本周网络安全基本态势(12月21日-12月27日)
【字体:  
 
  本周互联网网络安全整体评价为良。依据CNCERT监测结果,境内被木马控制的主机IP地址数目为3115个,与前一周相比下降27%;境内被僵尸网络控制的主机IP地址数目为13773个,与前一周相比增长4%;境内被篡改政府网站数量为43个,与前一周相比下降53%,其占境内被篡改网站总数的比例也下降为6.7%。
  
  恶意代码传播、网页挂马、软件高危漏洞等事件仍是互联网用户遭遇的主要威胁。本周,在部通信保障局的指导下,CNCERT组织协调运营商、域名机构开展了一次木马和僵尸网络专项治理行动,共清理整治近200个木马和僵尸网络控制主机以及恶意域名,有效抑制了黑客恶意代码传播活动,降低了发生大规模网络攻击的风险。
  
  一、本周活跃恶意域名

8884.ss.la

xiey.3322.org

a.ppmmoo.cn

a.ll8cc.cn

a.mmzfc.cn

www.sesesemml.cn

a.0772sw.cn

mm.aa88567.cn

wgwggg.cn

z360.net

65gd.cn

sdf454gdf.3322.org

  
  注:根据华为、奇虎、知道创宇、启明星辰等企业报送的网页挂马信息整理。
  
  本周较为活跃的恶意域名如上所示,其中,a.ppmmoo.cn、a.ll8cc.cn、mm.aa88567.cn、wgwggg.cn、z360.net为近几周来CNCERT重点监测的活跃恶意域名,侵害了较多的国内政府、企业网站。
  
  二、本周被挂马的重要网站
  
  本周CNCERT重点追踪黑客利用活跃恶意域名进行的挂马活动。其中,8884.ss.la、sesesemml.cn、a.mmzfc.cn、sdf454gdf.3322.org、a.ppmmoo.cn、a.0772sw.cn、xiey.3322.org等恶意域名同时出现在下表所示的多个政府被挂马网页中。CNCERT分析认为:上述恶意域名(服务器)被某一黑客或挂马集团控制,它们正进行着非常猖獗的挂马活动。
  

市局级以上(含市局)政府网站

全国地质资料目录网络中心、中国农产品质量安全网、重庆市物价局、甘肃省安全生产监督管理局、浙江省农业信息网、陕西省卫生厅、陕西省产学研信息服务网、陕西省延安市公安局、福建省闽北农村科技信息网、江苏省徐州市人民政府、江苏省徐州市建设局、江苏省扬州市公安局、河南省开封市工商管理局、广东省珠海市质量技术监督局、广东省珠海市农业局、安徽农网-芜湖信息港、四川省成都市国有资产监督管理委员会、四川省绵阳市国土资源局、内蒙古自治区呼和浩特市人民政府、深圳高新技术产品出口基地网、上海市政府发展研究中心、上海食品药品监督管理局在线知识平台、河北省秦皇岛市商务局、黑龙江省大庆市发展与改革委员会、民建哈尔滨市委

行业协会网站

四川省中小企业网、中国中小企业宜宾网、中国中小企业南充网、中国中小企业自贡网、中国中小企业遂宁网、中国中小企业广元网、 中国中小企业德阳网、中国中小企业广安网

其他政府网站

西藏察隅在线、哈尔滨市道里区爱建街道办事处、陕西商务培训网、杭州市高新开发区(滨江)国防教育网、深圳市宝安政府工程建设网、江苏省淮安市淮阴区行政服务中心、浙江省玉环县气象局、甘肃省甘谷县农业信息网、甘肃省秦安县农业信息网、内蒙古自治区四子王旗公众信息网、江苏省丹阳市行政审批中心、太行农网、浙江省杭州市滨江区人民检察院、湖北省长阳县科技局

  
  三、本周活跃恶意代码
  

名称

特点

Trojan.DL.Giframe.a

这是一个下载者病毒,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。

Hack.Exploit.CVE-2009-1539.a

该病毒利用微软CVE-2009-1539MS09-028)漏洞,使用精心构建的QuickTime文件(畸形并带有shellcode代码)进行破坏。当用户使用Windows Media Player 9打开恶意的QuickTime文件或浏览含有恶意QuickTime文件的网页(Windows Media Player AX控件)时,都可能被攻击。

Worm.Win32.MS08-067.c

这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播。

Worm.Win32.Autorun.eyr

    该病毒是目前传播比较广泛的U盘蠕虫程序,通过伪装文件夹图标欺骗用户点击运行的方式进行传播。

  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
    
  注:根据瑞星、金山等企业报送的恶意代码信息整理。

  可以看到,当前较为流行的恶意代码的主要特征有:1)利用操作系统及应用软件漏洞广泛传播,如:MS08-067、MS09-028;2)加强通过介质和局域网内的传播,往往通过U盘等移动介质感染计算机。CNCERT提醒互联网用户一方面要加强系统漏洞修补加固,另一方面要加装安全防护软件。

  四、本周重要漏洞

  本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。

  (一)PHP Football 存在跨站攻击漏洞        

  安氏领信本周报送一个关于PHP Footaball 跨站攻击漏洞。PHP Football 是一款基于PHP的WEB应用程序。PHPFootball不正确处理用户提交的输入,远程攻击者可以利用漏洞针对合法用户的访问进行跨站攻击,可能进行敏感信息窃取或破坏系统等攻击。

