信息安全通报第49期
2017年第49期安全通报
1数据看安全
国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞440个,其中高危漏洞194个、中危漏洞202个、低危漏洞44个。漏洞平均分值为6.06本周收录的漏洞中,涉及0day漏洞142个(占32%),其中互联网上出现“PHICOMM K2(PSG1218)输入验证漏洞、Debut embedded http server拒绝服务漏洞”等零日代码攻击漏洞。
-----数据来源:CNVD官网
- 安卓手机病毒Catelites Bot同时瞄准全球2200家银行用户,进行“屏幕覆盖攻击”。
- 100个黑客组织旨在破坏英国经济,窃取政府机密。
- 全球1000余台利盟(Lexmark)打印机在线暴露,涉及美国政府办公室。
- 全球25名超级黑客参加美空军H1-212入侵计划。
- 北美“GridEx IV”网络战演习:美国防备朝鲜EMP攻击。
2典型事件简述
某市人民政府网站页面头部被上传中国澳门赌博链接
某县环保局网站页面被植入暗链
以上是某市人民政府网站页面头部被上传明链和某县环保局网站页面被植入暗链的现象,包含有一些如中国澳门百家乐、博彩评级等非法的内容,这些不仅阻碍了人们对正常信息的查询,还严重影响了站点的公信力。
无论过去,还是现在,网站被黑、被挂马等都隐藏在身边的每个角落。在信息散播较为快速的时代,我们应该着眼于当前网络安全状态,积极保护好个人信息、所属服务器等资产。根据2017年出现的各类网络安全问题,安恒信息已着手撰写《2017年网络安全年报》供各位读者参阅,敬请期待!
3漏洞分析
漏洞名称:
WebLogic Server WLS 组件远程命令执行漏洞(CVE-2017-10271)
漏洞概述:
2017年10月18日,国家信息安全漏洞共享平台(CNVD)收录了WebLogic Server WLS 组件远程命令执行漏洞(CNVD-2017-31499,对应CVE-2017-10271)。远程攻击者利用该漏洞通过发送精心构造的 HTTP 请求,获取目标服务器的控制权限。近期,由于漏洞验证代码已公开,漏洞细节和验证利用代码疑似在社会小范围内传播,近期被不法分子利用出现大规模攻击尝试的可能性极大。
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器组件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
2017年10月18日,Oracle官方发布了包括WebLogic Server WLS 组件远程命令执行漏洞的关于Weblogic Server的多个漏洞补丁,却未公开漏洞细节。漏洞引发的原因是Weblogic的“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行,远程攻击者利用该漏洞通过发送精心构造好的HTTP XML数据包请求,直接在目标服务器执行Java代码或操作系统命令。近期可能会有其他使用了“XMLDecoder”类进行反序列化操作的程序爆发类似漏洞,需要及时关注,同时在安全开发方面应避免使用“XMLDecoder”类进行XML反序列化操作。CNVD对上述风险的综合评级为“高危”。
漏洞影响范围:
OracleWebLogic Server10.3.6.0.0
OracleWebLogic Server12.1.3.0.0
OracleWebLogic Server12.2.1.1.0
OracleWebLogic Server12.2.1.2.0
漏洞修复建议:
厂商已经发布了修复补丁,建议立即进行更新:
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
4
国内外安全热点聚焦
国内焦点事件
