此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年06月)
索引:  K08260953/2017-02704 发布机构:  吉林省通信管理局办公室
生成日期:  2017-7-27 10:08:00 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年06月)
吉林省互联网网络安全情况月度通报(2017年06月)
发布时间:2017-7-27 10:08:00  

  1.情况综述
  2017年6月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件103起,其中包括网页篡改事件29起、网站后门1起、漏洞事件71起,网页仿冒2起;协调省内各基础电信企业上报事件1036起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端142个,受控端781个;处置被蠕虫病毒感染IP669个。
  3.本月重要漏洞情况
  3.1 Windows LNK文件远程代码执行漏洞和Windows搜索远程命令执行漏洞
  3.1.1 漏洞情况分析
  (1)Windows LNK文件远程代码执行漏洞。
  lnk文件是用于指向其他文件的一种文件,通常称为快捷方式文件,且以快捷方式存放在硬盘上,以方便使用者快速的调用。Microsoft Windows在处理恶意的快捷方式(.lnk)文件时存在远程代码执行漏洞,攻击者可以通过可移动驱动器(U盘)或远程共享等方式将包含恶意LNK文件和与之相关的恶意二进制文件传播给用户。当用户通过Windows资源管理器或任何能够解析LNK文件的程序打开恶意的LNK文件时,与之关联的恶意二进制代码将在目标系统上执行。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。
  (2)Windows搜索远程命令执行漏洞。
  Windows搜索服务(WSS)是windows的一项默认启用的基本服务。允许用户在多个Windows服务和客户端之间进行搜索。Windows搜索处理内存中的对象时,存在远程执行代码漏洞。攻击者向Windows Search服务发送精心构造的SMB消息。从而利用此漏洞提升权限并控制计算机。
  CNVD对上述漏洞的综合评级为“高危。
  3.1.2 漏洞影响产品
  桌面系统:Windows 10, 7, 8, 8.1, Vista, Xp和Windows RT8.1
  服务器系统:Windows Server 2016,2012,2008, 2003
  3.1.3漏洞处置建议
  桌面系统Windows 10,7,8.1和Windows RT 8.1;服务器系统:Windows Server 2016,2012,2008,可以通过Windows Update自动更新微软补丁的方式进行修复。
  Windows 8, Vista可以通过选择对应版本然后手动更新补丁的方式进行更新。(补丁下载地址参考)
  
