当前位置:首页  网络服务  病毒报警
第六周安全通告
发布人:系统管理员  发布时间:2015-04-07   浏览次数:11


总体情况

1.1 本周漏洞情况

本周统计CVE漏洞153个,其中高危漏洞59个,中危漏洞87个,低危漏洞7个。漏洞数与前一周环比上升139.1%,与去年同期同比上升57.7%

本周主要记录了Mozilla Firefox 37.0 之前的版本存在的多个高危漏洞,可能允许远程攻击者通过未知向量导致拒绝服务或实行任意代码;也记录了Cisco IOS 12.2, 12.4, 15.0, 15.2, 15.3,15.4 IOS XE 3.10.xS  3.13.1S 之前的 3.13.xS版本存在的多个高危漏洞,可能允许远程攻击者通过未知向量导致拒绝服务;还记录了McAfee Data Loss Prevention Endpoint 9.3 Patch 4 Hotfix 16 之前的版本存在的多个跨站点脚本漏洞,可能允许已通过身份验证的远程用户通过未指定向量注入任意 web 脚本或 HTML;同时也记录了SAPMcafeeWebsense等多家企业的产品的多个漏洞;

另外还关注了工业控制系统企业如霍尼韦尔、施耐德电气、江森自控、美国XZERES企业的多个产品的多个漏洞,可能允许攻击者获取机密信息、权限提升及远程代码实行;

欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;

1.2  本周恶意域名与地址跟踪情况

本次统计期恶意地址数量在前一周创出年内新低后,出现了大幅反弹的走势,不过仍然处于年内的次低点。大家还需要密切继续关注这些恶意地址变化情况;

在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,前十位的排名均出现了变化,大家将继续跟踪观察这种新的状态的稳定情况。

在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、北京、浙江、江苏、河南位居前五,跟前一周相比江苏浙江互换排名位置;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港荷兰互换排名位置;

详情参见“恶意域名与地址跟踪”

1.3  下周安全预警等级

2  安全漏洞

2.1 漏洞统计

本周统计CVE漏洞153个,其中高危漏洞59个,中危漏洞87个,低危漏洞7个。漏洞数与前一周环比上升139.1%,与去年同期同比上升57.7%

最近四周漏洞数量示意图:

/_upload/article/images/ea/58/9eb6a30f40f3bf7ada344f5c47fa/19a9e6b7-db48-4d80-a9b7-0cb0a79d476f.jpg

2.2  漏洞预警

2.2.1  Mozilla Firefox 释放后重用漏洞

标题

Mozilla Firefox 释放后重用漏洞

发布日期

2015/4/1

更新日期

2015/4/1

危险等级

高危

受影响系统

Mozilla Firefox 37.0, 之前的版本 Firefox ESR   31.6之前的 31.x版本 ,Thunderbird   31.6之前的版本 on Linux  

详情描述

CVE编号:  CVE-2015-0813
   Bugraq ID

      Mozilla Firefox
是由Mozilla基金会与开源团体共同开发的网页浏览器。Mozilla Firefox 37.0, 之前的版本 Firefox   ESR 31.6,Thunderbird 之前的 31.6 之前的 31.x版本版本 on Linux 存在释放后重用漏洞,允许远程攻击者通过精心编制的 MP3 文件实行任意代码或导致拒绝服务。
以下是原始漏洞信息链接
   http://www.mozilla.org/security/announce/2015/

mfsa2015-31.html

  

解决方案

厂商补丁
   Mozilla
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.mozilla.org/security/announce/2015/

mfsa2015-31.html

2.2.2  Mozilla Firefox 中间人攻击漏洞

标题

Mozilla Firefox 中间人攻击漏洞

发布日期

2015/4/1

更新日期

2015/4/1

危险等级

中危

受影响系统

Mozilla Firefox 37.0 之前的版本

详情描述

CVE编号:  CVE-2015-0812
   Bugraq ID

      Mozilla Firefox
是由Mozilla基金会与开源团体共同开发的网页浏览器。Mozilla Firefox 37.0 之前的版本 存在中间人攻击漏洞,允许中间人攻击通过部署一个精心编制的网站并进行 mozillaorg 子域的 DNS 欺骗攻击通过预期的用户确认需求。
以下是原始漏洞信息链接
   http://www.mozilla.org/security/announce/2015/

mfsa2015-32.html

  

