福建省

网络安全态势月报

海峡信息安全服务中心
2016年第6期
2016.6.1~2016.6.30

本期安全总体指数

本期总体安全指数是“良”
 

 

本期漏洞态势

1. 公开漏洞态势综述

 
本期统计福建省漏洞55个，其中福州地区27个，厦门地区22个，南平地区3个，泉州、漳州及三明地区各1个，见图1。与上期相比，漏洞数明显增多，增幅达到36%。
   
（本期数据样本来自于2016.6.1~2016.6.30海峡信息威胁情报分析平台中福建省漏洞安全数据，采取全量样本进行分析。海峡信息威胁情报分析平台采集数据来自于国内外各大漏洞发布平台，如乌云、补天、反动黑客联盟等）
 

2. 漏洞增长概况

从2016年1月开始漏洞数量呈波动上升态势，并在本月达到近半年漏洞数量的最高值，共55个。图2为近6个月来漏洞新增数量统计图。

3. 漏洞分布情况

（1）漏洞类型分布
本期发布的漏洞类型中，SQL注射漏洞已持续三个月高居榜首，本期占比达到49%，较上期增长2%；其次是弱口令，占总比的13%；而命令执行本期下跌一位，位居第三，占总比的9%。具体参见图3漏洞类型统计图。
（2）漏洞行业分布
本期发布的漏洞中，教育行业公布的漏洞数最多，占比达到42%，从统计的数据来看，漏洞主要集中在厦门大学、福州大学以及厦门理工大学这三所大学中。图4是2016年6月份漏洞行业分布统计图。


在教育行业中，漏洞最多的仍旧是sql注入漏洞，下表为教育行业漏洞类型统计表：
表1  2016年6月份教育行业漏洞类型统计表

漏洞类型	个数
Sql注入漏洞	13
弱口令	4
上传漏洞	2
信息泄露	2
未授权访问	1
入侵事件	1

本期互联网恶意软件态势

1. 互联网恶意软件态势综述

在互联网恶意地址方面，本期共发布152个互联网恶意地址，包含11053个病毒，较上期有所减少；在互联网恶意APP方面，本期共发布63957个恶意手机软件，其中android系统60978个，symbian系统146个，jar系统2个。
（本期数据样本来自于2016.6.1~2016.6.30海峡信息威胁情报分析平台中福建省漏洞安全数据，采取全量样本进行分析。海峡信息威胁情报分析平台采集数据来自于中国反网络病毒联盟、国家互联网应急中心等）
 

2. 互联网恶意地址情况

在本期发布的11053个病毒中，中度危险11043个，轻度危险10个；其中福建省内恶意地址共1个，包含2个病毒；恶意地址及病毒列表见下表。

3. 互联网恶意APP情况

在本期发布的63957个恶意手机软件中，恶意扣费(51%)、流氓行为(15%)、资费消耗(14%)是恶意APP的主要目的。下图是2016年6月恶意APP类别统计图。

 

本期重要漏洞实例

1. Apache Struts2披露存在远程代码执行漏洞（S2-033）

 Apache Struts2 S2-033远程代码执行漏洞（CVE-2016-3087）。远程攻击者利用漏洞在启动动态方法且安装部署了REST插件的Struts 2服务器上远程执行指令。根据评估，该漏洞影响要小于或等同于S2-032漏洞的影响范围。CNVD对该漏洞的综合评级为“高危”。
Struts2是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架，并成为当时国内外较为流行的容器软件中间件。此前在4月底，官方厂商发布了修复S2-032远程代码执行漏洞的Struts 2.3.20.3，2.3.24.3，2.3.28.1相关版本，近日又发布了S2-033的安全升级公告，但提示的对应升级版本号与此前S2-032相同。
漏洞影响使用REST插件的Struts 2.3.20 - 2.3.28 (除2.3.20.3和2.3.24.3以外)版本。用户可禁用动态方法调用（Dynamic Method Invocation），修改Struts2的配置文件struts.xml，将struts.enable.DynamicMethodInvocation设置为“false”，关闭动态方法调用功能，来规避该漏洞的攻击威胁。或者参考        Apache Struts官方发布的升级程序修复该漏洞，海峡信息建议用户升级至struts 2.3.20.3，2.3.24.3，2.3.28.1版本。（更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。）

2. Apache Struts2披露存在远程代码执行漏洞（S2-037）

Apache Struts2 S2-037远程代码执行漏洞（CVE-2016-4438）。远程攻击者利用漏洞在安装部署了REST插件的Struts 2服务器上远程执行指令，取得服务器控制权限。CNVD对该漏洞的综合评级为“高危”。
由于利用代码已经公开，建议用户紧急升级最新的Apache 2.3.29版本防范潜在的攻击。该漏洞与6月初披露的S2-033漏洞相比，虽然也是安装部署REST插件的条件下触发，但与是否启用动态方法调用无关，评估认为该漏洞影响要大于S2-033漏洞的影响范围，也有可能比S2-032漏洞影响范围更大（取决于REST插件应用比例）。
漏洞影响部署使用REST插件的Struts 2.3.20 - 2.3.28.1版本。目前，互联网上已披露了该漏洞的利用代码。Apache Struts官方已发布了升级程序修复该漏洞，海峡信息建议用户将程序升级至Struts 2.3.29版本。（更新地址：        https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.29）

