文/鄭先偉

?

敲詐者病毒活躍 需及時(shí)加強(qiáng)防范

文/鄭先偉

4月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

近期網(wǎng)站安全事件的投訴量有上升趨勢(shì)，網(wǎng)站漏洞的被發(fā)現(xiàn)主要得益于各大漏洞眾測(cè)平臺(tái)的報(bào)送，各平臺(tái)報(bào)送來(lái)的事件大部分是安全愛(ài)好者測(cè)試出網(wǎng)站存在安全漏洞，但是并未進(jìn)行惡意攻擊，也有一小部分是已經(jīng)檢測(cè)到網(wǎng)站存在后門(mén)或是暗鏈。

4月需要關(guān)注的依然是敲詐者病毒，近期又有多個(gè)變種出現(xiàn)，甚至出現(xiàn)了直接鎖定整個(gè)硬盤(pán)的敲詐病毒。用戶(hù)要加強(qiáng)防范，不輕易點(diǎn)擊來(lái)歷不明的郵件附件，不隨便訪(fǎng)問(wèn)不安全的網(wǎng)站，并及時(shí)備份系統(tǒng)上的重要數(shù)據(jù)文件。

4月需要關(guān)注的漏洞有如下這些：

1. 微軟4月的例行安全公告共13項(xiàng)，其中6項(xiàng)為嚴(yán)重等級(jí)，7項(xiàng)為重要等級(jí)。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office辦公軟件、Edge、.NET Framework、Skype商務(wù)版、微軟Lync、Web App及Flash Player產(chǎn)品中的31個(gè)安全漏洞，其中多個(gè)漏洞可能導(dǎo)致遠(yuǎn)程執(zhí)行任意代碼，用戶(hù)應(yīng)該盡快使用Windows的自動(dòng)更新功能安裝相應(yīng)的補(bǔ)丁。相關(guān)漏洞的詳情請(qǐng)參見(jiàn)：https：//technet.microsoft. com/library/ms16-apr.aspx。

2. Oracle公司于4月發(fā)布了今年第二季度的例行安全公告，此次公告修補(bǔ)了Oracle公司產(chǎn)品中136個(gè)安全漏洞，涉及的產(chǎn)品包括：Oracle數(shù)據(jù)庫(kù)（5個(gè)）、中間件產(chǎn)品Fusion Middleware（22個(gè)）、企業(yè)管理器網(wǎng)格控制產(chǎn)品Oracle Enterprise Manager Grid Control（2個(gè)）、電子商務(wù)套裝軟件OracleE-Business Suite （7個(gè)）、供應(yīng)鏈套裝軟件Oracle Supply Chain Products Suite（6個(gè)）、PeopleSoft產(chǎn)品（15個(gè)）、Berkeley DB（5個(gè)）、Virtualization（4個(gè)）、Financial Services Software（4個(gè)）、Retail Applications（3個(gè)）、Communications Applications（1個(gè)）、Health Sciences Applications（1個(gè)）、JDEdwards產(chǎn)品（1個(gè)）、 Java SE（9個(gè)）、OracleSun系統(tǒng)產(chǎn)品（18個(gè)）和MySQL數(shù)據(jù)庫(kù)（22）。用戶(hù)應(yīng)該盡快更新相應(yīng)的補(bǔ)丁程序。安全公告的詳細(xì)信息請(qǐng)參見(jiàn)：http：//www.oracle.com/technetwork/securityadvisory/cpuapr2016v3-2985753.html。

2016年3月～4月安全投訴事件統(tǒng)計(jì)

3. Apache發(fā)布了一個(gè)安全公告（https：//cwiki.apache.org/confluence/display/ WW/S2-032），提示Apache Struts2服務(wù)在開(kāi)啟動(dòng)態(tài)方法調(diào)用（DMI）的情況下，可以被遠(yuǎn)程執(zhí)行任意命令。漏洞影響Struts2 的2.0.0 -2.3.28 （除2.3.20.2和2.3.24.2以外）版本。漏洞存在的原因是Struts 2的核心jar包-struts2-core中存在一個(gè)default.properties的默認(rèn)配置文件用于配置全局信息，當(dāng)struts.enable. DynamicMethodInvocation= true，即系統(tǒng)開(kāi)啟動(dòng)態(tài)方法調(diào)用時(shí)攻擊者可以覆蓋系統(tǒng)相關(guān)參數(shù)從而執(zhí)行任意命令。目前漏洞的攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上被公布。使用了Struts2框架的系統(tǒng)管理員應(yīng)該盡快檢查自己系統(tǒng)，并升級(jí)有問(wèn)題的版本。相關(guān)漏洞詳情及版本更新方法請(qǐng)參見(jiàn)：https：// cwiki.apache.org/confluence/display/WW/ Migration+Guide。

安全提示

Struts2在高校中使用的范圍很廣泛，很多專(zhuān)有的業(yè)務(wù)系統(tǒng)都可能使用了Struts2框架進(jìn)行開(kāi)發(fā)。從歷史的經(jīng)驗(yàn)看，Struts2漏洞的利用生命周期非常長(zhǎng)，這主要是因?yàn)镾truts2是WEB系統(tǒng)的底層框架，很多系統(tǒng)管理員根本不清楚自己的網(wǎng)站是否使用了Struts2，從而忽略了補(bǔ)丁的更新。鑒于此次漏洞的風(fēng)險(xiǎn)，我們建議學(xué)校各業(yè)務(wù)系統(tǒng)的管理員盡快檢查自己的系統(tǒng)是否使用了Struts2框架（如果不清楚請(qǐng)聯(lián)系系統(tǒng)的開(kāi)發(fā)人員），如果使用了Struts2框架且屬于有漏洞的版本請(qǐng)盡快執(zhí)行以下操作：

1. 升級(jí)Struts2框架至 2.3.20.2，2.3.24.2，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/ display/WW/Migration+Guide。2. 如果暫時(shí)不能更新Struts2版本，請(qǐng)關(guān)閉框架的動(dòng)態(tài)調(diào)用功能來(lái)降低風(fēng)險(xiǎn)，具體的方式是修改Struts2的配置文件，將“struts.enable. DynamicMethodInvocation”的值設(shè)置為false，比如：。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）