此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年04月)
索引:  K08260953/2017-02461 发布机构:  吉林省通信管理局办公室
生成日期:  2017-5-18 16:46:23 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年04月)
吉林省互联网网络安全情况月度通报(2017年04月)
发布时间:2017-5-18 16:46:23  

1.情况综述
  2017年4月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件102起,其中包括网页篡改事件16起、网站后门2起、漏洞事件83起,网页仿冒1起;协调省内各基础电信企业上报事件1135起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端35个,受控端956个;处置被蠕虫病毒感染IP655个。
3.本月重要漏洞情况
  3.1 三星Tizen系统存在40个高危漏洞
  3.1.1 漏洞情况分析
  Tizen(泰泽)是两大Linux联盟LiMo Foundation和Linux Foundation 整合资源优势,携手英特尔和三星电子,共同开发的一个开源的、标准化的基于Linux的操作系统。该操作系统Tizen 除了将支持 HTML5 与基于 WAC 的应用程序外,还可广泛应用于各种不同的装置,其中包含智能型手机、平板计算机、智能电视、笔记本电脑与行车娱乐系统。
  安全研究人员在三星Tizen操作系统中发现了40个未知安全漏洞(0Day),部分原因是不正确使用 strcpy()函数导致的缓冲区溢出,而且Tizen在传输特定数据时使用明文方式传输并没有以一致的方式使用SSL加密进行安全连接。在上述漏洞中有一个漏洞最为严重,该漏洞可被攻击者劫持电视并安装恶意代码,允许攻击者通过Tizen Store软件获取设备上的root权限并完全控制电视。
  CNVD对上述漏洞综合评价为“高危”。
3.1.2 漏洞影响产品
  漏洞影响运行Tizen操作系统的智能型手机、平板计算机、智能电视、笔记本电脑与行车娱乐等设备(甚至包括一批计划发布的设备)。
3.1.3漏洞处置建议
  厂商暂未给出具体解决方案,建议Tizen用户及时关注厂商主页:
  http://www.samsung.com
3.2 Microsoft Office Word存在代码执行漏洞攻击威胁
  3.2.1 漏洞情况分析
  2017年4月7日、8日,McAfee和FireEye安全公司分别发布安全公告,披露在Micorsoft Office Word中发现的一个0day漏洞,攻击者通过发送一个带有OLE2link对象附件的邮件给目标用户,用户在打开附件时则会触发漏洞并连接到攻击者控制的恶意服务器,下载伪装成正常RTF文件的恶意.HTA文件执行并后续下载更多的带有控制、驻留目的恶意软件,进一步控制受感染用户的系统。CNVD对该漏洞的综合评级为“高危”。
  3.2.2漏洞影响产品
  漏洞影响所有Office版本,其中包括Windows 10上运行的最新版Office 2016。根据微步在线公司向CNVD提供的相关情况,其捕获了利用该漏洞进行恶意代码传播的攻击样本,并发现其中涉及到针对银行用户的攻击行为。典型的样本执行流程如下:
  1. 用户收到含有恶意附件的钓鱼邮件。
  2. 打开存在 Office 0Day 漏洞的附件文档。
  3. Word 进程从攻击者控制的网站( btt5sxcx90.com) 下载伪装的.HTA 文件( template.doc)并启动。
  4. template.doc 执行后会继续从 btt5sxcx90.com 下载一个可执行程序( 7500.exe) 和一个无害Word 文档( sample.doc),启动 7500.exe 并打开内容空白的 sample.doc 迷惑受害者。
  5. 7500.exe 为一款名为 Dridex 网银木马,可进一步窃取用户的银行认证信息。
  3.2.3漏洞处置建议
