此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2018年1月)
索引:  K08260953/2018-03282 发布机构:  吉林省通信管理局办公室
生成日期:  2018-3-14 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2018年1月)
吉林省互联网网络安全情况月度通报(2018年1月)
发布时间:2018-3-14 0:00:00  

  1.情况综述
  2018年1月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件102起,其中包括网页篡改事件18起、漏洞事件81起,网站后门事件3起。
  3.本月重要漏洞情况
  3.1 CPU处理器内核存在Meltdown和Spectre漏洞
  3.1.1 漏洞情况分析
  现代的计算机处理器芯片通常使用“预测执行”(Speculative Execution)和“分支预测”(Indirect Branch Prediction)技术实现对处理器计算资源的最大化利用。但由于这两种技术在实现上存在安全缺陷,无法通过正确判断将低权限的应用程序访存与内核高权限的访问分开,使得攻击者可以绕过内存访问的安全隔离边界,在内核中读取操作系统和其他程序的内存数据,造成敏感信息泄露,根据获取到的数据,可能会导致用户的数据隐私泄露、登陆凭证被攻击者窃取。具体信息如下:
  1)Meltdown漏洞利用破坏了用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息。
  2)Spectre漏洞利用破坏了不同应用程序之间的安全隔离,允许攻击者借助于无错程序(Error-Free)来获取敏感信息。
  具体的漏洞攻击场景如下:
  1)单台物理主机:低权限的攻击者利用漏洞,可访问本地操作系统的内核空间,进一步实现提权或命令执行等操作。
  2)云服务虚拟机:攻击者利用漏洞可以绕过虚拟机的隔离防护机制,访问其他租户的内存数据,导致其他云租户的敏感信息泄漏。
  3)网页浏览器:利用浏览器的即时编译器(Just-In-Time Compiler)特性,执行恶意代码,读取浏览器内存数据,导致用户账号、密码、邮箱、cookie等信息泄漏。

  CNVD对该漏洞的综合评级为“高危”。
  3.1.2 漏洞影响产品
  该漏洞存在于英特尔(Intel)x86及x64的硬件中,在1995年以后生产的Intel、AMD、ARM处理器芯片受此漏洞影响,具体受影响的型号列表请参考厂商公告。
  1)Intel:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
  2)AMD:
https://www.amd.com/en/corporate/speculative-execution
  3)ARM:
https://developer.arm.com/support/security-update
  同时使用这些处理器芯片的操作系统(Windows、Linux、Mac OS、Android)和云计算设施(亚马逊、微软、谷歌、腾讯云、阿里云等)也受此漏洞影响。
  3.1.3漏洞处置建议
  目前,操作系统厂商通过在其产品内核引入内核页面隔离(KPTI)技术来修复Meltdown和Spectre漏洞。CNVD建议用户密切关注操作系统、虚拟机、浏览器等产品官方网站发布的安全公告,并及时下载补丁进行更新。各厂商的修复情况和参考链接如下:
  微软:已为windows 10已供修复包,并对windows 7和windows 8进行在线更新(
https://support.microsoft.com/en-us/help/4073235/cloud-protec
  tions-speculative-execution-side-channel-vulnerabilities)。浏览器安全补丁已发布(
https://portal.msrc.microsoft.com/en-US/security-guidance/
  advisory/ADV180002);微软官方信息显示,Spectre Varient1(CVE-2017-5753)和Meltdown  Varient 2(CVE-2017-5754)漏洞补丁修复对CPU性能影响较小,Spectre Varient2(CVE-2017-5755)漏洞补丁导致CPU性能损失的主要原因是对底层的指令集做了修改。但由于Window 7/8系统在架构时使用了过多的用户到内核过渡,对系统的影响较大。
  苹果:IOS 11.2和macOS10.13.2及tvOS 11.2中加入了保护措施;
  谷歌:已于2017年12月向各手机厂商发布了安全补丁包,并发布安全公告(
https://source.android.com/security/bulletin/2018-01-01)。1月23日发布的Chrome64浏览器将包含相应的保护机制(https://security.googleblo
  g.com/2018/01/todays-cpu-vulnerability-what-you-need.html);
  RedHat:已发布补丁(
https://access.redhat.com/security/vulnerabili
  ties/speculativeexecution?sc_cid=701f2000000tsLNAAY);
  Ubuntu:已提供修复补丁(
https://insights.ubuntu.com/2018/01/04/ubun
  tu-updates-for-the-meltdown-spectre-vulnerabilities/);
  SUSE:已陆续发布补丁(
