此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年08月)
索引:  K08260953/2017-02829 发布机构:  吉林省通信管理局办公室
生成日期:  2017-9-21 11:22:26 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年08月)
吉林省互联网网络安全情况月度通报(2017年08月)
发布时间:2017-9-21 11:22:26  

  1.情况综述
  2017年8月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件108起,其中包括网页篡改事件17起、漏洞事件91起;协调省内各基础电信企业上报事件1160起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端27个,受控端1112个;处置被蠕虫病毒感染IP650个。
  3.本月重要漏洞情况
  3.1 D-Link DIR系列路由器存在身份验证信息泄露和远程命令执行漏洞
  3.1.1 漏洞情况分析
  D-Link(即友讯网络)是一家生产网络硬件和软件产品的企业,主要产品有交换机、无线产品、宽带产品、网卡、路由器、网络摄像机和网络安全产品(防火墙)等。根据CNVD秘书处分析情况,D-Link DIR系列路由器存在身份验证绕过漏洞和远程命令执行漏洞如下所示:
  (一)身份验证信息泄露漏洞:当管理员登录到设备时会触发全局变量:$authorized_group > = 1。远程攻击者可以使用这个全局变量绕过安全检查,并使用它来读取任意文件,获取管理员账号密码等敏感信息。
  (二)远程命令执行漏洞:由于fatlady.php页面未对加载的文件后缀(默认为XML)进行校验,远程攻击者可利用该缺陷以修改后缀方式直接读取(DEVICE.ACCOUNT.xml.php)获得管理员账号密码,后续通过触发设备NTP服务方式注入系统指令,取得设备控制权。
  CNVD对上述风险的综合评级为“高危”。
  3.1.2 漏洞影响产品
  根据CNVD技术成员单位——北京知道创宇信息技术有限公司验证情况,受漏洞影响的D-Link 路由器型号不限于官方厂商确认的DIR-850L型号,相关受影响的型号还包括DIR-868L、DIR-600、DIR-860L、DIR-815、DIR-890L、DIR-610L、DIR-822。
  根据知道创宇公司普查结果,DIR-815L在互联网上标定有177989个IP,其他型号数量规模较大的有:DIR-600(31089 台)、DIR-868L(23963台)、DIR-860L(6390 台)、DIR-815(2482 台)。
  3.1.3漏洞处置建议
  上述漏洞来源于国外厂商Beyond Security 2017年6月组织的Hack2Win漏洞奖励竞赛,相关漏洞已提交D-Link厂商,厂商已经发布了补丁Firmware: 1.14B07 BETA 修复漏洞。CNVD建议相关用户尽快升级路由器固件。官方补丁:
http://support.dlink.com/ProductInfo.aspx?m=DIR-850L
  临时解决方案:
  针对不能及时升级的路由器固件的用户,如有必要请及时关闭互联网上对路由器的管理访问权限(一般是通过设置广域网WAN对设备访问控制策略实现)。 
  3.2 惠NetSarang公司Xshell等多种产品存在后门
  3.2.1 漏洞情况分析
  Xshell 是一款应用广泛的终端软件,被广泛地用于服务器运维和管理,Xshell 支持 SSH,SFTP,TELNET,RLOGIN 和SERIAL 功能。Xmanager以及Xlpd、Xftp等为NetSarang公司旗下相关产品。
  风险存在于Xshell、Xlpd、Xmanager、Xftp等软件安装目录下的用于网络通信的组件nssock2.dll 模块,其被发现加载了被标定为后门类型的代码(样本hash值为:97363d50a279492fda14cbab53429e75),导致敏感信息被泄露到攻击者所控制的控制服务器。根据分析,其加载的Shellcode代码会收集主机信息并通过DNS隧道进行数据传递。同时,后门控制者利用算法生成了对应的控制域名,其中当前的一个控制域名为nylalobghyhirgh.com。
  CNVD对该漏洞的技术评级为“高危”。
  3.2.2漏洞影响产品
