此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年09月)
索引:  K08260953/2017-02924 发布机构:  吉林省通信管理局办公室
生成日期:  2017-11-7 9:17:21 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年09月)
吉林省互联网网络安全情况月度通报(2017年09月)
发布时间:2017-11-7 9:17:21  

  1.情况综述
  2017年9月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件103起,其中包括网页篡改事件25起、漏洞事件74起、网站后门事件2起、网站仿冒事件2起;协调省内各基础电信企业上报事件1554起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端36个,受控端1580个;处置被蠕虫病毒感染IP975个。
  3.本月重要漏洞情况
  3.1 Apache Tomcat存在信息泄露与远程代码执行漏洞
  3.1.1 漏洞情况分析
  Tomcat是Apache 软件基金会(Apache Software Foundation)开发一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不高的场合下被普遍使用,是开发和调试JSP 程序的首选。2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞。
  漏洞一:信息泄露漏洞(CNVD-2017-27471、CVE-2017-12616)
  当Tomcat中启用了 VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由VirtualDirContext提供支持资源服务的JSP源代码,从而造成代码信息泄露。
  漏洞二:远程代码执行漏洞(CNVD-2017-27472、 CVE-2017-12615)
  当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
  CNVD对上述漏洞的综合评级均为“高危”。
  3.1.2 漏洞影响产品
  根据官方公告情况,两个漏洞影响版本如下:
  信息泄露漏洞(CNVD-2017-27471、CVE-2017-12616):
  Apache Tomcat 7.0.0 - 7.0.80
  远程代码执行漏洞(CNVD-2017-27472、CVE-2017-12615):
  Apache Tomcat 7.0.0 - 7.0.79
  3.1.3漏洞处置建议
  升级至 Apache Tomcat 7.0.81 版本,详情参见官网:
  
http://tomcat.apache.org/download-70.cgi#7.0.81 
  3.2 RTP协议实现存在信息泄露漏洞(RTP Bleed)
  3.2.1 漏洞情况分析
  RTP实时传输协议(Real-timeTransport Protocol)是一种标准网络传输协议,RTP协议主要实现在互联网上传递音频和视频的标准数据包格式。RTP协议通常和RTP控制协议(RTCP)以及音视频流应用协议(H.323、 SIP)一起使用,广泛应用于流媒体相关的通讯和娱乐(如:网络电话、视频会议、网络电视和基于网络的一键通业务)。
  近期,国外安全研究公司EnableSecurity的安全研究人员Klaus-Peter Junghanns和Sandro Gauci在测试中发现了RTP协议实现的信息泄露漏洞,并命名为“RTP Bleed”。RTP Bleed漏洞和RTP协议的设计虽有关联,但主要还是存在于RTP 代理(Proxy)的具体实现上。RTP代理主要通过在两个或多个参与方之间代理RTP流来解决影响RTC系统的NAT限制,RTP代理由于不能直接信任流数据中的RTP IP和端口信息,而是以“学习模式”检查传入的RTP流量但又不使用身份验证机制。这使得攻击者可以直接接收RTP流媒体数据,且不需要中间人攻击条件。除上述攻击可能外,由于 RTP代理和RTP协议堆栈在实现上轻易接受、转发或处理来自任何源的RTP包,因此攻击者可以发送特定构造的RTP数据包,注入至RTP流中。以上这两种攻击机制有可能导致流媒体信息泄露、会话劫持修改和拒绝服务。例如:攻击者可以将监听正在进行的电话呼叫或音视频会议。
