被篡改。

3.4 NETWAVE IP Camera存在内存信息泄露漏洞

  3.4.1 漏洞情况分析

  NETWAVE IP Camera是由荷兰NetWave SystemsB.V.公司生产的网络摄像头产品。NETWAVE IP Camera存在内存泄露漏洞以及多处非授权访问信息泄露风险(如:获到设备ID、系统信息和网络状态等),其中较为严重的风险是可通过访问“//proc/kcore”页面获得内存影像信息,相关信息中有可能直接获得设备的用户名、密码等敏感信息,进而取得设备控制台的管理操作权限。

  CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期有出现大量攻击尝试的可能。

  3.4.2 漏洞影响产品

  在初始设置状态下,漏洞影响NETWAVEIP Camera的所有版本。根据CNVD秘书处普查情况,互联网上约有11.9万台IP标定为NETWAVE IPCamera设备,其中欧美地区使用较多,排名前十名的国家和地区有法国(占比21.3%)、德国(16.9%)、美国(8.1%)、荷兰(6.4%)、意大利(5.5%)、韩国(3.6%)、西班牙(3.0%)、中国香港(2.6%)、英国(2.6%)和巴西(2.3%),而中国大陆地区有1222台IP设备(占比1.0%)。根据对中国境内IP测试结果,开放控制台访问权限的IP有48.4%,而存在漏洞的比例不到3%。

  3.4.3漏洞处置建议

  厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:http://www.netwavesystems.com/。同时,建议相关用户设置防火墙白名单,禁止无关IP和用户访问管理控制台以相关未授权页面,

3.5 Linux Kernel存在本地权限提升漏洞

  3.5.1 漏洞情况分析

  Linuxkernel是美国Linux基金会发布的操作系统Linux所使用的内核。DCCP(数据报拥塞控制协议)是面向消息的传输层协议,其尽可能最小化分组报头大小或端节点处理的开销,并且提供不可靠分组流的建立,维护和拆卸以及该分组流的拥塞控制。

  安全研究人员在DCCP实现中使用Syzkaller(Google发布的内核模糊测试工具)发现 了十多年前的Linux KernelBug(CVE-2017-6074)。 该漏洞是一个“Use-After-Free”漏洞(内存数据破坏缺陷),内核中net/dccp/input.c文件的dccp_rcv_state_process函数存在安全漏洞,由于程序未能正确处理DCCP_PKT_REQUEST数据结构。本地攻击者可借助IPV6_RECVPKTINFOsetsockopt系统调用的应用程序,利用该漏洞更改Linux内核内存,导致拒绝服务(系统崩溃)或获取系统上的管理访问权限。

  在两个月前在Linux内核中发现了一个类似的特权提升漏洞(CVE-2016-8655),该漏洞可追溯到2011年,由于创建AF-PACKET套接字时,网络命名空间中需要CAP_NET_RAW,在低权限命名空间可用的系统中(Ubuntu、Fedora等)可通过未授权进程获取。本地攻击者利用漏洞可在内核中执行任意代码,导致拒绝服务条件,或以管理员权限执行任意代码。

  CNVD对上述漏洞技术评级为“高危”。

  3.5.2 漏洞影响产品

  CNVD-2017-01870漏洞影响的版本为Linux kernel 4.9.11及以前的版本,影响Linux操作系统的主要发行版,包括Redhat,Debian,OpenSUSE和Ubuntu.

  CNVD-2016-11972漏洞影响范围:Linux内核(2011年4月19日发行)开始受影响,直到2016年11月30日修复。

  3.5.3漏洞处置建议

  CNVD-2017-01870漏洞厂商已发布了漏洞修复程序,请及时关注更新: 

  https://github.com/torvalds/linux/commit/5edabca9d4cff7f1f2b68f0bac55ef99d9798ba4

  CNVD-2016-11972漏洞厂商提供漏洞修补链接如下:

  https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c 

4.网络安全要闻

4.1 工信部发布《信息通信网络与信息安全规划(2016-2020)》

  1月30日消息 为指导信息通信行业开展“十三五”期间网络信息安全工作,更好地服务网络强国建设和全面建成小康社会的目标要求,服务国家安全和社会稳定的大局,依据《网络安全法》、《中华人民共和国国民经济和社会发展第十三个五年规划纲要》和《国家网络空间安全战略》,近日,工业和信息化部制定印发了《信息通信网络与信息安全规划(2016-2020年)》(以下简称《规划》)。《规划》围绕贯彻落实习近平总书记关于网络安全和信息化工作的系列重要讲话精神,立足信息通信行业网络与信息安全管理职责,紧扣“十三五”期间行业网络与信息安全工作面临的重大问题,对“十三五”期间行业网络与信息安全工作进行统一谋划、设计和部署,是“十三五”时期信息通信行业网络与信息安全工作的指导性文件。《规划》全面总结了“十二五”期间行业网络与信息安全工作取得的成效,并从国家层面安全工作要求、行业管理改革大局、信息通信技术业务创新发展、国内网络反恐维稳严峻态势、网络空间用户权益保障、国际网络空间竞合复杂形势等六个方面系统分析了“十三五”面临的形势。《规划》明确了以网络强国战略为统领,以国家总体安全观和网络安全观为指引,坚持以人民为中心的发展思想,坚持“创新、协调、绿色、开放、共享”的发展理念,坚持“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”的指导思想;提出了创新引领、统筹协调、动态集约、开放合作、共治共享的基本原则;确定了到2020年建成“责任明晰、安全可控、能力完备、协同高效、合作共享”的信息通信网络与信息安全保障体系的工作目标。此外,《规划》共提出了9个方面的重点任务,从强化组织机构建设、加强资金保障、建设新型智库、强化人才队伍、加强宣传教育、规划组织实施等6个方面提出了保障措施。

