黑龙江省公共互联网安全监测报告(2021年3月)

发布时间:2021-04-13 08:46 来源:黑龙江省通信管理局

2021年3月,我省互联网基础设施运行总体平稳,骨干网各项监测指标正常。木马僵尸网络、蠕虫病毒、web攻击等是我省重要信息系统和互联网用户面临的最主要的网络安全威胁。本月我省感染木马、僵尸程序主机总数上升明显,被利用作为控制端主机数量较上月有所上升,感染蠕虫病毒主机数量较上月有所上升,受web攻击主机数量较上月有所上升。本月我省感染木马或僵尸网络病毒的主机IP数量为18903个; 被利用作为木马或僵尸网络控制端服务器的IP数量为3864个;感染蠕虫病毒的主机IP数量为395个;遭受web攻击的主机IP数量为3782个; 我省被利用作为web攻击的IP数量为11331个。

本月互联网上“Mirai僵尸网络的新型变种正在利用VisualDoor(SonicWall SSL-VPN漏洞)、CVE-2021-27561、CVE-2021-22502等9个漏洞扫描并感染D-link、Netis、Netgear、Yealink、Micro Focus等品牌的网络安全设备”与“F5发布安全通告,修复了F5 BIG-IP,BIG-IQ中的多个高危漏洞,其中包括包括4个关键漏洞,2个高危漏洞和1个中危漏洞”,建议用户及时做好漏洞防护。

一、我省互联网主机安全状况分析

黑龙江省通信管理局对互联网主机易感染的木马、僵尸程序、蠕虫病毒、以及遭受web攻击情况进行了持续的监测和分析。从感染病毒的主机在省内分布来看,哈尔滨、佳木斯、齐齐哈尔、大庆等地市感染病毒数量较大;从网络病毒的类型分析,主要以僵尸网络居多。

(一)我省互联网主机感染木马、僵尸程序情况

1.我省木马、僵尸程序受控端情况

2021年3月,监测发现我省18903个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,如图1所示。

图1 黑龙江省木马或僵尸程序受控主机IP数量月度统计图

2021年3月,哈尔滨、佳木斯等城市木马或僵尸程序受控主机IP数量最多,其中哈尔滨占全省总数的95.97%,如图2所示。

图2 黑龙江省木马或僵尸程序受控主机IP数量按地市分布图

2.我省木马、僵尸程序控制端情况

2021年3月,监测发现我省3864个IP地址对应的主机作为木马、僵尸程序控制端与其他国家或地区进行通信,如图3所示。

3黑龙江省木马或僵尸程序控制端服务器IP数量月度统计图

(二)我省互联网主机感染蠕虫病毒情况

2021年3月,监测发现我省395个IP地址对应的主机感染蠕虫病毒,如图4所示。

图4 黑龙江省感染蠕虫主机IP数量月度统计图

2021年3月,哈尔滨、佳木斯、齐齐哈尔等地市感染蠕虫主机IP数量最多,其中哈尔滨占全省总数的98.48%,如图5所示。

图5黑龙江省感染蠕虫主机IP数量按地市分布图

(三)我省互联网web攻击情况

1.我省web攻击受害端情况

2021年3月,监测发现我省3782个IP地址对应的主机被其他国家或地区web攻击,如图6所示。

图6 黑龙江省木受web攻击主机IP数量月度统计图

2021年3月,哈尔滨、大庆等城市受web攻击的受害主机IP数量最多,其中哈尔滨占全省总数的73.29%,如图7所示。

图7 黑龙江省受web攻击主机IP数量按地市分布图


2.我省web攻击攻击端情况

2021年3月,监测发现我省11331个IP地址对应的主机作为web攻击的攻击端与其他国家或地区进行通信,如图8所示。

图8黑龙江省发起web攻击主机IP数量月度统计图

二、我省互联网主机漏洞预警

(一)Mirai僵尸网络的新型变种正在利用VisualDoor(SonicWall SSL-VPN漏洞)、CVE-2021-27561、CVE-2021-22502等9个漏洞扫描并感染D-link、Netis、Netgear、Yealink、Micro Focus等品牌的网络安全设备

