此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年11月)
索引:  K08260953/2017-03047 发布机构:  吉林省通信管理局办公室
生成日期:  2017-12-20 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年11月)
吉林省互联网网络安全情况月度通报(2017年11月)
发布时间:2017-12-20 0:00:00  

  1.情况综述
  2017年11月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件106起,其中包括网页篡改事件22起、漏洞事件84起。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端45个,受控端1715个;处置被蠕虫病毒感染IP1146个。
  3.本月重要漏洞情况
  3.1 DNSmasq存在多个高危漏洞
  3.1.1 漏洞情况分析
  DNSmasq是一款广泛使用的开源软件,提供DNS、DHCP、路由器广告和网络引导服务。在DNS服务中,DNSmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度;在DHCP服务,DNSmasq可以用于为局域网电脑分配内网ip地址和提供路由。它还被广泛用于智能手机和便携式热点,并支持虚拟化框架中的虚拟网络。支持的平台包括Linux(与glibc和uclibc)、Android、* BSD和Mac OSx。Dnsmasq包含在大多数Linux发行版和FreeBSD、OpenBSD和NetBSD的端口系统中。此外,Dnsmasq对IPv6网络也提供了完整支持。
  上述漏洞可以通过DNS和DHCP协议远程触发,在特定情况下,攻击者通过构造特定数据包请求,导致远程代码执行、信息泄露和拒绝服务。CNVD对上述漏洞的综合评级均为“高危”。
  3.1.2 漏洞影响产品
  漏洞影响范围十分广泛,涉及Linux以及Android操作系统发行版本以及多个自身组件版本,也波及到一些网络设备或终端设备固件。CNVD用户组成员单位华为公司对其生产的产品情况进行了风险自查,在已排查的有可能采用相关组件的HG8021H、HG8045A、HG8045A2、HG8245A、HG8247H多款路由器中,确认未受漏洞影响。
  3.1.3漏洞处置建议
  DNSmasq2.78版本已修复了这些漏洞,用户可通过链接:
http://www.thekelleys.org.uk/dnsmasq/自行更新。如未能更新,可以采用以下临时解决方案:
  必要情况下,请关闭影响DNSmasq安全的配置选项;使用白名单机制,这样可以使DNSmasq服务限制访问权限;使用可信的DNS服务。
  3.2 WPA2无线网络密钥重装漏洞
  3.2.1 漏洞情况分析
  WPA全名为Wi-FiProtected Access,中文译名Wi-Fi网络安全接入,包括:WPA和WPA2两个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统。WPA2 (WPA 第二版)是基于WPA的一种新的加密方式,具备完整的IEEE 802.11i标准体系。
  WPA2无线网络加密协议漏洞,入侵方式被称作“密钥重装攻击”。Wi-Fi保护访问II(WPA2)的密钥协商握手协议存在设计缺陷,可通过部分报文重放,重置随机数和会话密钥,导致无线接入点(AP)或客户端重新安装密钥。攻击者利用这些漏洞,可在AP和客户端的连接范围内,实现包括数据包解密和注入、TCP连接劫持、HTTP内容注入或单播和组寻址帧的重放攻击,破坏数据传输的机密性。
  CNVD对该漏洞的综合评级为“中危”。
  3.2.2漏洞影响产品
  该漏洞影响十分广泛,可直接影响或间接影响到基于RTP协议的产品供应商或服务提供商。根据当前测试结果,确认已知受影响的产品如下:Asterisk14.4.0、TPproxy (tested 1.2.1-2ubuntu1 and RTPproxy2.2.alpha.20160822 (git))。
  漏洞命名虽然参考了OpenSSL心脏滴血“HeartBleed”漏洞,但原理不完全相同。HeartBleed是因OpenSSL组件漏洞而泄露内存信息,RTPBleed是由于RTP协议实现缺陷而导致RTP流数据包存在暴露风险。
  3.2.3漏洞处置建议
  目前,已修复该漏洞的厂商如下,CNVD建议用户及时下载补丁进行更新:
  Cisco:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
  Intel Corporation:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr
  Juniper:http://kb.juniper.net/JSA10827
  Microsoft:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
  Aruba:http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-007.txt
  Broadcom: Advisory will be distributeddirectly to customers
  Marvell: Advisory to be distributeddirectly to customers
  Mojo Networks:http://www.mojonetworks.com/wpa2-vulnerability
  Peplink:https://forum.peplink.com/t/security-advisory-wpa2-vulnerability-vu-228519/12715
  Sierra Wireless:https://source.sierrawireless.com/resources/airlink/software_reference_docs/technical-bulletin/sierra-wireless-technical-bulletin—wpa-and-wpa2-vulnerabilities/
  WatchGuard:https://www.watchguard.com/wgrd-blog/wpa-and-wpa2-vulnerabilities-update
  Wi-Fi Alliance:https://www.wi-fi.org/securityupdate2017
  3.3 Adobe ColdFusion 存在反序列化远程代码执行漏洞
  3.3.1 漏洞情况分析
  ColdFusion,是Adobe旗下的一个动态Web服务器,其CFML(ColdFusionMarkup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。
  ColdFusion存在反序列化漏洞,其在开启“RemoteAdobe LiveCycle Data Management access”功能的条件下会开启rmiregistery服务,且会在本地监听1099端口。由于程序未对不可信的数据做校验就进行了反序列化的操作,攻击者可通过RMI协议向Adobe ColdFusion服务端发送精心构造的反序列化代码来触发漏洞实现远程代码执行,并且在返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。
  CNVD对漏洞的综合评级均为“高危”。
  3.3.2 漏洞影响产品
  ColdFusion 11 Update 12及之前版本
  ColdFusion (2016 release) Update 4及之前版本
  3.3.3漏洞处置建议
  根据官方发布的安全更新,建议升级最新补丁:
  ColdFusion 11 Update13:
  