------(来源:中国网信网)

4.2 匿名者组织攻陷五分之一“暗网”

  2月4日消息 近日,大量基于Tor网络连接的暗网网站被黑客攻击,超过1万个暗网页面被黑客替换成含有警告信息的页面。某隶属于匿名者组织的黑客小组声称对此攻击行为负责,涉及此次攻击的暗网站点采用主流的Tor连接Freedom Hosting II主机服务,Freedom Hosting II主机服务彻底被该黑客组织攻破,据安全专家介绍,涉及站点约占暗网组成的五分之一。该黑客组织披露,被攻破的这些暗网站点数据中,超过半数涉及儿童色情,还有一些比特币担保交易服务,庞氏骗局信息和黑客论坛。黑客向Freedom Hosting II主机服务提出可用0.1比特币(约为100美元)交换泄露数据。Freedom Hosting初代主机服务在2013年被执法部门攻破,当时该主机服务组成了半数暗网访问流量,泄露出大量非法儿童色情数据。

------(来源:cnBeta.COM)

4.3 美国情报系统又出安全漏洞

  2月13日消息 据美联社报道,2月8日,美国检方以窃取机密信息等20项罪名起诉哈罗德·马丁,指控他在1996年至2016年为国家安全局等政府部门服务期间盗取大量机密文件,并储存在自家房屋和汽车中。马丁将在14日出庭受审,如果这些罪名成立,马丁将面临数十年监禁。马丁现年52岁,2012年至2015年受雇于博思艾伦咨询公司,该公司是美国国家安全局的承包商。此前向媒体曝出美国国家安全局关于“棱镜计划”等大规模监听项目的爱德华·斯诺登就曾在这家公司供职。因此,有美国媒体将马丁称为“斯诺登第二”。2016年8月,执法部门发现马丁私自存储大约50TB的机密文件和数据,将其逮捕。这些涉密文件包括国家安全局含有敏感内容的简报和报告,如2009年该部门制定的保护美国情报信息的方法及流程。此外,马丁还存储了中央情报局、美国“网络司令部”等部门的海量涉密文件,其中包括发射情报收集卫星、打击恐怖分子嫌疑人的计划与行动信息等。这起事件再次暴露美国情报部门的安全漏洞。 

------(来源:新浪网)

4.4雅虎警告用户他们的账户遭遇国家背景的黑客攻击

  2月16日消息 雅虎似乎又陷入麻烦了。据ZDNet报道,该公司发出电子邮件警告用户,国家支持的攻击者可能已经攻陷了他们的帐户。据说这次攻击依赖于一个合理的cookie伪造漏洞,可以执行攻击而不需要获取用户密码。雅虎在去年发布了一系列引人注目的公告,表示旗下用户的账户已经被多次攻击。这家桑尼维尔巨头透露,它遭受了一次大规模攻击,影响超过50万用户,然后三个月后,它又被黑客攻击,使十亿用户面临风险。最新攻击的规模仍不清楚,但ZDNet获得的电子邮件表明,这次攻击可追溯到2015年。雅虎公司发言人证实:“调查发现,我们认为黑客利用了用户帐户的认证cookie发动攻击。雅虎正在通知所有可能受影响的账户持有人。”雅虎进一步指出,在发现这次攻击事件之后,雅虎让所有用户的Cookie作废,从而有效地切断了黑客攻击。 

------(来源:cnBeta.COM)

4.5 黑客通过控制麦克风窃取超过600GB的数据

  2月21日消息 研究人员曝光了利用麦克风窃取情报的网络间谍行动。攻击者从大约70个目标窃取了超过600GB的数据,这些目标包括了关键基础设施、新闻媒体和科研机构。攻击者首先向目标发送钓鱼邮件,恶意程序隐藏Microsoft Word文档中,一旦感染目标之后利用恶意程序控制设备的麦克风去记录对话、屏幕截图、文档和密码。收集的情报上传到Dropbox账号。研究人员根据其使用麦克风和Dropbox而将这一行动称为Operation BugDrop。大多数被感染的目标位于乌克兰,其余目标位于沙特和澳大利亚。乌克兰最近遭受了大规模的黑客攻击,导致电网短暂关闭,但目前没有证据显示Operation BugDrop与网络攻击导致的断电相关。 

------(来源:环球网)


关于国家互联网应急中心吉林分中心(JLCERT)

  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。

联系我们

  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。

  网址:www.jlca.gov.cn

  Email:jlcert@cert.org.cn

  电话:80982910