https://www.suse.com/support/kb/doc/?id=702
  2512);
  Mozilla Firefox:官方新版本已更新(
https://blog.mozilla.org/secu
  rity/2018/01/03/mitigations-landing-new-class-timing-attack/);
  XEN:已发布安全公告(
https://xenbits.xen.org/xsa/advisory-254.htm
  l);
  QEMU:已发布安全公告(
https://www.qemu.org/2018/01/04/spectre/),非官方安全补丁(https://lists.nongnu.org/archive/html/qemu-devel/2018
  -01/msg00811.html);
  Vmware:发布安全公告及补丁(
https://www.vmware.com/us/security/advi
  sories/VMSA-2018-0002.html);
  Citrix XenServer:发布安全补丁(
https://support.citrix.com/article/
  CTX231390);
  亚马逊:已提供修复补丁(
https://amazonaws-china.com/cn/security/
  security-bulletins/AWS-2018-013/);
  阿里云:于2018年1月12日凌晨进行热升级,个别用户可能需要手动重启;
  腾讯云:于2018年1月10日凌晨进行热升级,个别用户可能需要手动重启。
  3.2 Android平台WebView控件存在跨域访问高危漏洞
  3.2.1 漏洞情况分析
  WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。
  该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。
  漏洞触发成功前提条件如下:
  1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversal
  AccessFromFileURLsAPI配置为true;
  2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。
  CNVD对相关漏洞综合评级为“高危”。
  3.2.2漏洞影响产品
  漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。
  3.2.3漏洞处置建议
  厂商暂未发布解决方案,临时解决方案如下:
  1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)
  2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:
  (1)固定不变的HTML文件可以放在assets或res目录下,
file:///android_assetfile:///android_res 在不开启API的情况下也可以访问;
  (2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;
  (3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。
  3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。
  4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息
  3.3 OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞
  3.3.1 漏洞情况分析
  OAuth(Open Authorization)是一个关于授权的开放网络标准,允许用户授权第三方移动应用,访问用户存储在其他服务提供者上的信息,而无需将用户名和密码提供给第三方移动应用或分享数据的所有内容。
  该漏洞利用OAuth第三方授权无需用户名和密码的特点,结合redirect_uri未指定授权目录引发用户劫持攻击。攻击者通过登录某种社交网络服务,修改链接redirect_uri参数值指向,将伪造后的用户授权链接发给目标用户,当目标用户点击或被欺骗访问上述授权链接进行登陆后,攻击者即可通过referer获取用户授权,快速登录目标用户账号,还可登陆该账号绑定的其他网站信息,查看敏感信息或执行授权操作,还可以利用受害人账号进行非法信息传播、诈骗等非法行为。
  CNVD对上述漏洞的综合评级为“中危”。
  3.3.2 漏洞影响产品
  上述漏洞影响采用第三方登陆授权方式的服务。
  3.3.3漏洞处置建议
  建议第三方应用平台采取如下措施进行漏洞的防范,同时请广大用户注意第三方授权链接,谨慎输入账号密码:
  1. 在注册第三方授权时,redirect_uri需要限制到指定网站的指定目录,比如redirect_uri注册为passport.aaa.com/oauth/,而非aaa.com或者passport.aaa.com。
  2. 禁止非源跳转。通过增加网站跳转的判断条件,禁止对非本网站的链接进行跳转。
  3.4 多款SolarWinds产品SQL注入漏洞
  3.4.1 漏洞情况分析
  SolarWinds Storage Manager、SolarWinds Storage Profiler和SolarWinds Backup Profiler都是美国SolarWinds公司的产品。SolarWinds Storage Manager是一套基于Web且整合了存储监控、报表、报警和预测分析等功能的数据存储管理软件。Storage Profiler是一套数据存储分析软件。Backup Profiler是一套数据备份分析软件。