  微软公司目前正在发布该漏洞的补丁,鉴于该漏洞广泛存在于Office所有版本,且目前被用于发起网络攻击,CNVD强烈建议Office用户及时关注官方补丁发布情况并及时更新。
  其他临时防护建议:
  1. 切勿打开任何来源不明的OfficeWord文档。
  2. 用户可以通过打开“受保护的视图”功能,并勾选所有选项来防止此漏洞被利用。
  3. 为避免受到其他攻击,建议暂时禁用Office中的“宏”功能。
3.3 Jackson框架存在Java反序列化代码执行漏洞
  3.3.1 漏洞情况分析
  Jackson是一套开源的java序列化与反序列化工具框架,可将java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高,目前是Spring MVC中内置使用的解析方式。4月15日,CNVD白帽子(ID:ayound)提交了Jackson存在Java反序列化漏洞的情况,CNVD秘书处进行了本地环境核实,确认漏洞在一定条件下可被触发,达到任意代码和系统指令执行的目的。该漏洞的触发条件是ObjectMapper反序列化前调用了enableDefaultTyping方法。该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞。
  CNVD对该漏洞的综合评级为“高危”。
  3.3.2 漏洞影响产品
  漏洞影响Jackson 2.7版本(<2.7.10)、2.8版本(<2.8.9)。根据CNVD秘书处对Jackson应用普查的结果,目前互联网上约有9.1万台网站服务器标定为使用了Jackson框架,其中排名前五位的国家有:美国(占比68.8%)、中国(8.2%)、英国(4.1%)、德国(2.0%)、荷兰(2.0%)。目前,暂未进一步抽样核验实际受影响的比例情况。
  3.3.3漏洞处置建议
  Jackson开发方已经对ayound提交的情况进行了回应,并发布了修复更新。用户需更新到2.7.10或2.8.9版本,同时后续将发布的2.9.0版本也会加入该漏洞的修复措离。
3.4 zabbix存在数据库写入和代码执行高危漏洞
  3.4.1 漏洞情况分析
  Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案,可用于对服务器网络集群的集成管理。
  漏洞的技术成因在于Zabbix 2.4.x版本trapper功能代码部分,该部分代码的主要功能是允许Proxy和Server进行网络通信(一般通过TCP 10051端口),并且Zabbix Server提供了针对Zabbix Proxy的API调用接口。攻击者可构造特定的恶意trapper数据包绕过其后台数据库(一般是MySQL)的逻辑检查,造成数据库写入。攻击者可通过中间人的方式修改Zabbix proxy和Server间的请求来触发漏洞,并执行系统命令注入,进而控制Zabbix服务器主机。
  虽然要实施攻击存在一定的复杂度,但CNVD对漏洞的综合评级仍为“高危”。
  3.4.2 漏洞影响产品
  漏洞影响Zabbix 2.4.x版本。根据CNVD秘书处的历史普查结果,根据CNVD初步普查情况,约有3.5万台zabbix服务器暴露在互联网上,其中排名TOP 5的国家和地区如下:中国(24.9%)、美国(18.8%)、俄罗斯(9.0%)、巴西(8.0%)、德国(5.4%),在中国境内排名TOP5的省份为:北京(32.6%)、浙江(23.2%)、广东(11.4%)、上海(7.8%)、江苏(4.3%)。受制于部分前提条件限制,对该漏洞暂未能准确评估实际有效影响范围。
  3.4.3漏洞处置建议
  目前,厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:
  http://www.zabbix.com
3.5 Jenkins存在Java反序列化等多个漏洞
  3.5.1 漏洞情况分析
  Jenkins是一个开源软件项目,基于Java开发的一种持续集成工具,用于监控持续重复的工作。Jenkins CLI工具允许用户通过命令行来操作Jenkins。2017年4月27日,软件集成平台Jenkins官方发布了安全通告,包含了更新修复程序,修复了4个安全漏洞,详细情况如下:

