黑龙江省公共互联网安全监测报告(2021年4月)
2021年4月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、蠕虫病毒、web攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。本月我省感染木马、僵尸程序主机总数下降明显,被利用作为控制端主机数量较上月有所下降,感染蠕虫病毒主机数量较上月有所下降,受web攻击主机数量较上月有所下降。本月我省感染木马或僵尸网络病毒的主机IP数量为8238个; 被利用作为木马或僵尸网络控制端服务器的IP数量为1187个;感染蠕虫病毒的主机IP数量为170个;遭受web攻击的主机IP数量为1848个; 我省被利用作为web攻击的IP数量为3125个。
本月互联网上“Microsoft发布了4月份的安全更新,本次发布的安全更新共计修复了108个安全漏洞,其中有19个漏洞评级为严重,89个漏洞评级为高危,其中包括5个0 day漏洞和4个Microsoft Exchange漏洞”与“Oracle发布了4月份的安全更新,本次发布的安全补丁共计390个,涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多个产品和组件”,建议用户及时做好漏洞防护。
一、我省互联网主机安全状况分析
黑龙江省通信管理局对互联网主机易感染的木马、僵尸程序、蠕虫病毒、以及遭受web攻击情况进行了持续的监测和分析。从感染病毒的主机在省内分布来看,哈尔滨、佳木斯、大庆等地市感染病毒数量较大;从网络病毒的类型分析,主要以僵尸网络居多。
(一)我省互联网主机感染木马、僵尸程序情况
1.我省木马、僵尸程序受控端情况
2021年4月,监测发现我省8238个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,如图1所示。
2021年4月,哈尔滨、佳木斯等城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的92.62%,如图2所示。
2.我省木马、僵尸程序控制端情况
2021年4月,监测发现我省1187个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,如图3所示。
(二)我省互联网主机感染蠕虫病毒情况
2021年4月,监测发现我省170个IP地址对应的主机感染蠕虫病毒,如图4所示。
2021年4月,哈尔滨、佳木斯等地市感染蠕虫主机IP数量最多,其中哈尔滨占全省总数的87.06%,如图5所示。
(三)我省互联网web攻击情况
1.我省web攻击受害端情况
2021年4月,监测发现我省1848个IP地址对应的主机被其他国家或地区web攻击,如图6所示。
2021年4月,哈尔滨、大庆等城市受web攻击的受害主机IP数量最多,其中哈尔滨占全省总数的61.69%,如图7所示。
2.我省web攻击攻击端情况
2021年4月,监测发现我省3125个IP地址对应的主机作为web攻击的攻击端与其他国家或地区进行通信,如图8所示。
二、我省互联网主机漏洞预警
(一)2021年04月13日,Microsoft发布了4月份的安全更新,本次发布的安全更新共计修复了108个安全漏洞,其中有19个漏洞评级为严重,89个漏洞评级为高危,其中包括5个0 day漏洞和4个Microsoft Exchange漏洞
本次发布的安全更新涉及Azure、Microsoft Edge (Chromium-based)、Exchange Server、Microsoft Office、Windows DNS、Windows Kernel、Windows SMB Server和Windows TCP/IP等多个产品和组件。目前,Microsoft已经修复了以下5个0 day漏洞,其中CVE-2021-28310已被在野利用。
RPC端点映射器服务权限提升漏洞(CVE-2021-27091)
该漏洞是Windows注册表中的RPC权限提升漏洞,其CVSS评分7.8,该漏洞无需用户交互即可利用。
Windows NTFS拒绝服务漏洞(CVE-2021-28312)
该漏洞是Windows NTFS系统中的拒绝服务漏洞,其CVSS评分3.3,该漏洞需与用户交互才可利用。
Windows Installer信息泄露漏洞(CVE-2021-28437)
该漏洞是Windows Installer工具中的信息泄露漏洞,其CVSS评分5.5,该漏洞无需用户交互即可利用。
Azure ms-rest-nodeauth库权限提升漏洞(CVE-2021-28458)
该漏洞是Azure ms-rest-nodeauth库中的权限提升漏洞,其CVSS评分7.8,该漏洞无需用户交互即可利用。
Win32k权限提升漏洞(CVE-2021-28310)
该漏洞是Windows驱动文件中的权限提升漏洞,其CVSS评分7.8,该漏洞无需用户交互即可利用。
此外,Microsoft已经发布了2021年4月的Exchange Server安全更新(累积更新,包含Exchange Server 2021年3月的安全更新),以修复NSA发现的4个严重的Microsoft Exchange远程代码执行漏洞,这些漏洞目前尚未被在野利用。其中,CVE-2021-28480和CVE-2021-28481为预身份验证漏洞,攻击者无需进行身份验证即可利用。
建议省内用户采取以下措施予以防范:
目前Microsoft已发布相关安全更新,建议尽快修复。
(一) Windows update更新
自动更新:
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/vulnerability。
(二) 2021年04月20日,Oracle发布了4月份的安全更新,本次发布的安全补丁共计390个,涉及Oracle Fusion Middleware、Oracle E-Business Suite、Oracle Communications Applications和Oracle MySQL等多个产品和组件
漏洞描述
在本次发布的安全补丁中,Oracle Fusion Middleware相关的补丁为45个,其中36个漏洞无需身份验证即可远程利用。Weblogic Server部分漏洞详情如下:
Oracle WebLogic Server Coherence Container安全漏洞(CVE-2021-2135)
未经身份验证的攻击者可以通过T3或IIOP协议发送恶意请求,最终控制服务器。该漏洞无需用户交互即可利用,其CVSS评分为9.8。
影响范围
12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
Oracle WebLogic Server Core安全漏洞(CVE-2021-2136)
未经身份验证的攻击者可以通过IIOP协议发送恶意请求,最终控制服务器。该漏洞无需用户交互即可利用,其CVSS评分为9.8。
影响范围
12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
Oracle WebLogic Server TopLink Integration安全漏洞(CVE-2021-2157)
未经身份验证的攻击者可以通过HTTP发送恶意请求,最终可以未授权访问关键数据。该漏洞无需用户交互即可利用,其CVSS评分为7.5。
影响范围
10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0
此外,在Oracle本次发布的安全补丁中:
与Oracle Communications Applications相关的补丁为13个,其中CVE-2020-11612和CVE-2020-28052评分为9.8,攻击者无需经过身份验证即可利用包括这2个漏洞在内的12个安全漏洞。
与E-Business Suite相关的补丁为70个,其中CVE-2021-2200和CVE-2021-2205评分为9.1,攻击者无需经过身份验证即可远程利用包括这2个漏洞在内的22个安全漏洞。
与Oracle MySQL相关的补丁为49个,无需经过身份验证即可利用的漏洞为10个,其中CVE-2021-3449和CVE-2021-3450(均为MySQL Server中的OpenSSL问题)评分分别为7.5和7.4, CVE-2021-2307为MySQL for Windows中的权限提升漏洞,该漏洞需经过验证才能利用,其CVSS评分为6.1。
建议省内用户采取以下措施予以防范:
目前Oracle已经发布相关安全补丁,建议尽快应用。
下载链接:
https://www.oracle.com/security-alerts/cpuapr2021.html