7月教育网运行正常,高招工作平稳进行,未发现影响严重的安全事件。
近期需要关注的仍然是各类勒索病毒,最近几月我们接到的勒索病毒投诉案例中,服务器数据被病毒加密的数量呈上升趋势。这些被加密的服务器多数属于内网的数据库服务器,本身并不直接与互联网联通,但依然被病毒感染。查看其感染的途径无非是两种:一种是内网中有其他与互联网连接的服务器感染病毒后通过内部网络横向传播的;另一种是通过媒介(例如U盘或是光盘等)摆渡进行传播的。这些数据服务器一旦被勒索病毒感染,往往会造成巨大的损失,很多时候管理员不得不屈服向攻击者缴纳赎金,这就导致勒索病毒的传播者更愿意感染这类数据服务器,攻击者甚至不惜动用类似APT类型的攻击来达到病毒传播的目的。
1. 微软7月的例行安全公告修复了其多款产品存在的240个安全漏洞。Microsoft Windows系统 、Windows DHCP 服务器、Microsoft Excel、.NET Framework、Microsoft SQL Server、DirectWrite等Windows平台下应用软件和组件。里面需要关注的包括DHCP server漏洞、Windows 远程桌面服务漏洞等,利用上述这些漏洞攻击者可以远程执行任意代码、权限提升,获取敏感信息或是进行拒绝服务攻击。建议用户尽快使用Windows系统自带的更新功能进行补丁更新。
2. Oracle 7月发布了今年例行的三季度安全更新,修复了其多款产品存在的319个安全漏洞。受影响的产品包括:Oracle Database Server数据库(8个)、Oracle Global Lifecycle Management(1个)、Oracle Berkeley DB(5个)、Oracle Communications Applications(24个)、Oracle Construction and Engineering Suite(8个)(3个)和Oracle Virtualization(14个)。本次安全更新提供了针对155个高危漏洞的补丁,有286个漏洞可被远程利用。上月提到的4月未完全修补的WebLogic Server中的安全漏洞此次进行了再次修补。建议用户尽快进行补丁更新。
3. Redis是一款高性能的key-value数据库,主要用于云端的高速数据缓存,是目前云上使用较为广泛的数据库。2019年7月7日,LC/BC的成员Pavel Toporkov在WCTF2019 Final分享会上介绍了Redis新版本的远程命令执行漏洞的利用方式。由于在Reids 4.x及以上版本中新增了模块功能允许通过外部拓展来加载模块。由于该模块功能未能有效地验证用户输入,导致攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。目前官方还未针对该漏洞发布补丁程序,建议相关的管理员随时关注官方的更新动态,在没有补丁之前可以使用以下临时办法来缓解漏洞的风险:
a) 禁止外部访问Redis 服务端口;
b) 禁止使用root权限启动Redis服务;
c) 配置安全组,限制可连接Redis服务器的IP。
4. 正方教务管理系统是国内正方公司开发的一套大学教务管理系统,根据正方公司官网显示的数据,目前有超过一千所高校使用了相关的管理系统。本周CNVD漏洞库公布了正方教务系统中存在的两个安全漏洞,其中一个为任意文件读取漏洞,另一个为SQL注入漏洞,利用上述两个漏洞攻击者可以读取教务系统服务器的任意文件或是数据库中的敏感信息。目前相关厂商还未针对漏洞发布补丁程序,建议学校的管理员可加强对正反教务管理系统的监控,并及时与相关厂商联系获取升级动态:http://www.zfsoft.com/(责编:杨燕婷)
安全提示
为防范内网服务器感染勒索病毒,建议采取如下措施:
1. 及时更新系统及服务程序的补丁;
2. 关闭不必要的服务及端口;
3. 为系统及服务账号设置强壮的密码,并使用策略限制账户的错误尝试的次数;
4. 使用Vlan为不同的服务划分不同的网段,服务器本身利用自带的防火墙启用网络访问限制,避免病毒在内部网络传播;
5. 严格规范日常服务器现场操作的流程,避免通过移动存储介质将病毒带入服务器。
(作者单位为中国教育和科研计算机网应急响应组)