1.安恒信息董事长范渊荣获“2016浙江软件行业领军人物”称号。12月22日,浙江省软件行业协会2017年会员大会暨第四届理事会第二次会议在杭州之江饭店隆重举行。中国工程院院士陈纯、省经信委软件处处长胡蓓姿、协会顾问楼健人、协会顾问蔡家楣等领导和专家应邀出席了会议,协会会员单位近500位代表参加了会议。
大会审议通过了《浙江省软件行业协会关于调整会费标准的决议》,发布了《2016年度浙江省软件行业评优结果》和《2016年度浙江省软件行业先进工作者》,并举行了颁奖典礼和表彰大会,为获奖企业和个人颁发了奖杯和荣誉证书。本次评优评审共有以下10个奖项:先进工作者、最佳创新软件产品、优秀产品经理、最佳行业应用解决方案、优秀项目经理、最佳创新软件企业、优秀企业家、杰出企业家、软件明星企业以及领军人物等,安恒信息获得大丰收,在总计十个奖项中,荣登七项获奖名单成为大赢家,其中年度最重磅奖项“浙江软件行业领军人物”由安恒信息董事长兼总裁范渊一人摘获。
在发表获奖感言之前,范渊首先感谢协会和软件行业对他的信任,他说道,“我感觉自己非常幸运,因为我们浙江省的软件行业从业者不乏佼佼者,我只是其中的一位普通代表。协会将这个奖项颁发给我,只是因为我赶上了好的时代,我带领安恒信息快速成长在历史机遇期,为国家的网信事业做出了应有的贡献。”
2.2017年工业信息安全技能大赛决赛结果揭晓。12月26日,由工业和信息化部指导,国家工业信息安全发展研究中心和浙江省经济和信息化委员会主办,国家工业信息安全产业发展联盟、杭州电子科技大学、浙江省电子信息产品检验所、浙江省信息安全行业协会承办的2017年工业信息安全技能大赛决赛在浙江省杭州市成功举办。
初赛决出的十支队伍针对工业HMI系统、大型实时数据库系统、工业物联网数据采集系统、发电领域分布式控制系统、石油石化行业功能安全仪表系统等5类场景展开了两轮攻防实战对抗。经过一天的激烈对决和大赛评审委员会的审核,十支队伍最终排名如下:
一等奖:
哈工程灯塔实验室(哈尔滨工程大学)
二等奖:
爱测试(解放军信息工程大学)
瑞气十足(南瑞集团有限公司)
三等奖:
清华紫荆花队(清华大学网络科学与网络空间研究院)、赛西安全队(中国电子技术标准化研究院信息安全研究中心)、黑龙江省电子技术研究所、中国网安(中国电子科技网络信息安全有限公司)、GSCE(全球能源互联网研究院)、江南队(江苏省电子信息产品质量监督检验研究院)、国信队(国家信息技术安全研究中心)
3.部分全国人大常委会委员建议加强统筹协调理顺网络安全执法体系。12月26日,十二届全国人大常委会第三十一次会议分组审议网络安全法、全国人大常委会关于加强网络信息保护的决定执法检查报告(下称报告)。部分常委会委员建议,加强统筹协调,尽快理顺网络安全执法体系。
报告显示,当前网络安全监管权责不清、各自为战、执法推诿、效率低下等问题尚未完全解决,法律赋予网信部门的统筹协调职能履行不够顺畅……结合报告这一内容,部分常委会委员提出了建议。
谢旭人委员建议,尽快健全适应网络特点的规范化执法体系,完善网络执法协作机制,加强网信部门统筹协调职责,明确部门权责,形成网信、工信、公安等部门协调工作机制。他同时建议相关部门之间加强信息共享、配合协调。
何晔晖委员建议加大顶层统筹管理、规划、协调力度,尽快把相关部门统一协调起来,建立执法检查队伍,形成较完善、多层次的监督管理部门,形成统一的网络安全监督检查体系。
分组审议中,委员们也很关注个人信息保护。侯义斌委员建议对网络个人信息的泄露和倒卖,像“扫黄打非”那样进行专项整治;不论是“内鬼”还是“外鬼”导致的个人信息泄露,个人信息载体的机构和平台必须作为第一责任人首先承担法律责任。严以新、吕薇等委员还建议,针对个人信息保护进行专门立法。
国际焦点事件
1.英国年度报告暴露秘密网络“武器”。英国情报与安全委员会发布的“2016-2017年度报告”指出,英国近年来的网络攻击能力已得到显著增强,其中包括对其它国家的通信、武器系统甚至基础设施进行攻击的能力。
