文/鄭先偉

Shadow Broker攻擊引關(guān)注 防火墻漏洞需防范

文/鄭先偉

8月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。8月值得關(guān)注的安全事件是Shadow Broker攻擊事件，事件源于一個叫“暗影經(jīng)紀(jì)人”（The Shadow Brokers）的組織突然在Tunblr、Github 等網(wǎng)絡(luò)平臺上放出一些美國國家安全局（NSA）的內(nèi)部資料和“方程式組織”使用的攻擊工具包。在公開發(fā)布的這些工具里有專門針對防火墻的漏洞攻擊利用程序，涉及的防火墻品牌幾乎涵蓋了當(dāng)前全球主流的防火墻產(chǎn)品，包括：思科公司的防火墻、Juniper公司的netsereen防火墻，飛塔（Fortinet）的防火墻、天融信的防火墻，這幾個品牌的防火墻在中國市場的占有率超過70%以上，在高校內(nèi)的使用率估計還要高于70%。建議學(xué)校的管理員盡快聯(lián)系自己使用的防火墻廠商來確認(rèn)相關(guān)產(chǎn)品是否受影響。如果在受影響之列應(yīng)該第一時間進(jìn)行升級，因為相應(yīng)的攻擊代碼很可能很快就會被編成自動攻擊程序而廣泛傳播。

因為多個漏洞眾測平臺因法律原因被關(guān)閉，使得被通報出來的網(wǎng)站漏洞數(shù)量大幅減少。

8月沒有新增影響比較嚴(yán)重的木馬蠕蟲病毒。

8月需要關(guān)注的漏洞有如下這些：

2016年7月～8月安全投訴事件統(tǒng)計

1. 微軟發(fā)布了8月的例行安全公告，本次公告共9個，其中5個為嚴(yán)重等級，4個為重要等級。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office軟件、EDGE及微軟軟件中的27個安全漏洞。建議用戶盡快使用系統(tǒng)的自動更新功能更新相關(guān)的系統(tǒng)及程序。公告的詳細(xì)信息：https://technet.microsoft.com/zh-cn/library/ security/ms16-jul.aspx。

另一個需要關(guān)注的是微軟在8月下旬向Win10的正式用戶推送了一個一周年累計更新包（KB3176934補(bǔ)?。?，這個補(bǔ)丁包在隨后被證實存在缺陷，由于缺少一個MOF文件，補(bǔ)丁KB3176932破壞了PowerShell的DSC功能。DSC功能是微軟此前為PowerShell加入的重要特性，能夠幫助開發(fā)者和系統(tǒng)管理員對基于Windows的服務(wù)器進(jìn)行驗證和管理。想要恢復(fù)正常需要用戶手工卸載掉該補(bǔ)丁。微軟承諾會在8月的最后一天發(fā)布修補(bǔ)好的補(bǔ)丁更新。

2. Zabbix是一款開源的分布式系統(tǒng)監(jiān)控及網(wǎng)絡(luò)性能監(jiān)控的軟件，它提供了友好的Web界面讓用戶能夠時時查看被監(jiān)控系統(tǒng)及設(shè)備的狀態(tài)，Zabbix在高校內(nèi)的使用率很高。最近Zabbix被發(fā)現(xiàn)存在一個嚴(yán)重的SQL注入漏洞，起因由于Zabbix默認(rèn)開啟了guest權(quán)限，且默認(rèn)密碼為空，導(dǎo)致Zabbix的jsrpc中profileIdx2參數(shù)存在insert方式的SQL注入漏洞。攻擊者利用漏洞無需登錄即可獲取網(wǎng)站數(shù)據(jù)庫管理員權(quán)限，或通過script等功能直接獲取Zabbix服務(wù)器的操作系權(quán)限。該漏洞影響大部分的早期版本，目前官方已經(jīng)在最新的版本中修復(fù)了這個漏洞，使用了Zabbix的管理員應(yīng)該盡快升級自己的Zabbix版本到最新，如果不能及時升級，可以臨時在系統(tǒng)中禁用guest賬號的使用。

3. 蘋果公司在8月26日緊急向用戶推送了IOS的最新版本9.3.5，用于修補(bǔ)之前版本中存在的3個高危漏洞，這三個漏洞被稱為“三叉戟”漏洞，綜合利用這三個漏洞，攻擊者只需向用戶的蘋果手機(jī)發(fā)送一條文本鏈接，用戶點擊后就會導(dǎo)致手機(jī)完全被黑客控制。這三個漏洞均屬于0day漏洞，之前被用來進(jìn)行間諜軟件攻擊，此次漏洞的攻擊代碼被公布出來，可能引發(fā)大規(guī)模的攻擊行為。建議所有的蘋果手機(jī)用戶均需要把系統(tǒng)更新為9.3.5以上版本，并提供安全意識，不去點擊信息中來歷不明的鏈接。

安全提示

本次Shadow Broker攻擊事件中“暗影經(jīng)紀(jì)人“公布的攻擊工具包有兩個，一個是免費使用的里面包含了各類防火墻的攻擊代碼，另一個是收費的工具包，由于要價太高，目前還不清楚其中是針對什么設(shè)備的攻擊工具。從之前免費的防火墻攻擊程序看，NSA大概率還有大量攻擊控制網(wǎng)絡(luò)主干設(shè)備的攻擊工具被泄露。為避免上述工具對網(wǎng)絡(luò)帶來影響，建議網(wǎng)絡(luò)管理員要對各類重要的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻）做進(jìn)一步的安全配置，關(guān)閉設(shè)備上所有不必要的服務(wù)端口，如果必須遠(yuǎn)程管理，一定要將遠(yuǎn)程服務(wù)端口限制在特定的地址范圍內(nèi)，使用堡壘機(jī)和VPN都是一個不錯的選擇。

（為中國教育和科研計算機(jī)網(wǎng)應(yīng)急響應(yīng)組）