CCERT月报：7月网络安全事件大汇总

　　7月初高考工作顺利结束，各高校也进入一年一度的高招保障工作期间。今年的招生工作由于疫情的原因大部分都转为线上模式，包括原来线下的招生宣传及开放日等活动也只能转在线上举行。

　　每年高招期间都是高校各类网站及招生信息被仿冒的高发时段，为避免同学及家长上当，学校在做好自身相关信息系统安全防护的同时也要加大对仿冒信息的监控和发现，并及时对用户进行宣传。

　　7月，网站安全事件数量继续呈下降趋势。近期没有特别需要关注的蠕虫木马病毒。

2020年6~7月CCERT安全投诉事件统计

　　近期新增严重漏洞评述

　　1.微软2020年7月的月度例行安全公告，修复了其多款产品存在的124个安全漏洞。攻击者可利用漏洞进行欺骗，绕过安全功能限制，获取敏感信息，提升权限，执行远程代码，或发起拒绝服务攻击等。

　　其中需要特别关注的是Windows DNS Server中存在一个远程代码执行漏洞（CVE-2020-1350）。

　　未经身份验证的攻击者向目标DNS服务器发送恶意构造的请求可能触发该漏洞，从而在目标系统上执行任意代码。

　　由于该漏洞处于Windows DNS Server默认配置阶段即可触发，无需进行用户交互操作，因此具备用来进行蠕虫传播的可能。

　　目前相关漏洞的攻击代码已经被公开发布，网络上也已经检测到了相关的攻击，需引起相关服务管理员的重视，尽快进行防范操作。

　　鉴于上述漏洞风险，建议用户尽快使用Windows系统自带的安全更新功能进行补丁更新。

　　2.F5 BIG-IP是美国F5公司一款集成流量管理、DNS、Web应用防火墙、负载均衡等功能的应用安全平台，被广泛部署于业务系统的前端。

　　由于BIG-IP管理界面（TMUI）存在认证绕过缺陷，导致授权访问机制失效，未经身份验证的攻击者利用该漏洞，通过向目标服务器发送恶意构造请求，可绕过授权访问页面，获得目标服务器权限，进而远程执行任意代码。

　　目前F5厂商已经发布新版本修正相关漏洞，如果使用了F5 BIG-IP产品请尽快进行系统升级。如果暂时无法升级，可使用如下的临时办法来缓解风险：

　　(1) 使用tmsh命令登录对应系统；

　　(2) 使用edit /sys httpd all-properties命令编辑 httpd 组件的配置文件；

　　(3) 编辑文件内容如下：include ' <LocationMatch".*\.\.;.*"> Redirect 404 / </LocationMatch> '；

　　(4) 按下ESC并依次输入 :wq保存文件；

　　(5) 执行save /sys config命令刷新配置文件；

　　(6) 使用restart sys service httpd命令重启 httpd 服务；

　　(7) 禁止外部 IP对TMUI页面的访问。

　　3.Oracle公司7月14日发布了今年三季度的安全更新，此次更新修复的漏洞数量达443个。

　　需要特别关注的是WebLogic Server组件的多个远程代码执行漏洞（CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687），利用这些漏洞，攻击者无需身份验证即可远程控制服务器执行任意代码。

　　今年二季度刚发布的WebLogic Server 14.1.1.0.0版本也受到相关漏洞的影响。目前Oracle官方已经针对这些漏洞发布了升级程序，需要提醒的是，除了升级WebLogic Server版本外，还需要同时升级JDK（Java基础运行环境）的版本。

　　安全提示

　　对于网站信息仿冒，可以从以下几个方面去防范：

　　1. 从网站自身的安全技术手段来防范，比如使用反向代理绑定域名访问来阻止恶意的域名指向。在网页代码中添加重定向代码来阻值恶意的自动内容镜像等。

　　2. 善用各类搜索排名来发现仿冒信息，因为非法的仿冒信息也需要通过各类搜索引擎来进行引流。

　　3. 建立畅通的接受投诉和向外投诉的渠道，通过相关渠道可以快速受理用户及其它安全组织发送来的仿冒投诉，同时也可以迅速将掌握的仿冒信息通过向外投诉的渠道清除。

　　作者：郑先伟

　　来源：《中国教育网络》8月刊

　　投稿、转载或合作，请联系：eduinfo@cernet.com