此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年3月)
索引:  K08260953/2017-02411 发布机构:  吉林省通信管理局办公室
生成日期:  2017-5-2 13:07:59 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报
吉林省互联网网络安全情况月度通报(2017年3月)
发布时间:2017-5-2 13:07:59  

1.情况综述
  2017年3月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件100起,其中包括网页篡改事件27起、漏洞事件73起;协调省内各基础电信企业上报事件1001起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端55个,受控端693个;处置被蠕虫病毒感染IP652个。
3.本月重要漏洞情况
3.1 Apache Struts2存在S2-045远程代码执行漏洞
3.1.1 漏洞情况分析
  Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。
  根据CNVD技术组成员单位——杭州安恒信息技术有限公司提供的分析情况,基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。
  CNVD对漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。
3.1.2 漏洞影响产品
  受漏洞影响的版本为:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13时,互联网上已经公开了漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据CNVD秘书处抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。
3.1.3漏洞处置建议
  Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipartparser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。除了升级struts版本外,为有效防护漏洞攻击,建议用户采取主动检测、网络侧防护的方法防范黑客攻击:
  (一)无害化检测方法(该检测方法由安恒公司提供):
  在向服务器发出的http请求报文中,修改Content-Type字段:Content-
  Type:%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vul','vul')}.multipart/form-data,如返回response报文中存在vul:vul字段项则表明存在漏洞。
(二)网络侧防护技术措施
  建议在网络防护设备上配置过滤包含如下#nike='multipart/form-data' 以及#container=#context['com.opensymphony.xwork2.ActionContext.conta
  iner'字段串(及相关字符转义形式)的URL请求。
3.2 Microsoft Windows Server 2003 IIS缓冲区溢出漏洞
3.2.1 漏洞情况分析
  MicrosoftWindows Server 2003 是美国微软(Microsoft)公司发布的一套服务器操作系统。Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。WebDAV (Web-based Distributed Authoring and Versioning)是一种基于HTTP 1.1协议的通信协议,它扩展了HTTP 1.1。
  在MicrosoftWindows Server 2003 IIS 中开启了的WebDAV服务的‘ScSto
  ragePathFromUrl’函数存在缓冲区溢出漏洞。远程攻击者可通过发送一个以"If: <http://"开始的较长header头的PROPFIND请求执行任意代码。
  CNVD对该漏洞的综合评级为“高危”。
3.2.2漏洞影响产品
  目前已确认Microsoft Windows Server 2003 R2 中开启WebDAV服务的IIS 6.0存在此漏洞,其他版本还未验证。
3.2.3漏洞处置建议
  目前微软官方暂未发布修复措施解决此安全问题,建议使用Windows Server2003 R2 IIS6.0的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.microsoft.com/en-us/
临时解决办法:
  1.暂时关闭WebDAV服务器,
  2.使用相关防护设备过滤PROPFIND特殊请求。
  3.3 Microsoft windows图形组件远程代码执行漏洞
  3.3.1 漏洞情况分析
  Microsoft windows是一款流行的操作系统。
  Microsoft windows图形组件存在安全漏洞,允许攻击者可以利用漏洞可提交特殊的请求,执行任意代码。
  CNVD对上述漏洞技术评级为“高危”。
3.3.2 漏洞影响产品
  Microsoft Windows Server 2008 R2 SP1
  Microsoft Windows Server 2008 SP2
  Microsoft Windows 7 SP1
  Microsoft Office 2007 SP3
  Microsoft Office Word Viewer null
  Microsoft Lync 2010
  Microsoft Windows Vista sp2
  Microsoft Silverlight 5
  Microsoft Office 2010 SP2
  Microsoft Lync 2013 SP1
  Microsoft Skype for Business 2016
  Microsoft Live Meeting 2007
3.3.3漏洞处置建议
  用户可参考如下供应商提供的安全公告获得补丁信息:
  
https://technet.microsoft.com/library/security/ms17-013
3.4 Microsoft Internet Explorer内存破坏漏洞
3.4.1 漏洞情况分析
  Internet Explorer是微软公司推出的一款网页浏览器。
  Microsoft Internet Explorer存在内存破坏漏洞。远程攻击者可利用该漏洞构建恶意WEB页,诱使用户解析,可使应用程序崩溃或执行任意代码。
  CNVD对上述漏洞技术评级为“高危”。
3.4.2 漏洞影响产品
  Microsoft Internet Explorer 11
3.4.3漏洞处置建议
  Microsoft已经为此发布了一个安全公告(MS17-006)以及相应补丁:
  
http://technet.microsoft.com/security/bulletin/MS17-006
3.5 Microsoft Windows SMB远程代码执行漏洞
3.5.1 漏洞情况分析
  Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。
  Microsoft Windows SMB中存在远程代码执行漏洞,远程攻击者可通过发送特制的数据包至SMBv1服务器利用该漏洞执行代码。
  CNVD对上述漏洞技术评级为“高危”。
3.5.2 漏洞影响产品
  Microsoft Windows Server 2008 R2 SP1
  Microsoft Windows Server 2008 SP2
  Microsoft Windows 7 SP1
  Microsoft Windows Vista sp2
  Microsoft Windows 8.1
  Microsoft Windows Server 2012 R2
  Microsoft Windows RT 8.1
  Microsoft Windows server 2012 Gold
  Microsoft Windows 10 Gold
  Microsoft Windows 10 1511
  Microsoft Windows 10 1607
  Microsoft Windows Server 2016
3.5.3漏洞处置建议
  目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
  
