当前位置:首页  网络服务  病毒报警
第二周安全通告
发布人:系统管理员  发布时间:2015-03-09   浏览次数:14


1  总体情况

1.1 本周漏洞情况

本周统计漏洞数65个,其中高危漏洞21个,中危漏洞44个。漏洞数与前一周环比下降61.5%,与去年同期同比上升4.8%

本周主要记录了Linux kerneljBCryptKENT-WEB Joyful Note等产品存在的多个高危漏洞,类型主要是任意代码实行、SQL 注入、任意文件操作等;

也记录了CiscoHPFortinetToshiba等多家企业多个产品存在的多个漏洞,类型主要是信息泄露、跨站点脚本和拒绝服务等。

欲了解更加详细信息请跟阿尔法实验室联系。电话额82776690,电邮:ad_dep@topsec.com.cn;

1.2  本周恶意域名与地址跟踪情况

今年的恶意地址数量还是保持在高位;

涉及到大陆的单个IP地址对应的恶意域名数量前10 位列表数据显示,以北京的万网志成科技有限企业的112.124.19.114涉及大量恶意域名的为起始标志的恶意域名爆发事件,正在继续发展并出现了新的变化:中国Tencent的云服务器的两个IP地址:119.28.48.237119.28.48.238涉及到上百个恶意域名;

涉及到海外的单个IP地址对应的恶意域名数量前10 位列表数据显示一直名列前茅的韩国的14.33.133.118221.150.237.185消失,标志着在大陆爆发后并迁往海外的持续近一年的一波恶意行为暂时告一段落

大陆的恶意地址地理分布排名列表中,北京、广东、江苏、浙江、河南、山东、上海、 湖南、河北、福建排列前十;

海外的恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国、英国、巴西、加拿大、俄罗斯、法国排列前十;

详情参见“恶意域名与地址跟踪”

1.3  下周安全预警等级

中度

2   安全漏洞

2.1   漏洞统计

本周统计漏洞数65个,其中高危漏洞21个,中危漏洞44个。漏洞数与前一周环比下降61.5%,与去年同期同比上升4.8%

最近四周漏洞数量示意图:

/_upload/article/images/90/f9/f177a2cd4d1681b4949a9e9aa675/c7d09614-94e7-4a3f-a1a4-6a7f8b70d45d.jpg

2.2   漏洞预警

2.2.1        Linux kernel 内核模块任意加载漏洞

标题

Linux   kernel 内核模块任意加载漏洞

发布日期

2015/3/2

更新日期

2015/3/2

危险等级

高危

受影响系统

Linux   kernel 3.18.5 之前的版本

详情描述

CVE编号:  CVE-2013-7421
   Bugraq ID

      Linux kernel
是开源操作系统Linux所使用的内核。Linux kernel 3.18.5 之前的版本存在内核模块任意加载漏洞,允许本地用户通过与 salg_name 字段中的模块名称 AF_ALG 插座 bind 系统调用加载任意内核模块。
以下是原始漏洞信息链接
   http://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.18.5

  

解决方案

厂商补丁
   linux
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.18.5

2.2.2        jBCrypt 整数溢出漏洞

标题

jBCrypt 整数溢出漏洞

发布日期

2015/1/22

更新日期

2015/1/22

危险等级

高危

受影响系统

jBCrypt   0.4 之前的版本

详情描述

CVE编号:  CVE-2015-0886
   Bugraq ID

      jBCrypt
是App开发者Niels ProvosDavid Mazieres共同研发的一个OpenBSD's Blowfish加密算法的Java实现。jBCrypt 0.4 之前的版本 makes 存在整数溢出漏洞,通过对哈希值与最大的指数关联的蛮力攻击。
以下是原始漏洞信息链接
   http://jvn.jp/en/jp/JVN77718330/index.html

  

解决方案

  

厂商补丁
   jBCrypt
   ---------
目前没有详细的解决方案,请到厂商的主页下载:http://www.mindrot.org/projects/jBCrypt/