https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
  此外,微软在同一天也发布了针对Windows XP和WindowsServer 2003等Windows不继续支持的版本的补丁,目的是为了避免上月发生的WannaCry蠕虫勒索事件的重现。注:Window XP的补丁更新可以在微软下载中心找到,但不会自动通过Windows推送。
  临时解决方案:
  对于无法及时更新补丁的主机,建议采用如下措施:
  (1)针对LNK文件远程代码执行漏洞,建议在服务器环境禁用U盘、网络共享及关闭Webclient service(请管理员关注是否有业务与上述服务相关并做好恢复准备)。
  (2)针对Windows搜索远程命令执行漏洞,建议关闭Windows Search服务。
  3.2 Linux kernel存在4个拒绝服务漏洞(Phoenix Talon)
  3.2.1 漏洞情况分析
  Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。攻击者利用漏洞,可导致系统拒绝服务,且在符合一定利用条件下可导致远程命令执行,包括传输层的TCP、DCCP、SCTP以及网络层的IPv4和IPv6协议均受影响,其中以CNVD-2017-07386最为严重。详情如下:
  漏洞编号 漏洞描述 攻击条件 漏洞评级
  CNVD-2017-07509、CVE-2017-9077  Linux kernel中net/ipv6/tcp_ipv6.c文件的‘tcp_v6_syn_recv_sock’函数存在拒绝服务漏洞,该漏洞源于程序未能正确的处理继承。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。 本地 中危
  CNVD-2017-07508、CVE-2017-9076 Linux kernel中net/dccp/ipv6.c文件的‘dccp_v6_request_recv_sock’函数存在拒绝服务漏洞,该漏洞源于程序未能正确的处理继承。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。 本地 中危
  CNVD-2017-07507、CVE-2017-9075  Linux kernel中net/sctp/ipv6.c文件的‘sctp_v6_create_accept_sk’函数存在拒绝服务漏洞,该漏洞源于程序未能正确的处理继承。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。 本地 中危
  CNVD-2017-07386、CVE-2017-8890 Linux内核中net/ipv4/inet_connection_sock.c中的inet_csk_clone_lock函数存在拒绝服务漏洞。远程攻击者可利用该漏洞通过接受系统调用造成拒绝服务。 远程 高危
  3.2.2漏洞影响产品
  由于相关漏洞涉及的缺陷代码在Linux内核中存在时间周期较长,因此影响范围较为广泛(Phoenix Talon)。Linux kernel 2.5.69 - Linux kernel 4.11的所有版本都受“Phoenix Talon”影响(另附经过开源社区验证过的受影响内核版本列表)。经过开源社区验证过的受影响发行版本包括:Red Hat Enterprise MRG 2、Red Hat EnterpriseLinux 7、Red Hat Enterprise Linux 6、Red Hat Enterprise Linux 5、SUSE LinuxEnterprise Desktop 12 SP1、SUSE Linux Enterprise Desktop12 SP2、SUSE Linux Enterprise Server 11 SP3 LTSS、SUSE Linux Enterprise Server 11 SP4、SUSELinux Enterprise Server 12 GA、SUSE Linux EnterpriseServer 12 SP1、SUSE Linux Enterprise Server 12 SP2、SUSE Linux Enterprise Server for SAP 11 SP3、SUSELinux Enterprise Server for SAP 11 SP4、SUSE LinuxEnterprise Server for SAP 12 GA、SUSE Linux EnterpriseServer for SAP 12 SP1、SUSE Linux Enterprise Server forSAP 12 SP2。
  根据启明星辰公司的测试结果,其他受到影响的发行版本涉及Ubuntu 14.04 LTS (Trusty Tahr)、Ubuntu 16.04LTS (XenialXerus)、Ubuntu 16.10 (Yakkety Yak)、Ubuntu 17.04 (Zesty Zapus)、Ubuntu 17.10(Artful Aardvark)、银河麒麟 3.0、银河麒麟4.0、凝思磐石 4.2等国内外Linux发行版本。
  3.2.3漏洞处置建议
  厂商已修复上述漏洞,请访问厂商主页及时修复漏洞:
https://www.kernel.org/ 
  临时防护建议:
  对于无法及时更新补丁的主机建议使用 Grsecurity/PaX 对内核加固。
  3.3 海康威视与大华股份多款网络摄像机产品存在身份认证绕过与配置文件密码泄露等高危漏洞
  3.3.1 漏洞情况分析
  Hikvision Cameras、Hikvision DS-2CD2xx2F-I 等系列为海康威视(Hikvision)公司(股票代码:SZ.002415)的网络摄像机产品;大华DH-IPC-HDBW23A0RN-ZS等系列设备为大华(DaHua)公司(股票代码:SZ.002236)的网络摄像机产品。多款网络摄像机产品存在类似身份认证不当漏洞与配置文件密码泄露漏洞,远程攻击者可利用漏洞提升权限或加密其他用户身份获取敏感信息,并控制网络设备。
  CNVD对上述漏洞综合评级为“高危”。
  3.3.2 漏洞影响产品
  3.3.3漏洞处置建议
  目前,海康威视公司和大华公司已及时给出了上述漏洞的安全解决方案,请访问厂商主页及时修复漏洞:
  
http://www.hikvision.com/us/about_10805.html
  
http://www.hikvision.com/us/about_10807.html
  
http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php
  
http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php
  若未能及时升级,建议可以通过临时关闭网络摄像机产品的远程管理界面或认证端口来防范网络攻击。   
  3.4 Red Hat JBoss Enterprise Application Platform远程代码执行漏洞
  3.4.1 漏洞情况分析
  Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。
  JBoss EAP 4.x版本和5.x版本中的PooledInvokerServlet存在远程代码执行漏洞。远程攻击者可借助特制的序列化payload利用该漏洞执行任意代码。
  CNVD对上述漏洞的综合评级为“高危”。
  3.4.2 漏洞影响产品
  Red Hat JBoss Enterprise Application Platform 5.x
  Red Hat JBoss Enterprise Application Platform 4.x
  3.4.3漏洞处置建议
  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
  