最新监测发现Mirai僵尸网络的新型变种正在利用VisualDoor(SonicWall SSL-VPN漏洞)、CVE-2021-27561、CVE-2021-22502等9个漏洞扫描并感染D-link、Netis、Netgear、Yealink、Micro Focus等品牌的网络安全设备。感染成功后,攻击者会尝试在失陷设备中下载包含执行Mirai变种和暴力破解功能的恶意shell脚本,以实现加密货币挖掘、DDoS(分布式拒绝服务攻击)等恶意行为。

建议省内用户采取以下措施予以防范:

使用D-link、Netis、Netgear、Yealink、Micro Focus等网络安全防护设备的用户及时安装相关漏洞对应的安全补丁,并对资源占用情况进行自查,及时发现是否感染。

监控进出网络设备的可疑流量,配置网络策略,利用网络分段来限制感染的传播并自定义设备的安全设置。

定期对系统进行加固,关闭不必要的端口,及时进行漏洞更新。

修改默认登陆凭证,避免被恶意软件实施暴力破解攻击。

(二) F5发布安全通告,修复了F5 BIG-IP,BIG-IQ中的多个高危漏洞,其中包括包括4个关键漏洞,2个高危漏洞和1个中危漏洞

3月10日,F5发布安全通告,修复了F5 BIG-IP,BIG-IQ中的多个高危漏洞,其中包括包括4个关键漏洞,2个高危漏洞和1个中危漏洞,相关漏洞CVE编号:CVE-2021-22986、CVE-2021-22987、2021-22988、CVE-2021-22989、CVE-2021-22990、CVE-2021-22991、CVE-2021-22992。建议受影响用户及时升级最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

漏洞描述

BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IQ是一款用于管理和协调F5安全与应用交付解决方案的智能框架。

1. iControl REST远程命令执行漏洞(CVE-2021-22986):

未经身份验证的攻击者使用控制界面进行利用,通过BIG-IP管理界面或自身IP地址对iControl REST接口进行网络访问,可执行任意系统命令,创建或删除文件以及禁用服务,设备模式下的BIG-IP系统也容易受到攻击。

2. 设备模式TMUI远程命令执行漏洞(CVE-2021-22987):

当以设备模式运行时,经过身份验证的攻击者使用控制界面进行利用,通过BIG-IP管理端口或自身IP访问TMUI,可能导致系统完全受损并破坏设备模式。

3. TMUI远程命令执行漏洞(CVE-2021-22988):

经过身份验证的攻击者使用控制界面利用此漏洞,通过BIG-IP管理端口或自身IP访问TMUI,可执行任意系统命令,创建或删除文件或禁用服务。

4. 设备模式Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22989):

当在设备模式下配置了Advanced WAF或ASM时,具有管理员,资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。

5. Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22990):

在配备了Advanced WAF或BIG-IP ASM的系统上,具有管理员,资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身IP地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。

6. TMM缓冲区溢出漏洞(CVE-2021-22991):

流量管理微内核(TMM)URI规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。攻击者通过数据层面进行利用,在某些情况下,可能绕过基于URL的访问控制或实现远程代码执行,

7.Advanced WAF/ASM缓冲区溢出漏洞(CVE-2021-22992):

对策略中配置了“登录页面”的Advanced WAF / BIG-IP ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。攻击者通过数据层面进行利用,在某些情况下,可能造成远程代码执行。

安全建议

目前官方已发布新版本修补以上漏洞,建议受影响用户及时升级更新。

BIG-IP下载地址:https://support.f5.com/csp/article/K9502

BIG-IQ下载地址:https://support.f5.com/csp/article/K15113




【返回顶部】 【关闭窗口】 【打印本页】