  CNVD对漏洞的综合评级均为“高危” 。
  3.2.2漏洞影响产品
  该漏洞影响十分广泛,可直接影响或间接影响到基于RTP协议的产品供应商或服务提供商。根据当前测试结果,确认已知受影响的产品如下:Asterisk14.4.0、TPproxy (tested 1.2.1-2ubuntu1 and RTPproxy2.2.alpha.20160822 (git))。
  漏洞命名虽然参考了OpenSSL心脏滴血“HeartBleed”漏洞,但原理不完全相同。HeartBleed是因OpenSSL组件漏洞而泄露内存信息,RTPBleed是由于RTP协议实现缺陷而导致RTP流数据包存在暴露风险。
  3.2.3漏洞处置建议
  当前各方还未给出正式的解决方案,当前推荐的临时解决方案是建议在各类产品和中间件中启用安全实时传输协议(SRTP),可以避免机密性和完整性不受到影响。SRTP可以与其他技术措施(例如使用静态IPS、支持ICE和STUNauthentication等)相结合,可以避免对攻击途径的暴露。例如:WebRTC通过强制使用SRTP协议,就未受到漏洞的影响。
  3.3 Apache Struts2 REST插件存在S2-052远程代码执行漏洞
  3.3.1 漏洞情况分析
  Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为国内外较为流行的容器软件中间件。Xstream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将JavaBean序列化或将XML文件反序列化的时候,不需要其它辅助类和映射文件。Xstream也可以将JavaBean序列化成JSON或反序列化,使用非常方便。
  Struts2的REST插件使用带有XStream例程的XStreamHandler执行反序列化操作,但在反序列化过程中未做任何类型过滤,导致攻击者可能在反序列化XML负载时构造恶意的XML内容执行任意代码。
  CNVD对漏洞的综合评级均为“高危”。
  3.3.2 漏洞影响产品
  根据官方公告情况,漏洞影响Apache Struts2.5至Struts 2.5.12版本。参考长亭公司的核验结果,Apache Struts 2.3.33版本也受到漏洞影响且官方网站未发布对应版本的更新。综合评估认为,虽然攻击原理通用,但由于目前攻击利用过程存在远程指令执行回显的技术限制以及需要有REST插件应用的前提条件,本次S2-052漏洞威胁达不到S2-045/046漏洞的威胁级别。
  3.3.3漏洞处置建议
  根据官方发布的安全更新,建议升级到ApacheStruts版本2.5.13,下载地址:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.
  5.13。
  此外,可以采用如下临时解决方案:
  1、如果非网站功能必需,建议删除StrutsREST插件,或仅用于服务器普通页面和JSONs:
  <constantname="struts.action.extension" value="xhtml,,json" />
  2、限制服务端扩展类型,删除XML支持。
  4.网络安全要闻
  4.1 2017国家网络安全宣传周9月16日在上海开幕
  2017年国家网络安全宣传周9月16日在沪开幕。本次活动于9月16日至24日在全国范围内统一举行,主题是“网络安全为人民,网络安全靠人民”,由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局、全国总工会、共青团中央等九部门共同举办。国家层面举办网络安全宣传周,到今年已是第四届;与往年相比,今年宣传周期间不但会举办网络安全博览会,而且还新增了网络安全成就展。昨天,中央网信办网络安全协调局相关处室负责人在回答记者提问时介绍,2017网络安全博览会暨网络安全成就展是 2017国家网络安全宣传周一项重要内容,该活动由中央网信办、上海市人民政府指导,上海市委网信办主办,国家工业信息安全发展研究中心、上海市信息安全行业协会承办,将于9月17日-9月20日在国家会展中心(上海)7.2馆举行。为让广大人民群众了解五年来国家网络安全取得的成就,今年专门设立了网络安全成就展,成就展由中央网信办、教育部、工信部、公安部、人民银行、国家密码局、共青团中央等部门共同设计,集中展示国家网络安全顶层设计、技术产业、保障能力、人才培养、宣传教育等方面取得的显著成就。
