CCERT月报：数据防护是未来网络安全工作重点

　　2020年12月教育网整体运行平稳，未发现影响严重的安全事件。网站安全事件数量与11月基本持平。

　　近期需要关注的病毒还是各种勒索病毒，在无法对加密货币的交易进行有效监管之前，这类勒索病毒仍然会持续存在很长时间，而且各类安全攻击最终都可能依靠勒索这种手段来进行变现，所以必须做好安全防护及数据备份。

2020年11-12月CCERT安全投诉事件统计

　　近期新增严重漏洞评述：

　　1.微软2020年12月的月度例行安全公告共修复了微软旗下多款产品中存在的58个安全漏洞，涉及Windows操作系统、Office办公软件、Edge浏览器、Exchange Server、Azure Sphere、ChakraCore和Visual Studio。这其中有9个属于高危漏洞，需要关注的有Hyper-V RCE漏洞（CVE-2020-17095）、Exchange Server远程代码执行漏洞（CVE-2020-17142、CVE-2020-17132、CVE-2020-17117），Excel内存破坏漏洞（CVE-2020-17129、CVE-2020-17127、CVE-2020-17122）和PowerPoint内存破坏漏洞（CVE-2020-17124），这些漏洞可能导致远程攻击者在系统上执行任意命令。用户应该尽快使用系统自带的更新功能进行安全更新。

　　2.12月Google的安全团队公布了一个Windows系统后台打印程序接口中的0day权限提升漏洞，这个漏洞存在于GDI打印/打印后台处理程序API（"splwow64.exe"）中，允许攻击者进行权限提升操作。该漏洞原本于2020年6月的安全更新中得到了修补（CVE-2020-0986），但是经研究发现漏洞修补的并不完全，仍然有被利用的可能。目前该漏洞已经被重新分配了编号（CVE-2020-17008），微软将于2021年1月的更新中再次修补该漏洞。

　　3.Apache Struts2是互联网上使用较为广泛的Java企业级Web应用框架，12月Apache发布安全公告显示Struts2 2.0.0-2.5.25版本中存在远程代码执行漏洞（CVE-2020-17530），由于Struts2会对一些标签属性的属性值进行二次解析，当这些标签属性使用了 `%{x}` 且 `x` 的值且用户可控时，攻击者可通过构造特定参数，获得目标服务器的权限，实现远程代码执行攻击。目前厂商已经在Struts2 2.5.26版本中修复了该漏洞，建议网站管理员尽快进行版本更新。

　　4.Treck TCP/IP库是Treck公司开发的一个轻量级TCP/IP实现库，被广泛应用于各类物联网设备中，近期Treck TCP/IP库被爆出存在四个严重的安全漏洞，可能导致攻击者远程控制受漏洞影响的设备。这四个漏洞包括Treck HTTP服务器组件中基于堆的缓冲区溢出漏洞(CVE-2020-25066)、IPv6组件的越界写入(CVE-2020-27337)，IPv6组件越界读取漏洞（CVE-2020-27338）和IPv6组建输入验证不正确漏洞（CVE-2020-27336）。目前厂商已经在Treck TCP/IP库6.0.1.68版本中修复了上述漏洞，建议受影响的用户尽快进行升级。

　　5.VMware公司在12月初发布了补丁程序用于修补11月出现的VMware 0day漏洞（CVE-2020-4006），该漏洞允许攻击者通过8443端口的管理配置程序进行网络访问，如果攻击者拥有配置程序的管理密码，就可以访问虚拟化底下所有的操作系统。由于攻击者必须拥有配置密码才能越权访问底层的操作系统，这增加了漏洞被利用的难度。厂商因此将该漏洞的等级从严重级别降低到重要级别。虽然漏洞有前置的利用条件，但还是建议相关管理员尽快进行VMware的版本更新。

　　安全提示

　　随着2020年的落幕，回看这一年的安全事件，勒索和数据窃取是两大主线。实际上，不管是勒索病毒还是数据窃取，标的物都是数据，最终的目标都是加密货币，两者的差别只是获利的手段不同，前者是加密数据后进行勒索获利，后者是窃取数据后买卖获利。所以我们可以很清晰地感受到数据本身才是接下来网络安全工作的重点。在无法对攻击的最终目标进行监管之前，我们只能够依靠加强对标的物的防护来阻断攻击者获利的途径。

　　作者：郑先伟（中国教育和科研计算机网应急响应组成员）
责编：项阳