8月教育網運行正常,未發現影響嚴重的安全事件。近期教育網範圍內相應的安全投訴事件數量繼續呈下降趨勢,這主要得益於各學校對安全工作的高度重視。
近期沒有新增特別需要關注的病毒和木馬程序。針對5月爆出的Pulse Secure VPN的任意文件讀取漏洞(CVE-2019-11539)的掃描攻擊數量有增加趨勢,攻擊者可以利用該漏洞訪問系統的私鑰和用戶口令,這些非法獲取的信息可以進一步導致任意代碼注入攻擊。Pulse Secure VPN在高校的用戶數量較多,建議使用了該VPN的學校管理員儘快檢查是否已經更新到了最新版本,避免漏洞被非法利用。
近期新增嚴重漏洞評述:
1.微軟8月的例行安全公告修復了其多款產品存在的396個安全漏洞,漏洞涉及Windows系統 、Windows DHCP服務、Office軟體、Windows圖形組件、Jet 資料庫等Windows平臺下的應用軟體和組件。公告中需要特別關注的是Windows遠程桌面服務中存在的四個高危漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226)。未經身份驗證的攻擊者利用上述漏洞,向目標Windows主機發送惡意構造請求,可以在目標系統上執行任意代碼。由於這些漏洞存在於RDP協議的預身份驗證階段,其利用過程無需進行用戶交互操作,可被利用來進行大規模的蠕蟲攻擊。目前漏洞的細節還未公布,相應的利用代碼也還未出現,不過隨著補丁的發布(通過對補丁的反編譯可知道漏洞細節),漏洞的攻擊代碼很快就會出現。類似的遠程桌面漏洞(CVE-2019-0708)在5月的補丁中也出現過,目前該漏洞相關的攻擊代碼已經在網絡上出現了多個版本。基於上述漏洞的風險,建議用戶儘快使用Windows系統的自動更新功能進行安全更新。
2.Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用於FortiGate網絡安全平臺上的安全作業系統。最近Fortinet公司發布了FortiOS的版本更新,用於修補之前版本中存在的多個安全漏洞,包括:跨站腳本漏洞(CVE-2018-13380),路徑遍歷漏洞(CVE-2018-13379)等,利用這些漏洞攻擊者可在未經授權的情況下獲取相關設備的帳號信息、進行修改帳號密碼等操作,進而完全控制相關設備。這些漏洞影響FortiOS多個版本(包括 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本等)。FortiGate安全設備在高校中的使用範圍較廣,建議使用了相關設備的管理員儘快聯繫廠商的工程師對設備的作業系統進行升級,防止漏洞被非法利用。
3.Adobe公司8月發布了Adobee Acrobat/Reader軟體的版本更新,用於修補之前版本中的多個安全漏洞。這些漏洞可能導致任意代碼執行或是敏感信息洩漏。由於PDF軟體的漏洞是APT攻擊最常使用的漏洞,建議用戶儘快升級到最新版本,並謹慎打開那些來歷不明的PDF文檔。
4.Cisco Small Business 220系列智能交換機的Web管理界面存在三個高危漏洞,分別是身份驗證繞過漏洞(CVE-2019-1912,評級為致命,評分為9.1)、遠程命令執行漏洞(CVE-2019-1913,評級為致命,評分為9.8)和命令注入漏洞(CVE-2019-1914,評級為中等,評分為7.2)。身份繞過漏洞允許攻擊者繞過驗證將文件上傳到系統中,攻擊者可以藉此替換配置文件或者上傳Webshell進而控制交換機。而遠程命令執行漏洞則允許攻擊者直接以root身份在系統中執行任意命令。目前思科公司已經在最新的固件版本中修復了這些漏洞,使用相關交換機的用戶應該儘快進行固件更新。如果暫時無法更新固件,可通過關閉交換機的Web管理服務來降低漏洞帶來的風險。
安全提示
由於近期Windows遠程桌面服務的漏洞頻出,建議學校的網絡管理員做如下操作:
1. 在網絡邊界對Windows遠程桌面的服務埠 TCP 3389進行阻斷。
2. 要求Windows伺服器的管理員及時安裝系統補丁程序。
3. 如果條件允許,使用其他遠程服務替代Windows自帶的RDP服務,比如VNC。
4. 對於必須開放的Windows遠程桌面服務,建議修改默認服務埠,並使用防火牆限制訪問服務的來源IP。
(作者:鄭先偉,單位為中國教育和科研計算機網應急響應組,原文刊載於《中國教育網絡》雜誌2019年9月刊)