6月与网站安全有关的事件数量呈上升趋势,各类反射型拒绝服务攻击也有所上升。
近期没有新增影响特别广泛的蠕虫病毒。
近期新增严重漏洞评述:
1.微软6月的安全公告共修补了微软产品线中的122个安全漏洞,包括Windows10v1803andWindowsServer,v1803(24个)、Windows10v1709andWindowsServer,v1709(25个)、Windows10v1703(24个)、Windows8.1andWindowsServer2012R2(8个)、WindowsServer2012(8个)、Windows7andWindowsServer2008R2(8个)、WindowsServer2008(6个)、IE浏览器(4个)、微软Edge浏览器(8个)和微软Office软件(7个)。利用上述漏洞,攻击者可以在被攻击者的系统上进行权限提升、绕过安全限制、获取敏感信息、远程执行代码或拒绝服务攻击等。其中需要特别关注的两个漏洞是Excel远程代码执行漏洞(CVE2018-8248)和WindowsHTTP协议堆栈远程代码执行漏洞(CVE-2018-8231),前者攻击者可以通过引诱用户打开特制的Excel格式的文档来利用,而后者则只需向Windows的http.sys发送特殊构造的数据包就可以被利用。鉴于漏洞的风险性,建议用户尽快使用系统的自动更新功能进行补丁更新。
2.Adobe公司发布的安全公告(apsb1819)中升级了最新的Flashplayer的版本,用于修补之前版本中存在的4个安全漏洞。其中包括一个已经在网络上被用来进行APT攻击的Flash软件0day漏洞(CVE2018-5002),攻击者利用在Office文档中夹杂远程调用的Flash链接来利用该漏洞,由于Flash文件并未被包含在Office文件而是直接从远程网站中加载,这加大了反病毒检测的难度。建议用户尽快使用Adobe的软件自动更新功能升级系统中的Flashplayer组件,当然也可以直接到Adobe的下载中心下载最新版本安装:https://get.adobe/cn/flashplayer/。
3.热门网站搭建系统Wordpress被曝出存在任意文件删除漏洞。要利用该漏洞,攻击者必须具有在网站上编辑和删除媒体文件的权限(普通作者权限),攻击者通过提交一些特殊构造的参数就可以删除Wordpress网站文件目录下的任意文件,利用一些组合性的攻击方式(例如利用该漏洞删除Wordpress的wp-config.php配置文件,从而使用重装功能获取网站的管理权限),攻击者可以完全接管该网站。由于该漏洞存在于Wordpress的核心文件(与插件无关)中,它几乎影响所有版本的Wordpress(包括最新版)。该漏洞7个月前就被提交给Wordpress官方,但是官方至今仍未针对该漏洞提供补丁程序,目前漏洞的攻击方式已经在网络上被公布,Wordpress网站的管理员应该及时关注官方的动态,在没有补丁之前可以用一些临时的办法来降低风险,具体的操作请参见:https://blog.ripstech/2018/wordpress-file-delete-tocode-execution/。(责编:杨燕婷)
安全提示
高招工作已经在逐步开展,建议各高校再次加强对学校的网站进行安全检查和监测,包括学校主页、热门院系的二级网站、招办主页及各类与招生有关的业务系统。对于一些重要的业务系统(如招生录取查询系统)建议聘请专业的渗透测试团队进行安全检测。
(作者单位为中国教育和科研计算机网应急响应组)