文/鄭先偉

3月底思科交換機的IOS及IOS XE系統(tǒng)被曝出存在一個遠程代碼執(zhí)行漏洞（CVE-2018-0171），該漏洞允許攻擊者向有問題的交換機的TCP 4786端口（默認開啟）發(fā)送特制的攻擊數(shù)據(jù)包來進行攻擊，一旦攻擊成功攻擊者便可遠程控制相應(yīng)交換機。該漏洞信息公布不久，對應(yīng)的攻擊程序也在網(wǎng)絡(luò)上被發(fā)布。4月第一周我們開始在教育網(wǎng)流量中檢測到大量針對該漏洞的掃描及攻擊數(shù)據(jù)，但隨后的幾周里類似的掃描和攻擊數(shù)量則呈直線下降的趨勢。出現(xiàn)這種結(jié)果可能是因為攻擊者通過第一周的掃描和攻擊已經(jīng)基本掌握了網(wǎng)絡(luò)上相關(guān)問題交換機的信息，并且可能已經(jīng)獲取了部分有漏洞交換機的控制權(quán)限，所以無需在進行掃描了。另外4月的網(wǎng)絡(luò)流量中仍然能檢測到大量的Memcache反射放大攻擊的流量，但是單次攻擊的流量規(guī)模相比之前的要降低很多，隨著各大型的云服務(wù)商對Memcache服務(wù)的加強管理，這類攻擊的可利用反射放大源正在逐漸減少。

安全投訴事件整體數(shù)量較為平穩(wěn)。

近期沒有新增影響特別廣泛的蠕蟲病毒。思科交換機的攻擊代碼雖然會自主攻擊，但是并未發(fā)現(xiàn)其包含有傳播的功能，因此未被定義到病毒和木馬范疇中。

2018年3～4月安全投訴事件統(tǒng)計

近期新增嚴重漏洞評述：

1.微軟2018年4月的安全公告修補了其多款產(chǎn)品存在的227個安全漏洞。受影響的產(chǎn)品包括Windows 10 v1709（28個）、Windows 10 v1703（28個）、Windows 10 v1607 and WindowsServer 2016（27個）等。用戶應(yīng)該盡快使用Windows自帶的Update功能進行更新。

2.Drupal是一個由Dries Buytaert創(chuàng)立的自由開源的內(nèi)容管理系統(tǒng)，用PHP語言寫成。Drupal在業(yè)界常被視為內(nèi)容管理框架，而不是簡單的內(nèi)容管理系統(tǒng)，基于它的框架會進行大量的二次開發(fā)。3月底Drupal 6、7、8多個子版本被曝出存在遠程代碼執(zhí)行漏洞，官方也在隨后發(fā)布的新版本中修補了該漏洞。但不久就有安全研究者發(fā)現(xiàn)官方發(fā)布的新版本并不能完全解決上述安全問題，攻擊者仍然可以采用一些方法來繞過補丁限制去利用相關(guān)漏洞，因此4月下旬，Drupal的官方又發(fā)布了版本更新來進一步修補相關(guān)漏洞。因此對于Drupal的管理員應(yīng)該盡快檢查所使用的Drupal版本是否更新到了最新，最新的版本分別是：7.59、8.5.3及8.4.8.，對于還在使用Drupal 6的用戶，建議升級到高等級的版本。更多漏洞的信息可參見Drupal的官方公告：https://www.drupal.org/sa-core-2018-004。

3.Cisco的IOS和IOS XE軟件發(fā)布本年度的安全更新，修補了系統(tǒng)中存在的22個安全漏洞，其中有三個屬于高危漏洞，可能導(dǎo)致使用Cisco IOS的網(wǎng)絡(luò)設(shè)備遠程被入侵控制或是拒絕服務(wù)攻擊，三個漏洞分別是：

1.Cisco IOS XE軟件靜態(tài)證書漏洞（CVE-2018-0150）；

2.Cisco IOS和IOS XE軟件服務(wù)質(zhì)量遠程代碼執(zhí)行漏洞（CVE-2018-0151）；

3.Cisco IOS和IOS XE Smart Install遠程代碼執(zhí)行漏洞（CVE-2018-0171）。

Cisco公司的詳細安全公告請參見：https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-66682。

4.Oracle發(fā)布了2018年4月的安全更新，修復(fù)了其多款產(chǎn)品存在的254個安全漏洞，其中139個為高危漏洞。漏洞涉及的產(chǎn)品包括：Oracle Database Server數(shù)據(jù)庫（2個）、電子商務(wù)套裝軟件Oracle E-Business Suite（12個）等，這些漏洞中需要特別關(guān)注的是WebLogic Server WLS核心組件反序列化漏洞（CVE-2018-2628），利用該漏洞，攻擊者可以在未經(jīng)授權(quán)的情況下，遠程發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作，反序列過程中會遠程加載RMI registry,加載回來的registry又會被反序列化執(zhí)行，最終實現(xiàn)了遠程代碼的執(zhí)行。相關(guān)產(chǎn)品的管理員應(yīng)該盡快檢查并升級自己的軟件版本。