http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html
  ColdFusion (2016 release) Update5:
  
http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html
  不能及时升级补丁的,可以采用如下临时解决方案:
  检查1099端口是否开放,如果开放则存在安全隐患,请及时关闭“Remote AdobeLiveCycle DataManagement access”服务。
  4.网络安全要闻
  4.1 特朗普政府计划制定新的“网络安全战略”
  11月3日消息 特朗普当局计划制定新的网络安全战略,该战略将以今年5月发布的总统行政令主要内容作为基础。白宫国土安全顾问Tom Bossert(汤姆•博塞特)在本周二表示,主要考虑到奥巴马时代的网络计划与战略正在新的历史背景下迅速过时,特朗普政府正在计划建立一项新的网络安全战略,该战略将遵循特朗普于今年 5 月发布的网络安全总统行政令大纲,但具体启动时间尚未确定。Bossert在参加当天 Palo AltoNetworks公司主办的华盛顿网络安全会议时指出,一旦完成这项有利于政府及国家的战略方案的筹备工作,会第一时间进行公布。他表示与此前的总统行政令一样,这项网络安全战略也很可能分为三大主要组成部分:提升联邦政府计算机网络安全性;利用政府资源更好地保护诸如医院、银行与金融企业等关键信息基础设施;在网络空间建立良好行为规范,同时惩治不良行为。
  ——(来源:E安全)
  4.2 尼泊尔NIC亚洲银行SWIFT遭入侵
  11月8日消息,尼泊尔 NIC 亚洲银行(NIC Asia Bank)的安全专家近期发现 SWIFT服务器遭到黑客入侵,被盗资金高达4.6亿卢比(约合 4700 万 RMB ),随后仅追回1.1亿卢比。该机构已向尼泊尔中央调查局请求支持,以便追查那些入侵SWIFT服务器的犯罪踪迹。据悉,NIC亚洲银行在印度毕马威会计师事务所的支持下申请了法庭调查,并将其结果提交至尼泊尔中央银行与中央调查局进行后续审查。尼泊尔副检察长兼刑事情报科(CIB)负责人 Pushkar Karki 证实,NIC 亚洲银行支付系统确实遭到黑客攻击,当前 CIB已经开始展开调查,之后安全专家将根据结果针对银行采取适当保护措施。NIC亚洲银行在通知监管机构之后,中央银行立即进行了一项单独的调查。其结果显示,由于操控 NIC 亚洲银行 SWIFT 系统的工作人员使用了一台专门运营 SWIFT 的设备处理其他事务,因此导致黑客有机可图。
  ——(来源:搜狐网)
  4.3新加坡立法严格限制企业使用国民身份证权限,以防个人信息盗窃、欺诈等非法活动
  11月10日消息 新加坡个人数据保护委员会(PDPC)于近期正在修订国家“个人数据保护法案”(PDPA)指导方针,意在严格限制企业使用国民身份证(NRIC)权限,以防各组织或个人信息被用于盗窃、欺诈等非法活动。与此同时,该国还提出一项新安全法案,希望能够削减官僚作风、缓解各政府公共部门的数据共享问题。个人数据保护法案(PDPA)的指导方针是专门为收集、使用和披露国家公民身份证号码的企业提供规范式管理。PDPC 表示,部分常见的商业惯例将在法案修订后不得不进行更改。不过,使用 NRIC 号码仍然是验证个人身份的必要手段。目前,由于企业获取公民身份证号码的服务种类繁多,因此 PDPC 有必要审查涉及其应用的指导方针。
  ——(来源:HackerNews)
  4.4 “五眼联盟”顶级黑客检验美军网络防御力
  11月10日消息 前不久,美军邀请“五眼联盟”的数百名顶级黑客,开展了为期数周的“黑进”美国国防部、空军和陆军网络挑战大赛,以检验美军真实的网络防御能力。“五眼联盟”是美国主导的包括英国、加拿大、澳大利亚和新西兰在内的监听组织“UKUSA”,他们共享网络漏洞等情报,是网络空间行动的盟友。美军称此次行动取得了不错的效果,“黑进五角大楼”发现了138个漏洞,“黑进空军”发现了207个漏洞,“黑进陆军”发现了118个漏洞。这些网络漏洞的发现,帮助美军消除了网络空间安全的潜在威胁,修复了美军网络的脆弱性。
  ——(来源:人民网)
  4.5 印度成立道德黑客部队“卡其帽”,保护政府关键基础设施免受侵害
  11月1日消息 印度警方高级官员表示,印度国家警方将创建一个由经认证的道德黑客组成的专门力量,用于保护喀拉拉邦的关键信息基础设施免受全球网络安全威胁的迅速变化。被称为“卡其帽(KH,KhakiHats)”的部队将仅由选定的警务人员组成,他们能够熟练使用最新的渗透软件评估计算机网络的安全性。印度国家警方亟需拥有一直专门的黑客力量。理想情况下,警方希望 KH 能够成为网络犯罪调查国际合作安排的一部分。
  ——(来源:E安全)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910