CCERT月报：将内外网作为统一整体进行安全管理

　　9月教育网整体运行平稳，未发现影响严重的安全事件。网站安全事件数量较8月稍有上升。

　　近期国内的攻防演练活动较多，在攻防演练中，社会工程学攻击也是攻击方常用的手段之一。通过邮件发送带木马程序的附件是社会工程学攻击的主要方式，这类攻击针对性和隐蔽性都较高，通过传统的安全防护手段较难发现，更多的时候防范依靠的是被攻击者本身的安全素养，所以加大对普通用户安全常识的培训是必要的。

2020年8~9月CCERT安全投诉事件统计

　　近期新增严重漏洞评述：

　　1.微软2020年9月的月度例行安全公告，共修复了微软旗下多款产品中存在的129个安全漏洞，包括Windows操作系统、IE/Edge浏览器、ChakraCore、SQL Server、Office 组件及Web Apps、Exchange服务器、OneDrive、.Net 框架、Azure DevOps、Visual Studio、Windows Defender等多个Windows平台下应用软件和组件。其中Exchange Server 远程代码执行漏洞（CVE-2020-16875）源于 cmdlet 参数的验证不当，攻击者可利用该漏洞在系统用户上下文中运行任意代码。建议用户尽快使用Windows系统自带的更新功能进行安全更新。除9月公告涉及的漏洞外，另一个8月更新的“NetLogon权限提升漏洞（CVE-2020-1472）”需要引起关注，虽然这只是一个权限提升漏洞，但因为漏洞涉及域控制器，攻击者可以在未经身份授权的情况下获取域控制管理员的权限，进而控制整个域内的其他服务器。现有的安全监测信息显示，该漏洞有被用来在内部网络进行横向扩展攻击的趋势。建议内网有域控制的管理员要额外关注。

　　2.Apache Shiro是一个强大且易用的Java安全框架，通过调用Shiro的API接口可轻松实现身份验证、授权、密码和会话管理。Apache Shiro 1.5.3之前的版本，由于Shiro拦截器与requestURI的匹配流程和Web框架的拦截器的匹配流程有差异，攻击者可以构造一个特殊的http请求来绕过Shiro的认证，从而达到未授权访问的目的。目前官方已在Apache Shiro最新版本中修复了此漏洞，建议受漏洞影响的用户尽快下载最新版本。

　　3.Apache Syncope是一套用于企业环境中的开源数字身份管理系统。该系统支持身份管理、角色配置等。Apache Syncope 2.1.7之前的2.1.x中存在安全漏洞。攻击者可利用该漏洞执行恶意操作，包括但不限于文件读取、文件写入和代码执行。目前Apache基金会已经在最新版本的Syncope中修复了上述漏洞，建议受漏洞影响的用户尽快进行版本升级。

　　4.WordPress是当下网络上使用最为广泛的PHP开源网站搭建平台之一。WP File Manager是该平台下的一个文件管理插件，安装该插件后网站的管理员可以直接通过Web页面管理网站后台文件，包括编辑、删除、上传、下载、复制和粘贴文件及文件夹。较早版本WP File Manager插件中存在任意文件上传漏洞，远程攻击者可利用该漏洞提交特殊的请求，上传任意PHP文件，并执行任意代码。目前WordPress官方已经针对该漏洞发布了补丁程序，建议受影响的用户尽快更新。（责编：项阳）

　　安全提示

　　从近期各种攻防演练结果数据看，攻击者在突破边界防护时相对较为困难，但是一旦突破边界防护后，进入到内部网络后进行横向扩展攻击就变得比较容易了。因为内部大多数系统并不直接暴露在外部网络中，安全策略的实施没有那么严格，存在补丁更新不及时等问题，从而导致一个漏洞通吃很多个系统的情况存在。安全策略的实施更多属于管理而非技术上的问题，把内外网作为一个统一的整体来进行安全管理要比单独在边界上进行防护靠谱很多。

　　（本文刊载于《中国教育网络》杂志2020年9月刊，作者：郑先伟，单位为中国教育和科研计算机网应急响应组；责编：项阳）