文/鄭先偉

兩會(huì)期間高校專有系統(tǒng)被攻擊

文/鄭先偉

CCERT月報(bào)

3月教育網(wǎng)整體運(yùn)行平穩(wěn)，寒假及兩會(huì)期間教育網(wǎng)未發(fā)現(xiàn)嚴(yán)重的安全事件。

3月投訴事件中值得我們關(guān)注的是幾起發(fā)生在兩會(huì)期間的網(wǎng)頁(yè)篡改攻擊事件，這些被篡改的網(wǎng)站都是相關(guān)學(xué)校的專有業(yè)務(wù)系統(tǒng)（如教務(wù)系統(tǒng)、迎新系統(tǒng)等），由于這些業(yè)務(wù)系統(tǒng)中存在安全漏洞導(dǎo)致被人入侵并篡改了網(wǎng)頁(yè)內(nèi)容。這些有問(wèn)題的業(yè)務(wù)系統(tǒng)都是相應(yīng)廠商開(kāi)發(fā)的早期版本，相關(guān)的漏洞早就被人公布在網(wǎng)絡(luò)上，廠商也在隨后的版本中修補(bǔ)了這些漏洞。但是不知出于什么原因?qū)W校并沒(méi)有及時(shí)地更新業(yè)務(wù)系統(tǒng)的版本，廠商也沒(méi)有盡責(zé)地通知用戶去修補(bǔ)，導(dǎo)致漏洞長(zhǎng)期存在并被人利用。

病毒與木馬

近期沒(méi)有新增影響嚴(yán)重的木馬病毒程序，沒(méi)有需要特別關(guān)注的病毒木馬。

近期新增嚴(yán)重漏洞評(píng)述

微軟2015年3月的例行安全公告數(shù)量較多，共14個(gè)（MS15－018到MS15－031），其中5個(gè)為嚴(yán)重等級(jí)，9個(gè)為重要等級(jí)，這些公告共修補(bǔ)了包括Windows系統(tǒng)、IE瀏覽器、Office軟件、Exchange服務(wù)及Windows Server軟件中的45個(gè)漏洞，其中一個(gè)2014年開(kāi)始被在網(wǎng)絡(luò)上利用的IE瀏覽器漏洞在本次得到了修補(bǔ)。建議用戶盡快使用自動(dòng)更新功能修復(fù)相關(guān)漏洞。漏洞的詳細(xì)信息請(qǐng)參見(jiàn)：https://technet.microsoft.com/zh-CN/library/security/ ms15-Mar。

2015年2月～3月安全投訴事件統(tǒng)計(jì)

Adobe公司在3月也發(fā)布了針對(duì)Flash player軟件的例行安全公告（apsb15-05），此次公告共修補(bǔ)了Flash player軟件中存在的8處漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行或是拒絕服務(wù)攻擊。漏洞詳細(xì)信息請(qǐng)參見(jiàn)：https://helpx.adobe.com/ security/products/flash-player/apsb15-05.html。

除上述例行公告外，另一個(gè)值得關(guān)注的漏洞是：

1. Samba服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞

Samba服務(wù)是Linux和Unix系統(tǒng)上實(shí)現(xiàn)SMB服務(wù)的程序，主要用來(lái)在相關(guān)系統(tǒng)上通過(guò)SMB/CIFS協(xié)議在TCP/IP協(xié)議上共享文件及打印服務(wù)等功能。

Samba 3.5.0到4.2.0rc4版本的Smbd文件服務(wù)程序存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可以匿名與Samba服務(wù)器建立空會(huì)話連接，然后調(diào)用ServerPasswordSet RPC接口，導(dǎo)致一個(gè)未初始化的棧指針被傳給TALLOC_FREE()函數(shù)，通過(guò)發(fā)送特別構(gòu)造的數(shù)據(jù)，可以控制該指針的內(nèi)容，一個(gè)惡意的攻擊者可以發(fā)送一個(gè)特定構(gòu)造的畸型netlogon數(shù)據(jù)包給smbd守護(hù)進(jìn)程，進(jìn)而以smbd進(jìn)程的權(quán)限（通常是root權(quán)限）執(zhí)行任意命令。

廠商已經(jīng)在新版本的Samba中修補(bǔ)了該漏洞，如果您的系統(tǒng)需要開(kāi)放Samba服務(wù)請(qǐng)盡快升級(jí)到最新版本。詳情參見(jiàn)http:// www.samba.org/samba/security/。

安全提示

鑒于近期學(xué)校專有業(yè)務(wù)系統(tǒng)被攻擊的風(fēng)險(xiǎn)增大，我們建議相關(guān)的管理員盡快檢查自己管轄的業(yè)務(wù)系統(tǒng)是否存在安全漏洞（多數(shù)早期的業(yè)務(wù)系統(tǒng)都或多或少存在安全漏洞），發(fā)現(xiàn)漏洞要及時(shí)修補(bǔ)。如果使用的是商業(yè)軟件，應(yīng)定期聯(lián)系廠商了解版本更新情況。對(duì)于那些無(wú)需外部訪問(wèn)的系統(tǒng)，應(yīng)使用網(wǎng)絡(luò)隔離防護(hù)手段來(lái)對(duì)系統(tǒng)進(jìn)行保護(hù)。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）