解决方案

  

厂商补丁
   Mozilla
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.mozilla.org/security/announce/2015/

mfsa2015-32.html

  

2.2.3  Cisco IOS 拒绝服务漏洞

标题

Cisco IOS 拒绝服务漏洞

发布日期

2015/3/26

更新日期

2015/3/26

危险等级

高危

受影响系统

Cisco IOS 12.2, 12.4, 15.0, 15.2,   15.3,15.4 IOS XE 3.10.xS  3.13.1S 之前的 3.13.xS版本

详情描述

CVE编号:  CVE-2015-0636
   Bugraq ID

      Cisco IOS
是多数Cisco 系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS 12.2, 12.4, 15.0, 15.2, 15.3,15.4 IOS XE 3.10.xS  3.13.1S 之前的 3.13.xS版本存在拒绝服务漏洞,允许远程攻击者通过欺骗重置一个有限状态机的消息导致拒绝服务。
以下是原始漏洞信息链接
   http://tools.cisco.com/security/center/content/

CiscoSecurityAdvisory/cisco-sa-20150325-ani

  

解决方案

  

厂商补丁
   Cisco
   ---------
   <!--[if !supportLineBreakNewLine]-->

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/content/

CiscoSecurityAdvisory/cisco-sa-20150325-ani

  

2.2.4  McAfee Data Loss Prevention Endpoint 多个跨站点请求伪造漏洞

标题

McAfee Data Loss Prevention Endpoint 多个跨站点请求伪造漏洞

发布日期

2015/3/27

更新日期

2015/3/27

危险等级

中危

受影响系统

McAfee Data Loss Prevention Endpoint 9.3 之前的版本 Patch 4   Hotfix 16 

详情描述

CVE编号:  CVE-2015-2759
   Bugraq ID

      McAfee Data Loss Prevention Endpoint
是美国迈克菲(McAfee)企业的一套集成式终端数据保护解决方案。该方案能够防止机密数据被盗和意外泄露,并提供针对文件处理和传输的安全策略、共享终端数据流控制和数据加密等功能。McAfee Data Loss Prevention Endpoint 9.3 之前的版本 Patch 4 Hotfix 16  存在多个跨站点请求伪造漏洞,允许远程攻击者通过未指定向量劫持用户为获取敏感信息或修改数据库的请求的身份验证。
以下是原始漏洞信息链接
   https://kc.mcafee.com/corporate/index?page=content&id=SB10111

  

解决方案

  

厂商补丁
   McAfee
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://kc.mcafee.com/corporate/index?page=content&id=SB10111

2.2.5  Johnson Controls Metasys 无限制的文件上载漏洞

标题

Johnson Controls Metasys 无限制的文件上载漏洞

发布日期

2015/3/29

更新日期

2015/3/29

危险等级

高危

受影响系统

Johnson Controls Metasys 4.1  6.5

详情描述

CVE编号:  CVE-2014-5428
   Bugraq ID

      Johnson Controls Metasys
是美国江森自控(Johnson   Controls)企业的一套楼宇自控系统。该系统可通过多种开放协议或标准接口与消防、安防等弱电子系统联网,为安全访问提供系统完整性。Johnson Controls Metasys 4.1  6.5 存在无限制的文件上载漏洞,允许远程攻击者通过上传一个 shell 脚本实行任意代码。
以下是原始漏洞信息链接
   https://ics-cert.us-cert.gov/advisories/ICSA-14-350-02

  

解决方案

  

厂商补丁
   Johnson Controls
   ---------
目前没有详细的解决方案,请到厂商的主页下载:http://www.johnsoncontrols.com

恶意域名与地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是74个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是12828个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

?   根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆和海外的地址列表排名均出现了变化,保持了两周平衡被打破,大家将继续观察这种新的状态的稳定情况。

在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、北京、江苏、浙江、河南位居前五,跟前一周相比江苏浙江互换排名位置;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比香港和荷兰再次互换位置;

?   本期全部有效地址数量是2075个,其中海外有效地址数量是1282个,大陆有效地址数量是793个,全部有效地址较上周相比增加501个,增幅达到为31.8%;海外地址和大陆地址数量较上周均出现了大幅上升。