  目前存在后门的版本及对应产品如下:Xshell Build 5.0.1322;Xshell Build 5.0.1325;Xmanager Enterprise 5.0 Build 1232;Xmanager5.0 Build 1045;Xftp 5.0 Build 1218;Xftp 5.0 Build 1221;Xlpd 5.0 Build 1220。根据CNVD秘书处普查结果,直接暴露在互联网上标定为启用Xshell\Xmanager服务的主机并不多(约1000余台IP),但有可能会广泛出现在企事业单位内部区域网络以及终端上。
  根据国家互联网应急中心(CNCERT)监测结果,我国已有3.1万余个IP地址运行的Xshell等相关软件疑似存在后门,主要分布于广东(占谢谢20.39%)、上海(14.43%)、北京(12.69%)、福建(10.11%)等省市。
  3.2.3漏洞处置建议
  目前厂商已经发布了最新版本修复了此漏洞,请及时更新:
  
https://www.netsarang.com/download/software.html
  3.3 Windows Search服务存在远程代码执行漏洞
  3.3.1 漏洞情况分析
  Windows搜索服务(WSS)是windows的一项默认启用的基本服务。允许用户在多个Windows服务和客户端之间进行搜索。
  Windows搜索处理内存中的对象时,存在远程执行代码漏洞,成功利用此漏洞的攻击者可以控制受影响的系统。虽然漏洞与SMB协议本身无关,但攻击者可SMB目标作为攻击媒介,因此该漏洞面临着与Wannacry类似的大规模利用风险。
  CNVD对该漏洞的技术评级为“高危”。
  3.3.2 漏洞影响产品
  漏洞影响微软公司多款Windows产品,包括个人桌面和服务器操作系统,列表如下:
  Microsoft Windows 10 Version1607 for 32-bit Systems
  Microsoft Windows 10 Version1607 for x64-based Systems
  Microsoft Windows 10 for32-bit Systems
  Microsoft Windows 10 forx64-based Systems
  Microsoft Windows 10 version1511 for 32-bit Systems
  Microsoft Windows 10 version1511 for x64-based Systems
  Microsoft Windows 10 version1703 for 32-bit Systems
  Microsoft Windows 10 version1703 for x64-based Systems
  Microsoft Windows 7 for 32-bitSystems SP1
  Microsoft Windows 7 forx64-based Systems SP1
  Microsoft Windows 8.1 for32-bit Systems
  Microsoft Windows 8.1 forx64-based Systems
  Microsoft Windows RT 8.1
  Microsoft Windows Server 2008R2 for Itanium-based Systems SP1
  Microsoft Windows Server 2008R2 for x64-based Systems SP1
  Microsoft Windows Server 2008for 32-bit Systems SP2
  Microsoft Windows Server 2008for Itanium-based Systems SP2
  Microsoft Windows Server 2008for x64-based Systems SP2
  Microsoft Windows Server 2012
  Microsoft Windows Server 2012R2
  Microsoft Windows Server 2016
  3.3.3漏洞处置建议
  建议Windows用户安装补丁更新,如果未能及时部署补丁更新,建议在禁用Windows Search服务。 
  4.网络安全要闻
  4.1 巴基斯坦政府官网遭黑客入侵 播印度国歌
  据香港东网5日报道,印度与巴基斯坦近日就克什米尔的主权纠纷,接连爆发冲突。8月14日及15日分别是巴基斯坦与印度的独立日。两国黑客率先在互联网上较劲。一名印度黑客成功入侵巴基斯坦政府官网,不但将网站页面设为纯黑色,更播放印度国歌,极为挑衅。报道称,印度黑客入侵巴基斯坦政府官网后,大肆篡改其页面设计及留言,庆祝印度独立日。还有留言写道:思想有自由,说话有信念,我们的灵魂有自尊。请向那些伟大的人致敬,他们让这一切都成真。不久,巴基斯坦政府派人修复网站,但印度黑客纷纷在网上高呼取得胜利。