  (二)JForum XSS 漏洞

  启明星辰本周报送一个关于JForum XSS安全漏洞。JForum是一个功能强大的开源JAVA 论坛程序。在JForum存在一个XSS漏洞,使得攻击者可以利用它来窃取管理员或者用户的Cookie实现自身的登录。目前JForum还尚未提供相应解决方案。建议用户通过使用开源项目修改代码来实现安全。

    (三)PHP 'htmlspecialcharacters()'畸形多字节字符跨站脚本漏洞

  PHP是一款流行的网络编程语言。htmlspecialchars()函数未严格检查多字节序列,远程攻击者可以利用漏洞进行跨站脚本攻击。目前PHP 5.2.12已修复该漏洞,建议用户下载该版本使用。

  (四)Ghostscript "errprintf()"缓冲区溢出漏洞

  Ghostscript是一款用于显示PostScript文件或向非PostScript打印机打印文件的程序。Ghostscript base/gsmisc.c包含的"errprintf()"函数存在边界错误,构建特殊的PDF文件,通过CUPS打印,可触发基于栈的缓冲区溢出。成功利用漏洞可以以应用程序权限执行任意指令。目前厂商尚未提供解决方案,建议广大用户临时关闭Ghostscript显示PostScript文件或向非PostScript打印机打印文件的功能或采取其他临时措施应对。

  (五)Wireshark的多个缓冲区溢出和拒绝服务漏洞

  Wireshark是一款开放源代码的网络协议分析工具。Wireshark存在如:Daintree SNA文件解析可溢出缓冲区导致应用程序崩溃、SMB和SMB2解析器存在安全漏洞可导致应用程序崩溃、IPMI解析器存在安全漏洞可导致应用程序崩溃等多个安全漏洞。

  (六)PHP-Calendar configfile变量远程文件包含漏洞

  php-Calendar是一款基于WEB的日历事务系统。php-Calendar多个ijaoben存在目录遍历攻击,提交完整路径名作为update08.php或update10.php脚本configfile参数的数据,可导致以WEB权限查看系统文件内容。用户可以更改update08.php(38行)和update10.php(35行)中代码过滤$_GET['configfile']变量来暂时修正该漏洞。

  (七)Piwik ofc_upload_image.php远程PHP代码执行漏洞

          Piwik是一款基于Php+MySQL技术构建的开源网页访问统计系统。Piwik ofc_upload_image.php脚本不正确过滤传递给"name"和"HTTP_RAW_POST_DATA"参数,在使用这些参数建立文件前没有检查文件扩展名和文件内容,攻击者借此漏洞可建立以PHP扩展结尾的文件并以WEB权限执行任意PHP代码。

  (八)TYPO3集体安全公告TYPO3 - SA系列- 2009 - 020:第三方扩展中的多个漏洞

  Typo3是开源内容管理系统(CMS)和内容管理框架(CMF)。Typo3的实现上存在多个远程安全漏洞,可能导致用户控制Typo3或运行其上的操作系统。包括:创建弱的加密密钥、认证绕过 不安全的会话管理、跨站脚本执行、远程命令执行。版本低于4.0.10、4.1.8、4.2.4的TYPO3软件受漏洞影响。

  (九)Piwik unserialize()函数远程PHP代码执行漏洞

  Piwik是一款利用Php+MySQL技术构建的开源网页访问统计系统。Piwik的core/Cookie.php文件中的loadContentFromCookie函数没有正确地过滤从Cookie所获得的字符串便调用了unserialize函数,这可能允许远程攻击者通过调用Zend Framework和Smarty中的多个函数导致执行任意PHP代码或上传任意文件。

  (十)Microsoft IIS畸形本地文件名安全绕过漏洞

  Microsoft IIS是一款微软开发的HTTP服务程序。Microsoft IIS可以ASP或者任何其他可执行扩展执行任何扩展名文件,如"malicioius.asp;.jpg"就以ASP文件方式在服务器上执行,需要文件上传程序通过检查文件名的最后一段作为扩展名来保护系统。利用这个漏洞,攻击者可以绕过保护把危险的可执行文件上传到服务器上。目前供应商没有详细的解决方案,临时解决方案是用户可移除上传文件目录中的可执行权限来保护系统。

  小结:本周CNVD所整理的漏洞信息中,漏洞基本与开源项目相关,如网络编程语言、打印程序、网络协议分析工具、网页访问统计系统、内容管理系统(CMS)和内容管理框架(CMF)等,其API出现重大安全漏洞,有可能导致大规模执行跨站脚本或SQL注入攻击。建议广大用户在使用开源项目的同时,注意相关安全隐患。其中,第2条和第4条漏洞厂商尚未提供升级程序或补丁,针对第2条漏洞建议用户修改源代码实现安全,针对第4条漏洞建议用户临时关闭Ghostscript显示PostScript文件或向非PostScript打印机打印文件的功能或采取其他临时措施应对。其它漏洞信息已有相应的安全补丁,用户可自行到相应网站上下载更新补丁,避免受漏洞的影响。

  注:CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。
【打印】 【关闭】
主办单位: 中华人民共和国工业和信息化部
京ICP备 04000001号 地址: 中国北京西长安街13号 邮编: 100804