文/郑先伟
两会期间高校专有系统被攻击
文/郑先伟
CCERT月报
3月教育网整体运行平稳,寒假及两会期间教育网未发现严重的安全事件。
3月投诉事件中值得我们关注的是几起发生在两会期间的网页篡改攻击事件,这些被篡改的网站都是相关学校的专有业务系统(如教务系统、迎新系统等),由于这些业务系统中存在安全漏洞导致被人入侵并篡改了网页内容。这些有问题的业务系统都是相应厂商开发的早期版本,相关的漏洞早就被人公布在网络上,厂商也在随后的版本中修补了这些漏洞。但是不知出于什么原因学校并没有及时地更新业务系统的版本,厂商也没有尽责地通知用户去修补,导致漏洞长期存在并被人利用。
近期没有新增影响严重的木马病毒程序,没有需要特别关注的病毒木马。
微软2015年3月的例行安全公告数量较多,共14个(MS15-018到MS15-031),其中5个为严重等级,9个为重要等级,这些公告共修补了包括Windows系统、IE浏览器、Office软件、Exchange服务及Windows Server软件中的45个漏洞,其中一个2014年开始被在网络上利用的IE浏览器漏洞在本次得到了修补。建议用户尽快使用自动更新功能修复相关漏洞。漏洞的详细信息请参见:https://technet.microsoft.com/zh-CN/library/security/ ms15-Mar。
2015年2月~3月安全投诉事件统计
Adobe公司在3月也发布了针对Flash player软件的例行安全公告(apsb15-05),此次公告共修补了Flash player软件中存在的8处漏洞,这些漏洞可能导致远程任意代码执行或是拒绝服务攻击。漏洞详细信息请参见:https://helpx.adobe.com/ security/products/flash-player/apsb15-05.html。
除上述例行公告外,另一个值得关注的漏洞是:
1. Samba服务远程代码执行漏洞
Samba服务是Linux和Unix系统上实现SMB服务的程序,主要用来在相关系统上通过SMB/CIFS协议在TCP/IP协议上共享文件及打印服务等功能。
Samba 3.5.0到4.2.0rc4版本的Smbd文件服务程序存在一个远程代码执行漏洞。攻击者可以匿名与Samba服务器建立空会话连接,然后调用ServerPasswordSet RPC接口,导致一个未初始化的栈指针被传给TALLOC_FREE()函数,通过发送特别构造的数据,可以控制该指针的内容,一个恶意的攻击者可以发送一个特定构造的畸型netlogon数据包给smbd守护进程,进而以smbd进程的权限(通常是root权限)执行任意命令。
厂商已经在新版本的Samba中修补了该漏洞,如果您的系统需要开放Samba服务请尽快升级到最新版本。详情参见http:// www.samba.org/samba/security/。
安全提示
鉴于近期学校专有业务系统被攻击的风险增大,我们建议相关的管理员尽快检查自己管辖的业务系统是否存在安全漏洞(多数早期的业务系统都或多或少存在安全漏洞),发现漏洞要及时修补。如果使用的是商业软件,应定期联系厂商了解版本更新情况。对于那些无需外部访问的系统,应使用网络隔离防护手段来对系统进行保护。
(作者单位为中国教育和科研计算机网应急响应组)