?   本次统计期恶意地址数量在前一周创出年内新低后,出现了大幅反弹的走势,不过仍然处于年内的次低点。大家还需要密切继续关注这些恶意地址变化情况。以下是本统计期的数量趋势图。

/_upload/article/images/ea/58/9eb6a30f40f3bf7ada344f5c47fa/0e9ffb7c-614f-44b9-bf1f-b5a18463e21e.jpg

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

大家看到跟前一周的记录相比,前10位的地址出现了变化,持续出现4周的Tencent云服务器119.28.48.237119.28.48.238和上海移动的221.130.179.36三个地址消失;天津市 联通的60.28.14.125、广东省深圳市 电信(龙岗/南山区)219.134.132.88和浙江省 电信的183.136.235.15三个地址新增;

另外对于北京市联通的111.206.120.34,它的排名大幅靠前。这个地址涉及的恶意域名数量从前一周的90个排名第10,大幅上升到本周的542个排名第5。这个地址也跟{XXXX].0519mr.net [XXXX].bjsyedu.cnxasobe.mingyuanjiafang.com等恶意域名有关。这说明以北京的万网志成科技有限企业的112.124.19.114涉及大量恶意域名的为起头的恶意域名爆发事件,正在继续发展,从Tencent云服务器119.28.48.237119.28.48.238转向北京市联通的111.206.120.34

而去年九月爆发的大量恶意域名对涉及的恶意地址中,目前还有一个湖北襄阳的地址,一个浙江电信地址,两个山西吕梁地址共四个地址,依旧存在。

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表,黄色标记需要重点关注的地址:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

112.124.19.114

北京市 万网志成科技有限企业

TRUE

1847

10

111.177.111.83

湖北省襄阳市 电信

TRUE

1477

27

60.221.255.11

山西省吕梁地区 联通

TRUE

1442

27

60.221.255.10

山西省吕梁地区 联通

TRUE

1010

8

111.206.120.34

北京市 联通

TRUE

542

29

60.28.14.125

天津市 联通

TRUE

493

33

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

TRUE

386

1

219.150.241.46

河南省南阳市 电信

TRUE

203

71

118.184.176.13

广西

TRUE

196

19

183.136.235.15

浙江省 电信

TRUE

183

1

  

3.2.2  涉及到海外的单个IP地址对应的恶意域名数量前10位分析

大家看到跟前一周的记录相比,海外前10位地址列表出现一个变化,韩国的112.175.243.12消失,而新增了一个香港的地址103.232.215.133,这个地址反复较大,值得持续关注

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表,黄色标记代表本周新出现的地址:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

88.198.132.3

德国

FALSE

269

81

54.235.159.97

美国 新泽西州Merck企业

FALSE

125

13

67.208.74.71

美国

FALSE

112

182

103.232.215.133

香港

FALSE

89

1

216.38.62.18

美国

FALSE

68

153

5.135.146.24

法国

FALSE

61

91

5.135.149.81

法国

FALSE

61

83

208.91.197.132

美国

FALSE

55

5

69.46.84.51

美国

FALSE

43

24

199.2.137.201

美国

FALSE

42

83

3.3  大陆和海外的恶意地址地理分布情况

3.3.1 大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,广东、北京、江苏、浙江、河南位居前五,浙江江苏互换位置;第六到第十的排名福建替换河北进入前十;其他排名不变;

地区

广东

北京

江苏

浙江

河南

山东

湖南

江西

上海

福建

数量

104

101

91

79

52

43

31

26

25

25

以下是分布示意图:

/_upload/article/images/ea/58/9eb6a30f40f3bf7ada344f5c47fa/4bd31fd3-cd3c-43a7-a0fe-fadba22dbd52.jpg

3.3.2  海外恶意地址地理分布情况

  

在本周海外恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,香港和荷兰再次互换位置;巴西和加拿大的排名相对靠前,没有出现新的地区。

以下是排名前十的具体的数字:

地区

美国

荷兰

香港

韩国

德国

巴西

加拿大

俄罗斯

英国

法国

数量

592

186

160

91

45

22

17

14

13

13

  

以下是分布示意图:

/_upload/article/images/ea/58/9eb6a30f40f3bf7ada344f5c47fa/9839887a-9a93-473f-a766-487621bbee9d.jpg

  


网络服务
XML 地图 | Sitemap 地图