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0148
4.网络安全要闻
4.1 公安部整治黑客攻击破坏和网络侵犯公民个人信息犯罪行动
  3月12日消息 公安部3月10日召开电视电话会议,就进一步推进打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动进行部署。公安部副部长陈智敏在会上强调,各级公安机关要认真贯彻落实中央领导同志重要批示精神,切实增强深化打击整治工作的使命感责任感,从严从实从细抓好各项部署的推进落实,突出打击重点,加大整治力度,强化重点防护,坚决维护网络安全、信息安全和人民群众合法权益。公安部副部长李伟主持会议并提出工作要求。公安部成立了专项行动领导小组,各地区、各相关部门要牢固树立“一盘棋”意识,切实加强组织领导、严格落实主体责任、健全完善长效机制,确保专项行动取得实实在在的成效。公安部有关部门负责同志通报了专项行动工作方案。最高人民检察院、最高人民法院有关部门负责同志在主会场参加会议并部署工作。全国县级以上公安机关、检察院、法院有关负责同志在各地分会场参加会议。
  ------(来源:中国政府网)
4.2 雅虎黑客问题结果出炉 变造Cookies成元凶
  北京时间3月2日,雅虎对外披露了3200万用户账号泄露的问题调查结果,雅虎表示,攻击者通过变造cookies的手段,直接跳过密码访问了这些用户账号。雅虎在当地时间周三发布的一份文件中表示,这些攻击与2014年的大规模数据泄露似乎有所关联,而且雅虎还猜测,这些攻击的北湖可能有同一个国家在进行支持。而雅虎的的年报中也表示,在调查后发现,有未经授权的第三方访问了雅虎的专有代码,并且学会了变造cookies,这才有了大规模的黑客攻击事件。雅虎的安全问题一直让人揪心,去年连续两次曝光的黑客问题让雅虎的前景蒙上了一层迷雾。而受此影响,雅虎的买主Verizon也对收购雅虎这笔交易颇有不满,他们认为雅虎在安全问题方面有所隐瞒,因此收购价格很可能会降低。而外界甚至有专家认为,雅虎根本就没有任何安全措施。而在调查清楚这一结果后,雅虎表示已经解决了这一问题,通过变造cookies直接访问账号的功能已经失效。
  ——(来源:网易)
4.3 13.7亿条被泄数据将曝光 可能涉及苹果、微软、Facebook等
  3月6日消息 安全软件公司MacKeeper的研究人员克里斯维克里声称,他很快将揭露“13.7亿的身份泄露”事件。克里斯维克里善于发现数据泄露事件:他曾发现一起数据泄露事件涉及美国军方特别行动指挥部的医疗保健专业人士和特朗普竞选时AWS服务器的漏洞。现在国外网民对受害者的身份猜测不断。由于这起数据泄露的规模相当大,因此受害者可能就那么几个。头号受害嫌疑对象可能是Aadhaar——印度公民的生物识别数据库。但是,印度政府过去几天发布声明称,在某种程度上,过去五年,没有出现滥用Aadhaar生物识别项目而导致身份被盗和经济损失的情况。另外据国外安全人士分析,包含13.7亿条身份信息的数据库也可能来自中国。其它可能的受害者包括微信、苹果、微软、Facebook等。
  ——(来源:E安全)
4.4 新加坡国防部I-net系统遭网络攻击
  新加坡国防部2月28日发布消息说,国防部I-net系统2月初受到网络攻击,约850名国民服役人员和国防部职员个人信息被盗,但没有机密外泄。国防部在公告中说,被入侵的I-net系统是供受权人员在国防部或新加坡武装部队的军营内使用特定电脑上网浏览资讯或与他人通讯的网络系统。I-net系统存储用户的身份证号码、电话、出生日期等信息以辨识使用者身份,该系统与涉密电脑系统没有关联。涉密电脑系统有更为严密的安全措施,也没有接入互联网。国防部表示,此次网络攻击不排除是一起“具有针对性、策划周密”的袭击,其主要目的可能是盗取涉密资料,I-net系统与内部系统的物理隔离阻止了机密外泄。发现I-net系统遭到攻击后,国防部立即切断受影响的服务器,并彻底检查整个系统。目前,国防部已展开全面调查,并对国防部和新加坡武装部队其他系统进行检查。同时,国防部也通报新加坡网络安全局和政府科技局对其他政府电脑系统进行检查。截至目前,没有发现其他系统遭入侵的情况。
  ------(来源:新华网)
4.5 中情局被曝入侵全球智能装备
  “维基揭秘”网站3月7日发布了近9000份据称属于美国中央情报局的机密文件,显示中情局拥有强大的黑客攻击能力,秘密侵入了手机、电脑乃至智能电视等众多智能设备。9日,该网站创始人阿桑奇就中情局秘密入侵智能设备进行了进一步说明。维基揭秘网站创始人阿桑奇通过视频直播表示,美国中情局开发了一个巨大的网络攻击武器库,拥有大量的木马和病毒,用来攻击全球用户使用的电子设备,攻击对象包括各国的政府首脑、公司高管、新闻记者以及普通民众。这些木马和病毒通过电子设备,不断渗透到普通人的生活中,其中有一部分已经失控。多年来,中情局通过各种技术手段,在美国国内和国外,展开了大规模的网络攻击行为。对于如何保护人们的隐私,阿桑奇表示,维基揭秘网站将会把这些秘密材料中涉及的问题,提交给各科技公司,以帮助他们修复产品中的漏洞。另据美国新闻网站“每日传讯”报道,维基揭秘网站公布的近9000份文件只是很小一部分,占比不到1%。接下来,其他大量文件将会被陆续公布。
  ——(来源:新浪网)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910