|
近期,教育网整体运行平稳,未出现影响严重的网络安全事件。投诉事件数量整体保持平稳。 日前,因为俄乌冲突导致围绕战争的网络攻击行为有加剧的趋势,这类攻击通常是高等级有限制范围的攻击,但也存在控制不严导致范围扩散的可能性。建议用户加强安全防范,尤其是对数据类资产加强防护,避免被类似加密勒索类的攻击波及。 2021年12月~2022年2月CCERT安全投诉事件统计 近期新增严重漏洞评述 01 微软2022年1月和2月的例行安全更新共涉及漏洞数157个,其中超危漏洞7个,高危漏洞104个,中危漏洞45个,低危漏洞1个。 受影响的产品包括:Windows 11(109个)、Windows Server 2022(81个)、Windows 10 21H1 & 21H2(100个)、Windows 10 20H2 & Windows Server v20H2(102个)、Windows 10 1909(77个)、Windows 8.1 & Server 2012 R2(65个)、Windows Server 2012(49个)、Windows Server 2012(13个)、Windows RT 8.1(61个)和Microsoft Office-related software(12个)。 成功利用上述漏洞的攻击者可以在目标系统上执行任意代码,获取用户数据,提升权限等。建议用户尽快使用系统自带的更新功能进行更新。 02 Polkit是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯,Polkit被默认安装在各种主要的Linux发行版本上。近期有安全组织披露Polkit的pkexec组件中存在一个本地权限提升漏洞(CVE-2021-4034)。 由于pkexec组件无法正确处理调用参数,导致其可能会将环境变量当作命令执行,攻击者可以通过修改环境变量诱导pkexec执行任意代码,成功利用可导致非特权用户获得管理员权限。该漏洞在被披露前已经在系统中存在了12年之久。 目前各大Linux版本的官方均已针对该漏洞发布了补丁程序,建议相关用户尽快进行升级。 03 向日葵软件是一款免费的远程控制软件,支持手机和PC远程连接电脑桌面对电脑进行控制,该软件支持穿透内网限制,与外部进行连接。向日葵个人版for Windows 11.0.0.33版本存在一个通用型的安全漏洞,允许远程攻击者无需任何身份认证就可直接远程控制安装该软件的主机。 目前厂商已经针对该漏洞发布了安全补丁,使用相关软件的用户可参考官网的信息进行更新,漏洞信息及版本更新办法可参见: https://www.oray.com/announcements/affiche/?aid=774 04 Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断跨站点脚本、SQL注入、Cookie中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。 近期飞塔公司升级了FortiWeb产品中存在的一个远程安全漏洞(CVE-2021-43073),该漏洞源于FortiWeb对系统命令中的特殊元素处理不正确导致,攻击者可通过发送恶意HTTP请求,对目标设备远程执行代码。建议使用了该产品的高校尽快联系厂商进行升级。 近期国家相关部门加大了对境内主机挖矿行为的检测力度,高校内被检测出的挖矿主机数量不少。高校主机挖矿行为无外乎有以下几种可能: 从性质上,可分为被木马控制进行的被动挖矿行为和用户自主进行的主动挖矿行为;从挖矿目的分析,可分为研究型和获利型;从功能上,可分为矿池中转服务器和挖矿节点。 我们需要对这些行为进行区分才可以采取进一步的行动。例如,通过管理制度禁止校园网内的牟利型主动挖矿行为,通过宣传和技术手段降低校园网内主机被木马感染控制的风险,通过行为检测杜绝校园网内出现矿池或者中转服务器,通过域名控制手段限制校园网主机对矿池和交易平台的访问等。 作者:郑先伟(中国教育和科研计算机网应急响应组) |
|
|