  多款SolarWinds产品中存在SQL注入漏洞。远程攻击者可借助loginName字段利用该漏洞执行任意的SQL命令。
  3.4.2 漏洞影响产品
  SolarWinds Storage Manager Server 5.1.2
  Solarwinds Storage Manager Server 5.1
  3.4.3漏洞处置建议
  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  
http://www.solarwinds.com/documentation/storage/storagemanager/docs/ReleaseNotes/vulnerability.htm
 
  4.网络安全要闻
  4.1 工信部加强工业互联网安全保障工作
  1月4日消息 为加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展,工业和信息化部日前印发《工业控制系统信息安全行动计划(2018—2020年)》。工信部信息化和软件服务业司相关负责人今日表示,这是为工业互联网安全保障工作制定了时间表和路线图,进一步明确了部门、地方和企业做什么和怎么做,为下一步开展工控安全工作提供了依据和指导。《行动计划》实施的主要目标包括,到2020年,建成工控安全管理工作体系,全系统、全行业工控安全意识普遍增强,建成“一网一库三平台”。同时,促进工业信息安全产业发展,提升产业供给能力,培育一批龙头骨干企业,创建3个至5个国家新型工业化产业化产业示范基地。对于“一网一库三平台”,上述负责人解释说,“一网”是指全国工控安全在线监测网络,“一库”是指工控安全应急资源库,“三平台”是指工控安全仿真测试平台、信息共享平台和信息通报平台。
  ——(来源:中国政府网)
  4.2 英特尔芯片被曝两个漏洞:1995 年之后系统都受影响
  1月4日上午消息,安全研究人员在英特尔芯片中发现两个关键漏洞,利用漏洞,攻击者可以从App运行内存中窃取数据,比如密码管理器、浏览器、电子邮件、照片和文档中的数据。研究人员将两个漏洞叫作“Meltdown”和“Spectre”,他们还说,1995年之后的每一个系统几乎都会受到漏洞的影响,包括计算机和手机。研究人员在英特尔芯片上验证了自己的发现,这些芯片最早可以追溯到2011年,随后研究人员公布了概念验证代码,让用户在机器上测试。发现Meltdown漏洞的安全研究人员丹尼尔·格鲁斯(Daniel Gruss)在邮件中表示:“攻击者也许有能力窃取系统中的任何数据。”研究报告则说:“利用 Meltdown漏洞,攻击者不只可以进入核心内存,还可以读取目标机器的所有物理内存数据。”Windows、Macs和Linux系统无一幸免,都受到漏洞的威胁。有许多云服务使用英特尔服务器,它们也会受到影响,正因如此,亚马逊、微软、谷歌已经行动起来,给云服务打补丁,按计划中断服务,防止攻击者窃取数据,攻击者可能会在相同的共享云服务器上窃取其它数据。
  ——(来源:新浪网)
  4.3 正式成为法律 特朗普签署新 NSA 监控法
  1月21日消息 据外媒报道,当地时间1月19日,美特朗普总统宣布他已经在对《外国情报监控法(FISA)第702条修改再授权法》上签名,也就是说,这个备受争议的新监控条款成为法律。获悉,最新授权将在 2023年12月到期。特朗普在官方声明中表示,这份法案将能让情报机构收集关于美国外的国际恐怖分子、武器扩散者及其他重要外国情报人员目标的重要情报信息。另外他还表示,比起这样一份有时间期限的法案他更希望它是永久的。据了解,这份法案于上周在众议院以256比164的投票结果通过,本周早些时候则以65比34在参议院通过,现在总统也在上面签上了字。
  ——(来源:E安全)
  4.4 美国土安全部超过24万员工的个人数据被泄
  1月5日消息 美国国土安全部(DHS)于美国当地时间2018年1月3日发表声明称,其下属监察长办公室(OIG)2014年遭遇一起数据泄露事件,其案件管理系统逾24.7万DHS员工和未知数量的其它相关人员的个人信息受到影响。这起事故并非因外部黑客入侵所致,而是前雇员未经授权擅自转移OIG案件管理系统的数据,DHS称个人信息不是这起数据转移的主要目标。美媒2017年11月曾报道了美国国土安全部(DHS)这起事件,当时并未得到DHS的证实。DHS表示,OIG调查案件管理系统共包含24.7167万名DHS员工的个人信息,此外还包括2002年至2014年OIG案件涉及的调查对象、证人以及原告等信息。DHS并未提及受影响的非雇员数量。DHS并未在这份声明中提及受影响的具体个人信息。据美媒推测,这些个人信息可能包含普通信息和高度敏感信息,比如姓名、电话号码、社保号和财务数据。DHS表示正在采取安全预防措施,以限制他人获取这些信息。
  ——(来源:E安全)
  4.5 全球网络安全中心正式成立
  1月26日消息 各国政府及企业每年在网络攻击威胁应对领域的投入已增长至4450亿美元(约合人民币2.85万亿元),由第48届达沃斯世界经济论坛(WEF)牵头的全球网络安全中心于2018年1月23日正式成立。这一全新机构旨在提升网络弹性,同时建立起一套独立的最佳实践库,并将针对不同攻击场景提供指导性意见。根据世界经济论坛总裁阿洛伊斯·齐韦吉在新闻发布会上所言,该中心将常设于日内瓦,并计划于2018年3月正式开始运作。该中心还将帮助“网络发达”区域制定新的战略,用以保护各类关键基础设施。此外,物联网(IoT)与联网设备的兴起亦成为企业特别担心的一类挑战,人们普遍认为其会造成更严重的网络安全问题。网络安全全球中心将自主管理。世界经济论坛发言人格奥尔·施密特 向公众介绍称,中心的运营将依赖成员资助,论坛本身将领投数百万瑞士法郎。
  ——(来源:E安全)