https://access.redhat.com/solutions/45530
  4.网络安全要闻
  4.1我国首部网络安全法6月1日起正式施行
  6 月 1 日消息 从 6 月 1 日起《中华人民共和国网络安全法》正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,其中重要的一方面就是要打击防止公民个人信息数据被非法获取、泄露或者非法使用。作为我国网络安全领域的基础性法律,《中华人民共和国网络安全法》的出现在我国网络安全史上具有里程碑意义,明确加强了对个人信息的保护,打击网络诈骗。国家互联网信息办公室网络安全协调局局长赵泽良说:“中国经济和社会已经高度依赖于信息网络。我们制定网络安全法就是要维护网络空间的国家安全,维护公共利益。”网络安全法现有七章 79 条,内容涵盖了网络空间主权、关键信息个人信息保护规则、关键信息基础设施重要数据跨境传输的规则等。另外,它确立了保障网络的设备设施安全,网络运行安全、网络数据安全,以及网络信息安全等各方面的基本制度。其中,针对个人信息泄露问题规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
  ——(来源:央广网)
  4.2 斯诺登证实美国向日本提供谍报监控系统
  6月2日消息 据日本共同社报道,“棱镜门”的爆料者爱德华•斯诺登近日在莫斯科接受了独家采访,证实了美国国安局(NSA)曾向日方提供绝密的信息监控系统,佐证了日本政府可以大量监控个人邮件及通话等。斯诺登敲响警钟称,目前正在日本参院审议的写进“合谋罪”宗旨的《有组织犯罪处罚法》修正案将正式认可大规模收集个人信息。斯诺登称,NSA向日方提供了被称为“XKEYSCORE”的大规模监控邮件及通话等的监控系统。该系统不仅针对国内,还可收集全世界几乎所有的通讯信息。美国网络媒体“Intercept”4月公开了据称是斯诺登曝光的2013年4月8日的一份文件,内容为使用提供给日本的“XKEYSCORE”,NSA要员向上层要求在日本实施训练。斯诺登就合谋罪指出:“这是日本大规模监控的开端。日本至今为止不存在的监控文化也将成为日常。”
  ——(来源:cnBeta.COM)
  4.3共和党合作数据公司意外泄漏近 2 亿美国选民的个人资料
  6月20日消息 在共和党国家委员会签约的一家营销公司本月泄漏了超过1.98亿美国公民的政治数据。数据泄露包含大约61%的美国人大量个人信息。除了家庭地址,出生日期和电话号码之外,这些记录还包括政治团体采用的先进情绪分析来预测个人选民如何处理热门问题,如枪支所有权,干细胞研究和堕胎权,以及宗教信仰和种族。Deep Root Analytics是一个共和党的数据公司供应商,用于确定政治广告的受众群体。UpGuard网络风险分析师Chris Vickery上周在线发现了这些数据。超过1TB的数据存储在云服务器上,无需保护密码,任何人可以访问,这引起了重大的隐私问题,这对有恶意目的的人来说是有价值的。
  ——(来源:cnBeta网)
  4.4 黑客组织“匿名者”再次发起针对金融机构的攻击
  6月21日消息 近日,黑客组织“匿名者(Anonymous)”向全球超过140个金融机构发起了新一轮的攻击行动,代号为#Opicarus2017。“匿名者”曾于2015、2016年发起过持续4波针对银行的大规模DDoS攻击,在其攻击下汇丰银行、土耳其银行、希腊央行、塞浦路斯央行、墨西哥银行、墨西哥北方银行、孟加拉国银行等多家银行纷纷中招,就连美国联邦储备银行、世界银行、国际货币基金组织、纽约证券交易所以及英格兰银行等大牌金融机构也受到严重影响。此次“匿名者”发起代号为#Opicarus2017的攻击行动,包括中国人民银行(pbc.gov.cn)、香港金融管理局(hkma.gov.hk)在内的全球近140家金融机构均在其公布的攻击列表中。此次攻击,在保持了DDoS让金融机构服务不可用的同时,攻击者还将针对性的寻找金融机构的数据库注入攻击点,以达到窃取敏感数据的目的。目前全球超过9家金融机构已经被黑客进行数据库注入攻击,印度卡纳塔克邦格莱明银行和亚洲开发银行的数据敏感信息被黑客窃取,此外部分金融机构受到 DDoS攻击而导致网站服务不可用。本轮攻击还在持续进行中。
  ——(来源:HackerNews)
  4.5英国会网络系统遭攻击 暂停电子邮件登录及联络
  6月25日消息 据外媒报道,英国国会发生网络系统遭攻击事件,英国当局已经展开调查。英国国会24日以书面声明的方式证实,当地时间24日发现有“未获授权的意图要进入国会议员的使用者帐户”,国会除了持续在调查事件,也会进一步采取措施来确保电脑系统的安全。事发后英国国会全面暂停所有议员和职员登入国会的网络以及电子邮件系统,以保护整个系统的安全。自由民主党议员克里斯•瑞纳德在推特上表示,如果有重要联络事项,应透过手机简讯联系,因为国会议员的电子邮件无法远端操作。英国国会成为网络攻击的目标,引发各界高度瞩目。目前尚不清楚这起网络攻击事件有多少人受到影响以及损害程度如何,包括英国国家网络安全中心以及国家犯罪机构已就事件展开调查。英国国家网络安全中心表示,在获知有关情况后,将重新制定政府部门针对网络安全的指引。
  ——(来源:中新网)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910