11月教育网运行正常,未发现影响严重的安全事件。安全投诉事件数量整体保持平稳。近期没有新增影响特别严重的木马病毒。需要关注的木马病毒有两类,一类是针对用户数据的勒索病毒,另一类则是消耗系统资源的挖矿木马病毒。
2021年10月-11月CCERT安全投诉事件统计
近期新增严重漏洞评述:
1.微软2021年11月的例行安全更新共修复了微软产品线中的5个安全漏洞,涉及Windows系统和组件、Windows NTFS、Windows Codecs Library、Windows COM、Windows Virtual Machine、Office办公软件及Exchange Server 等多个产品和 组件。这些漏洞中有2个0day漏洞需要特别关注,分别是Excel安全绕过漏洞(CVE-2021-42292)和 Exchange Server远程代码执行漏洞(CVE-2021-42321)。 其中Excel的漏洞是中国天府杯安全竞赛中暴露出来的漏洞,被攻击者若是打开了特定的Excel文件就可能导致该漏洞被利用,不过值得庆幸的是,该漏洞并不能通过程序预览来利用,所以点击预览Excel文档并不会导致漏洞被利用,建议用户近期谨慎打开来历不明的Excel文档。另一个Exchange Server的漏洞允许拥有合法邮件账号的用户(哪怕是低权限普通账户)通过网络直接在服务器上执行任意命令,该漏洞目前已经检测到在野的攻击,需要引起Exchange Server管理员的注意。鉴于上述这些漏洞带来的风险,建议用户尽快使用Windows自带的安全更新功能进行更新。
2.GitLab CE的早期版本中(<13.10.3、<13.9.6、<13.8.8)存在一个远程代码执行 漏洞(CVE-2021-22205),由于 GitLab 未正确验证传递到文件解析器的图像文件 从而导致命令执行。攻击者可构造恶意请 求利用该漏洞在目标系统执行任意指令,最终导致GitLab服务器被控制。官方已于2021年4月在后续版本中修补了该漏洞,但近期安全公司监测到互联网上仍然有大量的早期版本存在,且已经遭受到利用该漏洞的攻击。建议使用了GitLab CE早期版本的管理员能够尽快进行升级并检查服务器上的数据是否遭到攻击。
3.VMware近期宣布正在开发补丁程序,用于解决vCenter Server中一个权限提升漏洞(CVE-2021-22048),该漏洞存在于 IWA(Integrated Windows Authentication)身份验证机制中,非管 理权限的用户可利用该漏洞获得 vCenter Server 的管理权限。目前厂商的补丁还未 发布,官方给出的临时解决办法是暂时停用Windows的IWA认证机制,改用LDAPS认证机制。建议vCenter相关的管理员随时关注VMware官方的补丁发布信息。
4.SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java、 C#、C/C++、PL/SQL、Cobol、JavaScript、 Groovy等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。SonarQube在默认配置下会把需要审计的代码上传到SonarQube的平台上,而该平台的API接口在权限控制上存在缺陷,攻击者利用该API可以访问其他未授权用户的代码信息。这将导致使用SonarQube审计过的源代码存在泄露风险,可能给相应的系统带来安全风险。建议使用了SonarQube系统的用户尽快对审计后的代码进行风险排查,避免因源代码泄露带来进一步安全风险。
安全提示:
近期,国家有关部门在联合开展挖矿专项清理行动,清理那些利用公共资源挖矿的行为。学校里的挖矿行为通常有两种,一种是用户主动参与挖矿获利的行为,另一种是因为系统被木马(我们常说的挖矿木马)控制,在用户不知情的情况下被动挖矿的行为。通常前一种人为主动挖矿的行为,可以通过管理手段来阻止,而后一种挖矿行为则需要先识别出挖矿木马才可以采取进一步措施。对于挖矿木马的识别可以采取协议分析(特定的挖矿协议)和情报分析(访问特定的域名或IP)相结合的方法来实现。因为挖矿行为需要消耗大量的计算资源,所以学校的超算中心、数据中心通常是挖矿木马的主要攻击目标。学校可以优先对这些地方的网络流量和DNS访问日志进行监测和分析,来识别是否存在挖矿行为,待相应技术成熟后再扩展到全校的范围内进行。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。