当前位置:主页 > 查看内容

CCERT月报:高招期间注意防范网络安全的这些“坑

发布时间:2018-08-02 08:00| 位朋友查看

简介:近期有媒体报道部分高校网站的网页中(包括某校的高考招生录取查询页面)被植入了挖矿代码,用户一旦访问了这些有问题的网页后,浏览器就会被执行脚本程序进行挖矿,这将大……

  近期有媒体报道部分高校网站的网页中(包括某校的高考招生录取查询页面)被植入了挖矿代码,用户一旦访问了这些有问题的网页后,浏览器就会被执行脚本程序进行挖矿,这将大量占用用户端的系统资源,使得CPU的资源利用率突然大幅提升,甚至到100%,给用户带来安全风险和不好的用户体验。实际上这些被植入了挖矿木马代码的网站多数并不是近期才被入侵控制,可能很早就已经被入侵并控制,只是随着近期高招工作的展开,学校网站的访问数量上升,黑客才把挖矿代码植入到了相应的网页中以获取更高的利益。建议相关学校应该尽快检查自己的各类网站系统(包括二级院系的网站),检查是否存在安全隐患。对于那些已经被放置了挖矿脚本的网站,应该全面检查相关系统和服务的安全问题并及时修补,而不是仅仅把挖矿脚本删除就了事。

  6月与网站安全有关的事件数量呈上升趋势,各类反射型拒绝服务攻击也有所上升。

  近期没有新增影响特别广泛的蠕虫病毒。

  近期新增严重漏洞评述:

  1.微软6月的安全公告共修补了微软产品线中的122个安全漏洞,包括Windows10 v1803 and WindowsServer,v1803(24个)、Windows 10 v1709 and WindowsServer,v1709(25 个)、Windows 10 v1703(24个)、Windows 8.1 and Windows Server2012 R2(8个)、Windows Server 2012(8个)、Windows 7 andWindows Server 2008R2(8个)、WindowsServer 2008(6个)、IE浏览器(4个)、微软Edge浏览器(8个)和微软Office软件(7个)。利用上述漏洞,攻击者可以在被攻击者的系统上进行权限提升、绕过安全限制、获取敏感信息、远程执行代码或拒绝服务攻击等。其中需要特别关注的两个漏洞是Excel远程代码执行漏洞(CVE-2018-8248)和Windows HTTP协议堆栈远程代码执行漏洞(CVE-2018-8231),前者攻击者可以通过引诱用户打开特制的Excel格式的文档来利用,而后者则只需向Windows的http.sys发送特殊构造的数据包就可以被利用。鉴于漏洞的风险性,建议用户尽快使用系统的自动更新功能进行补丁更新。

  2.Adobe公司发布的安全公告(apsb18-19)中升级了最新的Flash player的版本,用于修补之前版本中存在的4个安全漏洞。其中包括一个已经在网络上被用来进行APT攻击的Flash软件0day漏洞(CVE-2018-5002),攻击者利用在Office文档中夹杂远程调用的Flash链接来利用该漏洞,由于Flash文件并未被包含在Office文件而是直接从远程网站中加载,这加大了反病毒检测的难度。建议用户尽快使用Adobe的软件自动更新功能升级系统中的Flash player组件,当然也可以直接到Adobe的下载中心下载最新版本安装:https://get.adobe.com/cn/flashplayer/。

  3.热门网站搭建系统Wordpress被曝出存在任意文件删除漏洞。要利用该漏洞,攻击者必须具有在网站上编辑和删除媒体文件的权限(普通作者权限),攻击者通过提交一些特殊构造的参数就可以删除Wordpress网站文件目录下的任意文件,利用一些组合性的攻击方式(例如利用该漏洞删除Wordpress的wp-config.php配置文件,从而使用重装功能获取网站的管理权限),攻击者可以完全接管该网站。由于该漏洞存在于Wordpress的核心文件(与插件无关)中,它几乎影响所有版本的Wordpress(包括最新版)。该漏洞7个月前就被提交给Wordpress官方,但是官方至今仍未针对该漏洞提供补丁程序,目前漏洞的攻击方式已经在网络上被公布,Wordpress网站的管理员应该及时关注官方的动态,在没有补丁之前可以用一些临时的办法来降低风险,具体的操作请参见:https://blog.ripstech.com/2018/wordpress-file-delete-tocode-execution/。(责编:杨燕婷)(作者单位为中国教育和科研计算机网应急响应组)

推荐图文


随机推荐