此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年10月)
索引:  K08260953/2017-02971 发布机构:  吉林省通信管理局办公室
生成日期:  2017-11-22 16:33:47 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年10月)
吉林省互联网网络安全情况月度通报(2017年10月)
发布时间:2017-11-22 16:33:47  

1.情况综述
  2017年10月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件102起,其中包括网页篡改事件18起、漏洞事件76起、网站后门事件8起。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端52个,受控端2600个;处置被蠕虫病毒感染IP1263个。
  3.本月重要漏洞情况
  3.1 DNSmasq存在多个高危漏洞
  3.1.1 漏洞情况分析
  DNSmasq是一款广泛使用的开源软件,提供DNS、DHCP、路由器广告和网络引导服务。在DNS服务中,DNSmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度;在DHCP 服务,DNSmasq可以用于为局域网电脑分配内网ip地址和提供路由。它还被广泛用于智能手机和便携式热点,并支持虚拟化框架中的虚拟网络。支持的平台包括Linux(与glibc和uclibc)、Android、* BSD和Mac OSx。Dnsmasq包含在大多数Linux发行版和FreeBSD、OpenBSD和NetBSD的端口系统中。此外,Dnsmasq对IPv6网络也提供了完整支持。
  上述漏洞可以通过DNS和DHCP协议远程触发,在特定情况下,攻击者通过构造特定数据包请求,导致远程代码执行、信息泄露和拒绝服务。CNVD对上述漏洞的综合评级均为“高危”。
  3.1.2 漏洞影响产品
  漏洞影响范围十分广泛,涉及Linux以及Android操作系统发行版本以及多个自身组件版本,也波及到一些网络设备或终端设备固件。CNVD用户组成员单位华为公司对其生产的产品情况进行了风险自查,在已排查的有可能采用相关组件的HG8021H、HG8045A、HG8045A2、HG8245A、HG8247H多款路由器中,确认未受漏洞影响。
  3.1.3漏洞处置建议
  DNSmasq 2.78版本已修复了这些漏洞,用户可通过链接:
http://www.thekelleys.org.uk/dnsmasq/自行更新。如未能更新,可以采用以下临时解决方案:
  必要情况下,请关闭影响DNSmasq安全的配置选项;使用白名单机制,这样可以使DNSmasq服务限制访问权限;使用可信的DNS服务。
  3.2 WPA2无线网络密钥重装漏洞
  3.2.1 漏洞情况分析
  WPA全名为Wi-FiProtected Access,中文译名Wi-Fi网络安全接入,包括:WPA和WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统。WPA2 (WPA 第二版)是基于WPA的一种新的加密方式,具备完整的IEEE 802.11i标准体系。
  WPA2无线网络加密协议漏洞,入侵方式被称作“密钥重装攻击”。Wi-Fi保护访问II(WPA2)的密钥协商握手协议存在设计缺陷,可通过部分报文重放,重置随机数和会话密钥,导致无线接入点(AP)或客户端重新安装密钥。攻击者利用这些漏洞,可在AP和客户端的连接范围内,实现包括数据包解密和注入、TCP连接劫持、HTTP内容注入或单播和组寻址帧的重放攻击,破坏数据传输的机密性。
  CNVD对该漏洞的综合评级为“中危”。
  3.2.2漏洞影响产品
  该漏洞影响十分广泛,可直接影响或间接影响到基于RTP协议的产品供应商或服务提供商。根据当前测试结果,确认已知受影响的产品如下:Asterisk14.4.0、TPproxy (tested 1.2.1-2ubuntu1 and RTPproxy2.2.alpha.20160822 (git))。
  漏洞命名虽然参考了OpenSSL心脏滴血“HeartBleed”漏洞,但原理不完全相同。HeartBleed是因OpenSSL组件漏洞而泄露内存信息,RTPBleed是由于RTP协议实现缺陷而导致RTP流数据包存在暴露风险。
  3.2.3漏洞处置建议
  目前,已修复该漏洞的厂商如下,CNVD建议用户及时下载补丁进行更新:
  Cisco:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
  Intel Corporation:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr
  Juniper:http://kb.juniper.net/JSA10827
  Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
  Aruba:http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt
  Broadcom: Advisory will be distributeddirectly to customers
  Marvell: Advisory to be distributeddirectly to customers
  Mojo Networks:http://www.mojonetworks.com/wpa2-vulnerability
  Peplink:https://forum.peplink.com/t/security-advisory-wpa2-vulnerability-vu-228519/12715
  Sierra Wireless:https://source.sierrawireless.com/resources/airlink/software_reference_docs/technical-bulletin/sierra-wireless-technical-bulletin—wpa-and-wpa2-vulnerabilities/
  WatchGuard:https://www.watchguard.com/wgrd-blog/wpa-and-wpa2-vulnerabilities-update
  Wi-Fi Alliance:https://www.wi-fi.org/securityupdate2017
  3.3 Adobe ColdFusion 存在反序列化远程代码执行漏洞
  3.3.1 漏洞情况分析
  ColdFusion,是Adobe旗下的一个动态Web服务器,其CFML(ColdFusionMarkup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。
  ColdFusion存在反序列化漏洞,其在开启“RemoteAdobe LiveCycle Data Management access”功能的条件下会开启rmiregistery服务,且会在本地监听1099端口。由于程序未对不可信的数据做校验就进行了反序列化的操作,攻击者可通过RMI协议向Adobe ColdFusion服务端发送精心构造的反序列化代码来触发漏洞实现远程代码执行,并且在返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。
  CNVD对漏洞的综合评级均为“高危”。
  3.3.2 漏洞影响产品
  ColdFusion 11 Update 12及之前版本
  ColdFusion (2016 release) Update 4及之前版本
  3.3.3漏洞处置建议
  根据官方发布的安全更新,建议升级最新补丁:
  ColdFusion 11 Update13:
  