2.2.3        Joyent Node.js dns-sync module 任意命令实行漏洞

标题

Joyent   Node.js dns-sync module 任意命令实行漏洞

发布日期

2015/2/27

更新日期

2015/2/27

危险等级

高危

受影响系统

dns-sync   module 0.1.1 之前的版本

详情描述

CVE编号:  CVE-2014-9682
   Bugraq ID

      Joyent Node.js dns-sync module
是美国Joyent企业的一套建立在谷歌 V8 JavaScript引擎之上的网络应用平台Joyent   Node.js中的一个允许以同步方式解析主机名的库。dns-sync module 0.1.1 之前的版本 for node.js  存在任意命令实行漏洞,使得攻击者能够依赖语境通过解决 API 函数的第一个参数的外壳元字符实行任意命令。
以下是原始漏洞信息链接
   https://github.com/skoranga/node-dns-sync/commit/d9abaae384b198db1095735ad9c1c73d7b890a0d

//code.google.com/p/chromium/issues/detail?id=416323

  

解决方案

  

厂商补丁
   Joyent
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://github.com/skoranga/node-dns-sync/commit/d9abaae384b198db1095735ad9c1c73d7b890a0d

2.2.4        Cisco Unified Computing System-Series servers 预期的访问限制绕过漏洞

标题

Cisco   Unified Computing System-Series servers 预期的访问限制绕过漏洞

发布日期

2015/2/25

更新日期

2015/2/25

危险等级

中危

受影响系统

Cisco   Unified Computing System 1.4之前的版本on C-Series servers 

详情描述

CVE编号:  CVE-2015-0633
   Bugraq ID

      Cisco Unified Computing System-Series servers
是美国思科(Cisco)企业的一套基于C系列刀片式服务器的统一计算系统。Cisco Unified Computing System 1.4earlier on C-Series   servers  存在预期的访问限制绕过漏洞,允许远程攻击者通过在本地网络上发送精心编制的 DHCP 响应数据包绕过预期的访问限制。
以下是原始漏洞信息链接
   http://tools.cisco.com/security/center/content/

CiscoSecurityNotice/CVE-2015-0633

  

解决方案

  

厂商补丁
   Cisco
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/content/

CiscoSecurityNotice/CVE-2015-0633

2.2.5        Fortinet FortiMail 跨站点脚本漏洞

标题

Fortinet   FortiMail 跨站点脚本漏洞

发布日期

2015/3/4

更新日期

2015/3/4

危险等级

中危

受影响系统

Fortinet   FortiMail 4.3.9, 之前的版本 5.0.8, 之前的 5.0.x版本 5.1.5,5.2.x 之前的 5.2.3 之前的 5.1.x版本版本

详情描述

CVE编号:  CVE-2014-8617
   Bugraq ID

      Fortinet FortiMail
是美国飞塔(Fortinet)企业的一款邮件信息安全设备,它提供信息过滤引擎、反垃圾邮件和威胁防御等功能。Fortinet FortiMail 4.3.9, 之前的版本 5.0.8, 之前的 5.0.x版本 5.1.5,5.2.x 之前的 5.2.3 之前的 5.1.x版本版本存在跨站点脚本漏洞,允许远程攻击者通过模块/发出的释放参数注入任意 web 脚本或 HTML
以下是原始漏洞信息链接
   http://www.fortiguard.com/advisory/FG-IR-15-005/

  

解决方案

  

厂商补丁
   Fortinet
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.fortiguard.com/advisory/FG-IR-15-005/

3  恶意域名与地址跟踪

3.1  总体情况

本期从国家权威部门获取的恶意域名数是20个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是12559个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

?   根据分析单个IP地址对应的恶意域名数量前10位列表,发现一直跟踪的在去年九月爆发的大量恶意域名对涉及的恶意地址数量持续减少,目前还有一个湖北襄阳的地址,一个浙江电信地址,两个山西吕梁地址共四个地址;其次以北京的万网志成科技有限企业的112.124.19.114涉及大量恶意域名的为起始标志的恶意域名爆发事件,正在继续发展,出现了新的变化,如出现了中国Tencent的云服务器的两个IP地址:119.28.48.237119.28.48.238。另外一直排列前茅的韩国的14.33.133.118221.150.237.185消失,标志着在大陆爆发后并迁往海外的持续近一年的一波恶意行为暂时告一段落;大家还要继续关注这些恶意地址的变化情况

?   本期全部有效地址数量是2797个,其中海外有效地址数量是1810个,大陆有效地址数量是987个,全部有效地址较上周相比增加29个,增幅为1.05%;海外地址数量较上周出现了大幅增长,而大陆地址数量较上周相比有小幅减少;

?   总的来说,尽管大陆的恶意地址数量出现了小幅下降,但是海外地址数量无论是存活地址还是新增地址数量均出现了本年度新高,结果是目前全部恶意地址数量还是基本保持在高位,在目前两会关键时期,大家需要密切关注这些恶意地址变化情况。以下是本统计期的数量趋势图。