  ——(来源:环球网)
  4.2英国制定新安全法案,加强关键基础设施网络防御体系
  据外媒8月8日报道,英国政府于近期推出一项新安全法案,旨在保障国家关键基础设施安全。该法案指出,提供能源与交通等基本服务的供应商需要制定一份安全紧急方案,以解决电力故障或环境灾难所带来的严重影响。倘若此类公司未能有效实施网络安全措施,或将面临巨额罚款 ,其金额最高可达 1700 万英镑。目前,该法案集数字、文化、媒体与运动为一体,符合欧盟《网络与信息安全指令》(NIS指令)的要求并将于明年 5 月生效执行。NIS 指令于2016 年 7 月 6 日通过审核后在同年 8 月生效,旨在促进成员国安全战略协作与信息共享、提升欧盟网络安全水平。此外,欧盟成员国需要在 NIS 指令生效的 21 个月内将其纳入国家立法,并另有 6 个月可识别指令涉及的主体范围。调查显示,由于英国提供关键基础设施的组织于近期在勒索软件WannaCry与NotPetya攻击事件中普遍遭受影响,因此政府不得不加快安全法案的制定。
  ——(来源:HackerNews网)
  4.3 乌克兰央行发布警告:国有与私人银行再度遭受新型勒索软件钓鱼攻击
  据报道,乌克兰中央银行于8月18日发表声明,警示乌克兰国有与私人银行再度遭受新勒索软件攻击,其类型与6月袭击全球各企业网络系统的勒索软件 NotPetya 相似。6月下旬,NotPetya勒索软件网络攻击首次袭击乌克兰与俄罗斯公司,旨在加密电脑私人数据并要求受害用户缴纳300美元赎金。调查显示,此次攻击活动通过一款广泛使用的会计软件MeDoc感染恶意代码并于全球范围内肆意传播,而TNT快递、美国默克等知名企业在网络系统运营中普遍使用该款软件。据悉,安全专家于8月11日发现新型勒索软件攻击后当即通过邮件迅速向各银行机构通报其恶意代码、特性指标,以及预防措施。经安全专家深入调查后发现,新型勒索软件通过网络钓鱼邮件附带的恶意办公文档进行肆意传播。目前,乌克兰央行正与国家CERT及地方当局密切合作,旨在提高其关键基础设施的网络系统防御能力(特别是乌克兰各大银行)。
  ——(来源:HackerNews网)
  4.4 新型“脉冲波”DDoS 攻击来袭:锁定多目标+大流量攻击
  8月20日消息 据Imperva Incapsula 8月16日报告指出,新型“脉冲波”DDoS攻击同时锁定多个目标发起猛攻。黑客利用传统DDoS缓解措施中的弱点发起新型DDoS攻击,旨在增强攻击强度。攻击者利用此类攻击可让目标网络长时间瘫痪,与此同时还能攻击多个目标。专家指出,这类攻击可能会使传统DDoS缓解措施毫无用武之地。Imperva安全研究人员表示,极端“脉冲波”DDoS攻击持续数天,峰值高达350Gbps。Imperva在分析报告中指出,脉冲波攻击包含一系列短脉冲,如发条般的接连发生。研究人员认为,脉冲波攻击出自高级黑客之手,利用“设备优先,云其次”混合缓解方案中的弱点提升攻击强度,并拓宽范围。传统的DDoS攻击的流量通常会逐步攀升,然而“脉冲波”攻击则包含“高度重复”的短脉冲攻击(由每十分钟一次或多次脉冲构成)。这类新型攻击持续时间超过一小时,乃至数天。单脉冲的规模及强度足以致网络堵塞。研究人员还指出,“脉冲波”攻击最大的特点是不存在流量逐渐攀升一说,而是将所有攻击资源一次性汇入,仅需数秒就能达到峰值,并在持续过程中保持峰值居高不下。
  ——(来源:E安全)
  4.5美国提升网络部队级别 加强应对网络攻击
  8月19日消息 美国总统特朗普8月18日宣布,把战略司令部旗下的“网络司令部”升级为与战略司令部同级的联合作战司令部。鉴于来自俄罗斯、中国、朝鲜等的网络攻击威胁不断增加,此举旨在强化应对能力。2016年美国总统大选中,俄罗斯被指涉嫌发起网络攻击干涉选举,引起争议,美国议会中要求提升网络防御能力的呼声高涨。国防部高官18日在记者会上表示:“这是我们决心在所有战斗场合保持美军优势的体现。”特朗普18日下达指示,要求国防部长马蒂斯推荐担任新网络司令部司令的人选。参议院批准总统提名后,该部队将正式升级。目前则仍由国家安全局(NSA)局长罗杰斯兼任网络司令部司令。共和党的参议院军事委员会主席麦凯恩在声明中强调,“必须制定旨在对抗网络攻击威胁的明确的政策及战略”。
  ——(来源:新浪网)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910