CCERT月报:7月网络安全事件大汇总
7月初高考工作顺利结束,各高校也进入一年一度的高招保障工作期间。今年的招生工作由于疫情的原因大部分都转为线上模式,包括原来线下的招生宣传及开放日等活动也只能转在线上举行。
每年高招期间都是高校各类网站及招生信息被仿冒的高发时段,为避免同学及家长上当,学校在做好自身相关信息系统安全防护的同时也要加大对仿冒信息的监控和发现,并及时对用户进行宣传。
7月,网站安全事件数量继续呈下降趋势。近期没有特别需要关注的蠕虫木马病毒。
2020年6~7月CCERT安全投诉事件统计
近期新增严重漏洞评述
1.微软2020年7月的月度例行安全公告,修复了其多款产品存在的124个安全漏洞。攻击者可利用漏洞进行欺骗,绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。
其中需要特别关注的是Windows DNS Server中存在一个远程代码执行漏洞(CVE-2020-1350)。
未经身份验证的攻击者向目标DNS服务器发送恶意构造的请求可能触发该漏洞,从而在目标系统上执行任意代码。
由于该漏洞处于Windows DNS Server默认配置阶段即可触发,无需进行用户交互操作,因此具备用来进行蠕虫传播的可能。
目前相关漏洞的攻击代码已经被公开发布,网络上也已经检测到了相关的攻击,需引起相关服务管理员的重视,尽快进行防范操作。
鉴于上述漏洞风险,建议用户尽快使用Windows系统自带的安全更新功能进行补丁更新。
2.F5 BIG-IP是美国F5公司一款集成流量管理、DNS、Web应用防火墙、负载均衡等功能的应用安全平台,被广泛部署于业务系统的前端。
由于BIG-IP管理界面(TMUI)存在认证绕过缺陷,导致授权访问机制失效,未经身份验证的攻击者利用该漏洞,通过向目标服务器发送恶意构造请求,可绕过授权访问页面,获得目标服务器权限,进而远程执行任意代码。
目前F5厂商已经发布新版本修正相关漏洞,如果使用了F5 BIG-IP产品请尽快进行系统升级。如果暂时无法升级,可使用如下的临时办法来缓解风险:
(1) 使用tmsh命令登录对应系统;
(2) 使用edit /sys httpd all-properties命令编辑 httpd 组件的配置文件;
(3) 编辑文件内容如下:include ' <LocationMatch".*\.\.;.*"> Redirect 404 / </LocationMatch> ';
(4) 按下ESC并依次输入 :wq保存文件;
(5) 执行save /sys config命令刷新配置文件;
(6) 使用restart sys service httpd命令重启 httpd 服务;
(7) 禁止外部 IP对TMUI页面的访问。
3.Oracle公司7月14日发布了今年三季度的安全更新,此次更新修复的漏洞数量达443个。
需要特别关注的是WebLogic Server组件的多个远程代码执行漏洞(CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687),利用这些漏洞,攻击者无需身份验证即可远程控制服务器执行任意代码。
今年二季度刚发布的WebLogic Server 14.1.1.0.0版本也受到相关漏洞的影响。目前Oracle官方已经针对这些漏洞发布了升级程序,需要提醒的是,除了升级WebLogic Server版本外,还需要同时升级JDK(Java基础运行环境)的版本。
安全提示
对于网站信息仿冒,可以从以下几个方面去防范:
1. 从网站自身的安全技术手段来防范,比如使用反向代理绑定域名访问来阻止恶意的域名指向。在网页代码中添加重定向代码来阻值恶意的自动内容镜像等。
2. 善用各类搜索排名来发现仿冒信息,因为非法的仿冒信息也需要通过各类搜索引擎来进行引流。
3. 建立畅通的接受投诉和向外投诉的渠道,通过相关渠道可以快速受理用户及其它安全组织发送来的仿冒投诉,同时也可以迅速将掌握的仿冒信息通过向外投诉的渠道清除。
作者:郑先伟
来源:《中国教育网络》8月刊
投稿、转载或合作,请联系:eduinfo@cernet.com
- 上一篇
新课堂保卫战!“互联网+教育”唤醒更多教师的“网感”
“山溪一路化雨声,浩荡万里海波生。汪洋水阔藏无界,滢渟玉润蕴有成。”前不久,即将步入高三的汪滢收到一首包含了她名字的藏头诗。和她同班的其他53名同学也分别收到了这份特殊礼物,赠予者是他们的班主任——甘肃省秦安县第一中学的徐君祥。“54首含有学生名字的藏头诗,54份满满的心意。”很快,这组放在校方微信上的诗歌就被多次转发,徐君祥也一夜走红,成为小有名气的“网红”教师。事实上,伴随自媒体的兴起,传播速度的加快,有越来越多的老师和徐君祥一样突然走红。有人撞脸“明星”,却“始于颜值,忠于才华”;有人写下爆款文章,
- 下一篇
复旦大学教授:美国神话终结 中国公知很难再忽悠人了
张维为:新的思想解放——美国神话终结! [文/观察者网专栏作者 张维为 复旦大学特聘教授,中国研究院院长,春秋发展战略研究院研究员] 中国过去数十年波澜壮阔的