3. Microsoft Windows WPAD权限提升漏洞（BadTunnel）

Microsoft Windows WPAD权限提升漏洞（CVE-2016-3213 ，微软命名为“BadTunnel”漏洞）。该漏洞对于Windows 10及其以下版本(含Windows XP，或可追溯至Windows 95)的操作系统主机都构成直接影响，且攻击原理可以绕过现有多种防御机制，包括绕过客户端防护软件或网络侧防护设备，构成十分严重的威胁。CNVD对该漏洞的综合评级为“高危”。
Microsoft Windows是美国微软公司发布的一系列操作系统。WPAD（Web Proxy Auto-Discovery Protocol）全称为网络代理自发现协议，用于让主机自动发现代理服务器，进而访问互联网或目标网络。Microsoft Windows WPAD存在特权提升漏洞，目前漏洞细节暂未公布，预期将于8月由漏洞发现者——腾讯玄武实验室的于旸在拉斯维加斯黑客大会进行发布。
微软官方发布了升级补丁修复该漏洞，CNVD建议用户尽快升级程序，用户需要结合MS16-063和MS16-077两个补丁才能完全修复。（https://technet.microsoft.com/library/security/MS16-063         https://technet.microsoft.com/library/security/MS16-077）
对于微软已不支持安全更新的版本（如：Windows XP）建议禁用NetBIOS连接，微软官方已给出操作步骤，或者在防护设备上阻断NetBIOS 137端口的网络连接。（https://technet.microsoft.com/en-us/library/cc940063.aspx）

4. libarchive存在多个缓冲区溢出漏洞

libarchive存在的多个缓冲区溢出漏洞（CVE-2016-4300、CVE-2016-4301、 CVE-2016-4302）。攻击者利用漏洞可构造特制的7-Zip（Mtree/RAR）文件，当使用Libarchive库相关软件处理上述软件时可造成内存溢出以及恶意代码执行（内存破坏），或执行任意代码。CNVD对上述漏洞的综合评级均为“高危”。
Libarchive是一个开源压缩库，Libarchive广泛应用于Debian Linux、FreeBSD和诸多文件压缩工具。
漏洞发现者测试使用的3.1.2；02.12.2015 Platform : x86/x64版本均存在上述漏洞。Libarchive支持多种文件压缩软件，应用于各种包管理器、文件浏览器，也应用在Debian Linux、FreeBSD等产品中，因此上述系统及应用均有可能受漏洞影响。目前，厂商已发布了漏洞修复程序，在v3.2.1版本中修复了上述漏洞。海峡信息建议研发人员及时将最新版（v3.2.1）部署到所涉及的应用中，建议用户及时更新到最新版本，避免引发漏洞相关的网络安全事件。（https://github.com/libarchive/libarchive/commit/139d0576b51a253732a5ab1f66805dffbf8b00af）

 

关于我们

福建省海峡信息技术有限公司是专业从事网络安全技术研发、产品销售、安全专业服务的高新技术企业，是福建省唯一的专业从事信息网络技术研究的省级重点实验室(福建省信息网络重点实验室)的承建者，同时也是福建省软件行业协会的理事单位。公司于1996年开始研究网络安全技术，是国内最早从事网络安全技术研究及产品开发的少数几个高新技术企业之一。 
海峡信息安全服务中心依托福建省信息网络重点实验室，在网络安全技术研究方面有深厚的技术沉淀，建立了安全攻防、漏洞知识库、风险评估规范等安全服务基础体系，将BS7799/ISO17799/ISO27001、ISO13335、SSE-CMM、ITIL/ISO20000以及国家信息安全等级保护指南等国际国内信息安全标准指南和客户的实际需求进行结合，为客户提供符合实际需求的信息安全解决方案服务。
 
今天，海峡信息已成为广大企事业单位值得信赖的网络安全整体解决方案提供商。海峡信息与福州大学、福建农林大学等多所高校建立硕士生联办点，与国内著名安全企业、安全组织建立良好的合作和战略联盟，能够保证海峡信息能够走在信息安全领域的最前沿，保证信息安全服务内容的不断更新和完善。相信海峡信息必将为海峡西岸的信息安全建设事业做出更大的贡献。

 

想要更多的了解我们，请关注我们的微信公众号（海峡信息安全服务中心）及福建省软件安全公共技术服务中心网站（http://fjssc.cn/ ）