 

 

 

  3.5.2 漏洞影响产品
  漏洞影响Jenkins 2.56 及以前的版本 、Jenkins LTS 2.46.1 及以前的版本。根据CNVD秘书处普查情况,互联网上共有20600台服务器主机使用jenkins框架,其中排名前五名的国家和地区是:美国(占比58.0%)、德国(7.2%)、英国(4.4%)、荷兰(4.4%)、法国(3.5%);中国排名第六,占比约3.1%。
  3.5.3漏洞处置建议
  厂商已修复上述漏洞,并将SignedObject添加到远程黑名单中。请及时升级到以下对应版本:JenkinsLTS 2.46.2和Jenkins 2.57。在Jenkins2.54中,基于远程处理的CLI协议已被弃用,除了现有的基于SSH的CLI之外,还引入了一种基于HTTP的协议作为新的默认协议。此功能已在Jenkins 2.46.2中实现,建议用户升级Jenkins,禁用基于远程处理的CLI,并使用其他处理模式(HTTP或SSH)。
4.网络安全要闻
  4.1台湾逾百家网站遭黑客攻击
  4月5日消息 据中央社4月5日消息,自3月25日起,代号为“AnonymousFox”的黑客组织入侵全台上百家网站,进行网页置换攻击(defacement)。国际知名黑客网站“Zone-H”的资料库统计显示,已有近200 个域名结尾为“com.tw”的台湾网站遭到该组织置换攻击,被攻击的保险公司、医疗美容公司等部分网站目前仍处于全面停摆状态。中时电子报发文称,此次上百家网站被攻击为台湾资讯安全防护史“再添一笔难堪的纪录”。该媒体认为,此次受攻击类型以首页置换、大规模置换为主。该种方法不会造成被攻击方的金钱损失或资料外泄,其导致的网页被置换容易被使用者发觉,从而使业者名誉受损。“黑客们的炫技”让台湾资讯安全工作大面积沦陷。台湾警方就此事件回应媒体,截至目前还未接获业者报案。
  ------(来源:新华网)
  4.2维基解密公布证据:美中情局可将黑客攻击嫁祸他国
  4月3日消息 “维基揭秘”网站日前公布了据称来自美国中央情报局的一批源代码文件,这些工具可用于误导调查人员,把中情局发起的病毒和黑客攻击嫁祸给中国、俄罗斯等其他国家。“维基揭秘”3月31日曝光的这些工具包括676份源代码文件。该网站说,中情局用这些工具对其恶意代码中的一些文本部分做隐藏和混淆处理,以迷惑取证调查人员和反病毒公司人员,阻止他们把病毒、木马或黑客攻击的来源认定为中情局。“维基揭秘”打比方说,中情局在把美制武器系统交给它在一些地方秘密支持的反叛分子之前,会先用特殊工具掩盖武器系统中的英文文本,而这些源代码文件就相当于这类特殊工具的数字版。被曝光的文件显示,中情局的相关工具中使用了中文、俄罗斯文、韩文、阿拉伯文和波斯文。“维基揭秘”认为,这可以欺骗调查人员,让他们把中情局发起的病毒、黑客攻击归咎于其他国家。比如,把恶意代码创制者所说的语言从美式英文伪装成中文,然后再故意留下恶意代码创制者掩饰使用中文的迹象,从而诱导取证调查人员得出错误的结论。
  ——(来源:腾讯网)
  4.3日本计划研发独立的卫星通信技术以防黑客攻击
  4月7日消息,日本政府计划与民间企业一同研发卫星通信防御系统,通过数据的动态加密来保护卫星和地面站点之间的信息传输,使卫星免遭黑客网络攻击。项目能否获得通过将在今年夏天得到最终确认,并纳入2018年财政预算当中。据悉,这一雄心勃勃的研发项目将由国家信息通信技术研究所负责,隶属于政府、行业和学术机构。日本政府计划用5–10年时间进行开发。政府方面称,卫星使用无线电波与地面基站进行通信,若被黑客拦截将导致不可预测的后果。通过解码加密数据,黑客便可窃取信息、操纵或控制卫星。日本将研发独立的卫星通信技术以确保人造卫星的安全。
  ——(来源:中国网络空间安全网)
  4.4网络悍匪劫持巴西网银长达5小时,数百万用户中招
  4月9日消息 一个黑客组织劫持了一家巴西银行的DNS并将所有的网上银行业务指向伪造的页面,从中获取受害者的信用卡信息。2016年10月22日,这伙犯罪分子在3个月的精心准备之下,成功控制一家巴西银行所有业务长达5个小时。该银行的36个域名,企业邮箱和DNS全体沦陷。这家建立于20世纪早期的银行在巴西、美国、阿根廷和大开曼拥有500个分行 ,总计拥有500万用户和250亿美元资产。卡巴斯基实验室的研究人员Fabio Assolini和Dmitry Bestuzhev发现,这伙网络犯罪分子已经将同样的手段炮制到全球范围内的另九家银行,但他们并未透露是哪家银行遭遇了攻击。在研究初期,此次攻击看上去就是普通的网站劫持,但是两位研究者发现事情并没有这么简单。他们认为犯罪分子使用的攻击很复杂,并不只是单纯的钓鱼。攻击者用上了有效的SSL数据证书,并且还用Google Cloud来提供欺诈银行服务支持。
  ——(来源:极客网)
  4.5第四届首都网络安全日活动启动
  4月27日,第四届“4•29首都网络安全日”系列活动正式拉开帷幕,北京市网络与信息安全信息通报中心揭牌成立,公安部副部长陈智敏,北京市副市长、公安局局长王小洪出席活动启动仪式。为全力推进首都网络安全工作,市政府决定在市公安局网络安全保卫总队加挂市网络与信息安全信息通报中心牌子,该中心的主要职能是监测网络安全状况、预警网络安全风险、通报网络安全信息、处置网络安全事件。下一步,网络与信息安全信息通报中心将从加强“通报成员单位、网络安全专家、技术支持单位”三支队伍建设,运用好“通报、会议、报告”三项工作机制,建设好“网站、APP”两个平台入手,着力做好“网络安全监测、网络安全通报预警、应急处置和事件调查”等各项工作。启动仪式结束后,陈智敏、王小洪一行参观了部分活动展区,认真听取了工作人员的相关介绍。本届首都网络安全日活动首创将民生领域纳入活动范畴,重点针对健康医疗、智慧生活、云计算、金融科技等主题举办了11个主题论坛、20余场活动,从4月26日至28日在北京展览馆连续举办三天。 
  ------(来源:新华网)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910