/_upload/article/images/90/f9/f177a2cd4d1681b4949a9e9aa675/9e883ce6-6e65-452e-a46e-7f0b91730d2e.jpg

3.2  单个IP地址对应的恶意域名数量前10位分析

3.2.1        涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

大家看到跟前一周的记录相比,前10位的地址继续出现了变化。中国Tencent的云服务器的两个IP地址:119.28.48.237119.28.48.238首次进入前十位,而上海市 移动的221.130.179.36和联通的111.206.120.34被排除在前十位中;

对于一直跟踪的在去年九月爆发的大量恶意域名对涉及的恶意地址中,目前还有一个湖北襄阳的地址,一个浙江电信地址,两个山西吕梁地址共四个地址。

对于中国Tencent旗下的的云服务器的两个IP地址:119.28.48.237119.28.48.238,大家发现它们对应的恶意域名对跟前期的北京的万网志成科技有限企业的112.124.19.114对应的恶意域名对类似,例如 [XXXX].0519mr.net [XXXX].bjsyedu.cnxasobe.mingyuanjiafang.com等,这标志着以北京的万网志成科技有限企业的112.124.19.114涉及大量恶意域名的为起头的恶意域名爆发事件,正在继续发展,出现了新的变化。大家需要继续关注。

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

112.124.19.114

北京市 万网志成科技有限企业

TRUE

1821

6

111.177.111.83

湖北省襄阳市 电信

TRUE

1460

23

60.221.255.11

山西省吕梁地区 联通

TRUE

1408

23

60.221.255.10

山西省吕梁地区 联通

TRUE

857

4

119.28.48.237

中国

TRUE

663

1

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

TRUE

386

67

119.28.48.238

中国

TRUE

369

1

219.150.241.46

河南省南阳市 电信

TRUE

203

67

118.184.176.13

中国

TRUE

196

15

183.136.235.15

浙江省 电信

TRUE

183

23

3.2.2        涉及到海外的单个IP地址对应的恶意域名数量前10位分析

大家看到跟前一周的记录相比,海外前10位地址列表出现也出现了一些变化,一直排列前茅的韩国的14.33.133.118221.150.237.185消失,而新增了美国的54.235.159.97 208.91.197.132;这两个韩国地址的消失,标志着在大陆爆发后并迁往海外的持续近一年的一波恶意行为暂时告一段落;

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表(黄色的代表新增):

IP地址

位置

是否属于大陆

域名数量

连续存活周期

88.198.132.3

德国

FALSE

269

77

54.235.159.97

美国   新泽西州Merck企业

FALSE

125

9

67.208.74.71

美国

FALSE

112

178

103.232.215.133

香港

FALSE

84

2

216.38.62.18

美国

FALSE

68

149

5.135.146.24

法国

FALSE

61

87

5.135.149.81

法国

FALSE

61

79

208.91.197.132

美国

FALSE

43

1

199.2.137.201

美国

FALSE

42

79

112.175.243.12

韩国

FALSE

40

8

  

3.3  大陆和海外的恶意地址地理分布情况

3.3.1        大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,北京、广东、江苏、浙江、河南位居前五;而湖南、河北、福建等中部地区继续保持在前十位,西部地区如四川已不见踪影。以下是排名前十的具体的数字:

地区

北京

广东

江苏

浙江

河南

山东

上海

湖南

河北

福建

数量

133

130

97

97

61

53

36

32

32

30

以下是分布示意图:

/_upload/article/images/90/f9/f177a2cd4d1681b4949a9e9aa675/4b50fdc2-0291-4ead-831a-e8bf5473e1f7.jpg

3.3.2        海外恶意地址地理分布情况

在本周海外恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国、英国、巴西、加拿大、俄罗斯、法国分列前十位,英国和巴西的排名相对靠前,加拿大排名相对靠后。

以下是排名前十的具体的数字:

地区

美国

荷兰

香港

韩国

德国

英国

巴西

加拿大

俄罗斯

法国

数量

810

258

207

147

56

30

28

26

25

20

以下是分布示意图:

/_upload/article/images/90/f9/f177a2cd4d1681b4949a9e9aa675/f52f3cb1-6e83-44c5-a794-45abf8910011.jpg

  


网络服务
XML 地图 | Sitemap 地图