  ——(来源:人民网)
  4.2工信部发布《公共互联网网络安全威胁监测与处置办法》
  9月15日消息 记者9月14日从工信部获悉,工信部制定印发《公共互联网网络安全威胁监测与处置办法》,对公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件监测处置,并建立网络安全威胁信息共享平台,集成合力维护网络安全。工信部提出,公共互联网网络安全威胁既包括被用于实施网络攻击的恶意IP地址、恶意域名、恶意电子信息、恶意程序等,也包括网络服务和产品中存在的安全隐患以及网络安全事件。这些一旦被发现认定,将采取停止服务、屏蔽、清除、通报等措施。工信部提出建立网络安全威胁信息共享平台,统一汇集、存储、分析、通报、发布网络安全威胁信息,制定相关接口规范,与相关单位网络安全监测平台实现对接。工信部网络安全管理局局长赵志国表示,工信部将完善危险监测处置、数据保护、新技术、新业务安全评估等政策,最大限度消除安全隐患,制止攻击行为,避免危害发生。《公共互联网网络安全威胁监测与处置办法》自2018年1月1日起实施。
  ——(来源:中国网)
  4.3 美征信巨头信息泄露或影响上亿消费者
  9月8日消息 美国征信公司伊奎法克斯9月7日发布声明说,由于此前公司文件遭遇非授权访问,约有1.43亿美国消费者信息或已泄露。声明说,遭到非授权访问的个人信息包括客户姓名、生日、地址、社会安全号、驾驶证号等。此外,约20.9万美国消费者的信用卡号以及一些英国和加拿大居民的个人信息也遭遇未授权访问。声明还说,公司7月29日发现非授权访问行为后堵住漏洞。此后的调查显示,非授权访问行为早在今年5月中旬就已开始。不过,没有证据显示公司核心消费者及商业信用报告数据库遭到非授权访问。该公司首席执行官理查德•史密斯在声明中就信息泄露向消费者和客户致歉。公司正就这起网络安全事件联系美国相关监管机构,并已书面通报美国各州总检察长。伊奎法克斯是美国三家主要个人征信公司之一。这些征信公司有偿向银行、保险公司和房地产商等提供个人信用报告。
  ——(来源:新华网)
  4.4 东盟各国专家冀与中国携手应对网络信息安全挑战
  9月12日消息 第七届中国-东盟工程项目合作与发展论坛暨第四届中国-东盟网络信息安全研讨会9月12日在南宁举行,东盟多国专家增进交流与共识,并期待中国-东盟携手应对网络信息安全挑战。中国国际科技交流中心主任陈剑表示,在“一带一路”倡议下,中国—东盟聚焦工程项目合作以及信息安全,具有更广阔的发展前景。特别是工程项目合作中的人才培养问题以及工程标准的相互认证问题。“中国国际科技交流中心愿意推动这方面的资源对接,为发展注入活力。”缅甸工程委员会主席Charlie Than称,他们已制定了旨在提升工程师认证和教育的路线图,还包括与中国科学技术协会合作。本届论坛由广西科学技术协会和中国—东盟博览会秘书处联合主办,以“工业控制与信息安全”为主题,与会专家围绕工业控制系统信息安全问题、网络空间防御问题、关键信息基础设施与工控安全问题、工业控制系统信息安全等级保护问题、智慧城市建设面临的信息安全挑战问题等进行深入而广泛的交流和探讨。
  ——(来源:中新网)
  4.5针对北约网站攻击猛增 60% 欧盟非正式防长会聚焦网络安全
  9月7日,欧盟非正式防长会在爱沙尼亚首都塔林召开,会议主要议题集中在“如何应对日益增长的网络攻击”。当天的会议上,欧盟各国防长参加了一场战略级的“桌面网络防御演习”,以测试在面对网络攻击时,各国防长的管理战略和综合能力,同时推动欧盟与北约在网络空间的防务合作。有统计数据显示,2016年,针对欧盟服务器的网络攻击达到110次,比上一年增加了20%,而针对北约网站的攻击更是猛增了60%。面对挑战,欧盟已升级安全措施——高级公务员被告知利用电邮加密技术;同时,欧盟委员会也正与北约扩大网络安全合作。
  ——(来源:E安全)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910