http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html
  ColdFusion (2016 release) Update5:
  
http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html
  不能及时升级补丁的,可以采用如下临时解决方案:
  检查1099端口是否开放,如果开放则存在安全隐患,请及时关闭“Remote AdobeLiveCycle DataManagement access”服务。
  4.网络安全要闻
  4.1 雅虎30亿帐号或全部受早先数据泄露事件影响
  10月4日消息 北京时间4日早间CNBC称,雅虎周二表示,所有雅虎帐号在 2013年8月的一次大规模数据泄露事件中都曾受到影响。雅虎去年披露,超过10亿个帐号在那次网络攻击中受到影响。但该公司周二表示,所有帐户都有可能受到了影响。该公司在其账号安全更新页面最近的一次更新中披露了这一发现,称通过与威瑞森通信公司(Verizon Communications)的业务合并过程中获得的新情报证实,此次网络攻击的影响范围远超过此前的估计。雅虎表示,将开始向此前没有被通知此次攻击的帐号发出提醒,要求他们更改密码,以防止信息泄露。
  ——(来源:新浪网)
  4.2 黑客伪造美国合法金融机构的安全信息发动网络钓鱼攻击
  10月2日消息 据外媒 9月29日报道,安全研究人员近期发现网络犯罪分子通过伪造来自美国银行与 TD 商业银行等私人金融机构的合法域名、机构标志与其邮件底部的保密声明发送网络钓鱼邮件,旨在向不知情受害者分发恶意软件、窃取重要信息。调查显示,攻击者伪造合法银行安全信息发送网络钓鱼邮件,并在邮件中指示用户下载附件、填写个人信息并对其进行回复等一系列操作。据悉,该封电子邮件中所附带的Word 文档包含一款恶意软件,用户一旦下载并安装将会允许攻击者在 Windows 设备上重写用户目录文件。值得注意的是,该款恶意软件可以规避部分杀毒软件检测,因为附带恶意软件的文档是安全的。若受害者设备成功安装该款恶意软件,攻击者就可对其进行访问与操控,从而窃取用户重要信息。
  ——(来源:HackerNews)
  4.3银行窃贼运用新的透支技术盗取东欧银行 4000多万美元
  10月14日消息 Trustwave SpiderLabs 10月10日发布的报告显示,网络犯罪团伙使新招窃取东欧银行逾4000万美元(约合人民币2亿6335 万元)。这帮黑客游刃有余地并用几大招数发起攻击:入侵银行网络+操纵透支额度+禁用欺诈提醒+从ATM 机大笔提现。这类盗窃是目前为止最复杂的银行盗窃,与去年SWIFT(全球金融电讯协会)惊天银行大劫案相当。这份报告显示,这一系列攻击今年 3 月开始爆发。SpiderLabs网络威胁检测及响应副总裁Brian Hussey表示,发起这些攻击的黑客不是“独行侠”,而是组织严密的国际犯罪团伙所为。Hussey称,所在公司调查了后苏联国家五家银行遭遇的盗窃案。攻击者从每家银行窃取了300万美元至1000万美元,已知黑客组织共盗取4000多万美元,但可能还存在其它受害银行。
  ——(来源:凤凰网)
  4.4 WiFi漏洞几乎影响所有无线设备
  10月17日消息 北京时间 10月17日早间消息,有计算机安全专家发现了 WiFi设备的安全协议存在漏洞。这个漏洞影响许多设备,比如计算机、手机、路由器,几乎每一款无线设备都有可能被攻击。漏洞名叫“KRACK”,也就是“Key Reinstallation Attack”的缩写,它曝露了WPA2的一个基本漏洞,WPA2 是一个通用协议,大多现代无线网络都用到了该协议。计算机安全学者马蒂•凡赫尔夫发现了漏洞,他说漏洞存在于四路握手机制中,四路握手允许拥有预共享密码的新设备加入网络。在最糟糕的情况下,攻击者可以利用漏洞从 WPA2 设备破译网络流量、劫持链接、将内容注入流量中。换言之,攻击者通过漏洞可以获得一个万能密钥,不需要密码就可以访问任何WAP2网络。一旦拿到密钥,他们就可以窃听你的网络信息。漏洞的存在意味着WAP2协议完全崩溃,影响个人设备和企业设备,几乎每一台设备都受到威胁。
  ——(来源:新浪网)
  4.5 欧洲爆发新勒索病毒 已扩散至多国
  10月25日消息 据外媒 10月25日消息,周二一款名为“坏兔子”的勒索软件发动攻击,致使欧洲数国电脑系统遭冻结,并已经开始向美国扩散。这次的软件名为“坏兔子”(Bad Rabbit),是勒索软件的一种;勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。这次的勒索软件要求支付0.05枚比特币(合275美元),不过支付赎金之后是否可以解密电脑文件尚不清楚。捷克反病毒公司Avast Software s.r.o.说,到周二晚间,该软件已经开始向美国传播。同样在周二,美国国土安全部的计算机紧急事态应变团队发布了一项警讯,称已接获多个感染报告。安全研究人士称,该勒索软件伪装成奥多比系统公司的 Flash 多媒体产品更新,一经下载就会试图在受害电脑所处的网络传播。安全研究人士说,到周二晚间,攻击已经蔓延到俄罗斯、乌克兰、保加利亚、土耳其和德国。Nikitin说,受害者包括俄罗斯的国际文传电讯社(Interfax)、乌克兰基辅的地铁系统、乌克兰敖德萨的国际机场以及乌克兰的基础设施部。
  ——(来源:搜狐网)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910