根据报告内容来看,英国政府通讯总部(简称GCHQ)已经“超额实现”预定计划,其创造的新型网络攻击能力达到预期数量的两倍。英国政府通讯总部自2014年开始的黑客攻击能力“发展”举措获得了“非常显著”的成效,其能力发展计划共分为三个阶段,目前刚刚完成第一阶段。该机构某官员向委员会陈述时表示已经超额完成任务,第一阶段实现的能力比预期目标几乎翻了一番。”具体细节在这份报告中进行了保密处理,并未公开。从理论层面判断,这种能力应该可用于对他国的网络攻击活动实施报复。就在这份报告发布的前一天,英国外交部公开就“朝鲜于2017年5月对英国国民健康保险制度(简称NHS)发动WannaCry攻击的作法”表示谴责。
不过英国政府通讯总部下辖的部分项目仍未能取得成功,其中包括一款用于处理加密信息传播的软件——Foxtrot。该软件一旦设计完成,将“提升英国政府通讯总部在无处不在的加密环境当中运行设备干扰程序的能力”,因此,Foxtrot被广泛视为英国政府通讯总部开展工作的关键所在。但该项目的开发遭受一定程度的延误。英国政府通讯总部向委员会方面解释道,这项任务变得越发复杂,同时技能短缺问题更加明显。”
2.西班牙人正在研究如何通过电磁波破解手机密码。来自马德里卡洛斯三世大学(UC3M)和西班牙国家研究委员会(CSIC)的研究人员目前正在研究并开发一种新型的工具,可以通过分析智能手机发出的电磁波来获取加密密钥。
这个研究项目于最近在加拿大召开的物联网安全与隐私国际研讨会(Workshop on Security and Privacy on Internet of Things)上被提出。项目参与人员包括UC3M 计算机安全实验室(COSEC)的网络安全研究员JoséMaríade Fuentes和LorenaGonzález以及来自CSIC的技术与信息技术研究所(ITEFI)的网络安全研究员HernándezEncinas和LuisHernándezEncinas。
根据该研究小组的说法,进行这个项目的目的是希望通过有一个工具可以用来测试电子设备及其所采用的芯片是否存在安全漏洞,使得软件或者硬件开发人员能够产品量产前采取对应的解决措施,以保护最终用户的安全。LorenaGonzález解释说:“在电子设备处于开启状态时,它们必然会消耗电能并产生电磁波。我们试图捕获它们的轨迹来获取加密密钥,同时破译数据。”
3.俄罗斯WinXP版ATM机轻松被黑:连按五次Shift。Windows XP已经停更多年(除了对付勒索病毒那样的紧急安全补丁),但因为种种原因,仍有用户乃至组织机构在使用它,安全隐患可想而知。据一位俄罗斯网友发现,俄罗斯联邦储蓄银行(Sberbank)使用的ATM机就还在运行Windows XP系统,而且存在近乎不可思议的安全漏洞,机会任何人都能轻松黑掉它。
这台ATM机配备了金属全键盘和触摸屏,能被黑掉也正要“感谢”它们俩:只需连续按下Shift键五次,系统就会提示是否启动粘滞键功能,而在取消对话框后,Windows XP的任务栏、开始菜单就全都可以访问了,然后……你就可以为所欲为了。
更糟糕的是,据德国媒体报道,俄罗斯联邦储蓄银行早在至少两周前,就被告知其ATM机存在安全漏洞,但银行方面只是承诺会紧急修复,却至今没有采取任何措施。
经过测试发现,漏洞依然存在。
注:本通报根据安恒信息风暴中心和国内各大信息安全机构、网站整理分析而成。
风暴中心
风暴中心全称“智慧城市安全风暴中心”,是杭州安恒信息技术有限公司顺应当前信息化发展中“云计算化”、“大数据化”、“智慧智能化”的大趋势,专门设立的网络安全态势监测、感知、分析及预警部门。通过“智慧城市安全风暴中心大数据平台”、分布在全国各省的监测节点、中心大数据分析平台与专业网络安全情报分析团队,对全国网络安全态势进行主动监控与攻击预警,日均处理攻击事件数百个,为数万个网站提供实时安全监测服务。同时,利用大数据与安全情报分析技术,为政府、金融、电力单位等提供行业整体性安全态势感知与安全预警服务。