开放外部访问需做好安全防护
因疫情的影响,学校开学延期,大部分教学任务从现场授课改成了网络授课。为了保证高校全面开展在线教学的需要,CERNET网络保障进入战时管理,以保障主干网络的通畅运行。除网络保障外,各学校的信息系统服务保障也是当下重要任务。由于大量原本只能在校内访问的业务现在需要允许校外进行访问,带来了诸多的安全风险,在做好服务开放的同时也需要做好相关的安全评估。
近期要提防各类利用当前疫情中出现的热点事件进行传播的恶意程序。
2019 年 12 月 ~2020 年 2 月 CCERT 安全投诉事件统计
近期新增严重漏洞评述:
1.微软1月和2月的例行安全公告共修复了其多款产品存在的557个安全漏洞。受影响的产品包括:Windows 10 1909 & Windows Server v1909(100个)、Windows 10 1903 & Windows Server v1903(101个)、Windows 10 1809 & Windows Server 2019(101个)、Windows 8.1 & Server 2012 R2(75个)、Windows RT 8.1(70个)、Windows Server 2008(16个)、Windows 7 and Windows Server 2008R2(19个)、Windows Server 2012(49个)、Microsoft Edge(HTML)(7个)、Internet Explore(9个)和Microsoft Office-related software(11个)。其中需要特别关注的是IE浏览器远程代码执行漏洞(CVE-2020-0674)和Exchange server远程代码执行漏洞(CVE2020-0688),前者在1月时发现了少量的0day攻击,该漏洞存在于IE浏览器脚本引擎jscrypt32.dll文件中,成功利用该漏洞的攻击者可获得和当前用户相同的用户权限,如果当前用户以管理员权限登录,攻击者便能够控制受影响的系统,进而安装程序、更改或删除数据、创建新账户等,该漏洞已经在2月的更新中得到了修补。而第二个Exchange Server的漏洞则使得普通的邮箱用户可以获取邮件服务器的管理权限。该漏洞的详细利用信息已经被公开披露。建议用户及系统管理员尽快安装上述补丁程序。
2.Oracle2020年一季度的安全更新,修复了其多款产品存在的334个安全漏洞。本次安全更新提供了针对134个高危漏洞的补丁,有270个漏洞可被远程利用。使用相关产品的管理员应根据自身的情况进行补丁升级。
3.Apache Tomcat是目前网络上使用最为广泛的轻量级java中间件服务。近期Apace Tomcat(9.0.31、8.5.51及7.0.100之前的版本)被曝出其服务中的AJP协议存在实现缺陷导致相关参数可被修改,攻击者通过构造特定参数可以读取服务器WebApp下的任意文件,要是服务器端同时存在文件上传功能,攻击者还可以上传jsp程序来控制服务器。目前Apache已经在最新版本的Tomcat中修补了该漏洞,建议使用Tomcat的服务员尽快对相关服务进行升级,暂时无法升级的可以在配置文件中关闭AJP Connector服务或是将该服务的服务端口监听到localhost(默认服务监听在tcp8009端口)。
4.2月底召开的RSA Conference2020安全大会上,有研究人员详细披露了博通及赛普拉斯制造的WiFi芯片中存在的一个通用漏洞可能导致相关设备的无线链路被监听。该漏洞利用了接入设备与无线AP断开关联时出现的"弱点",当用户设备或访问点受到攻击导致网络断开时,设备会把所有未发送的数据帧放入发送缓冲区,然后尝试继续通过无线网络发送。此时设备不是使用先前协商的会话密钥来加密数据,而是使用由全零组成的密钥,这就使得无线数据很容易被解密。博通和赛普拉斯的WiFi芯片被广泛应用于各类无线设备中(包括苹果、三星手机及pad及部分华硕及华为的AP中)。部分厂商目前已经在设备上修补了该漏洞(如苹果公司),其他厂商则需持续关注相关的更新动态。
(本文刊载于《中国教育网络》杂志2020年2-3月合刊,作者为中国教育和科研计算机网应急响应组郑先伟)