当前位置:首页  网络服务  病毒报警
第八周安全通告
发布人:系统管理员  发布时间:2015-04-20   浏览次数:10


1  总体情况

1.1 本周漏洞情况

本周统计CVE漏洞164个,其中高危漏洞80个,中危漏洞70个,低危漏洞14个。漏洞数与前一周环比上升113%,与去年同期同比下降23.4%

本周主要记录了Adobe Flash Player 13.0.0.281 之前的14.x  17.0.0.169 之前的 17.x Windows版本存在的多个高危漏洞;MicroSoft企业四月安全公告通报的IEwindowsOfficeSharePoint等产品出现的多个高危漏洞;苹果企业的OS X IOSwebkit等产品存在的多个高危漏洞;

本周重点关注的一个漏洞是编号为CVE-2015-1635 Windows HTTP.SYS远程代码实行漏洞,远程攻击者通过精心编制的 HTTP 请求实行任意代码。目前这个漏洞的验证代码已经公开需要重点关注后续该事件的发展,是否会出现比较易用的利用代码;

欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;

1.2  本周恶意域名与地址跟踪情况

本次统计期恶意地址数量继续大幅震荡。在前一周出现下降的基础上,又创出年内的次高点,目前是否已经扭转了前期持续的下降趋势,大家还将继续关注;

在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,跟前一周相比大陆没有变化,而海外出现了一个香港的地址的变化;

在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、江苏、北京、浙江、河南位居前五,跟前一周相比江苏和北京互换位置,江苏的排名这两周持续走高,需要关注;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰再次互换位置;

最近发现香港的恶意地址持续保持活跃状态,需要持续关注;

详情参见“恶意域名与地址跟踪”

1.3  下周安全预警等级

中度偏高

安全漏洞

2.1  漏洞统计

本周统计CVE漏洞164个,其中高危漏洞80个,中危漏洞70个,低危漏洞14个。漏洞数与前一周环比上升113%,与去年同期同比下降23.4%

最近四周漏洞数量示意图:

/_upload/article/images/fd/6d/b68ecaba4510b01b886ebd840642/d88b587e-f738-4dd8-a7bf-6a7664819944.jpg

2.2  漏洞预警

2.2.1 微软 Windows HTTP.SYS远程代码实行漏洞

标题

微软 Windows HTTP.SYS远程代码实行漏洞

发布日期

2015/4/14

更新日期

2015/4/14

危险等级

高危

受影响系统

微软 Windows 7 SP1, Windows Server   2008 R2 SP1, Windows 8, Windows 8.1,Windows Server 2012 Gold R2 

详情描述

CVE编号:  CVE-2015-1635
   Bugraq ID

      微软 Windows
是美国MicroSoft(微软)企业推出的一系列为个人电脑和服务器用户设计的操作系统。微软 Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8,   Windows 8.1,Windows Server 2012 Gold R2  存在任意代码实行漏洞,允许远程攻击者通过精心编制的 HTTP 请求实行任意代码。
以下是原始漏洞信息链接
   http://technet.microsoft.com/security/bulletin/MS15-034

  

解决方案

  

厂商补丁
   微软
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://technet.microsoft.com/security/bulletin/MS15-034

2.2.2  Adobe Flash Player 缓冲区溢出漏洞

标题

Adobe Flash Player 缓冲区溢出漏洞

发布日期

2015/4/14

更新日期

2015/4/14

危险等级

高危

受影响系统

Adobe Flash Player 13.0.0.281 之前的版本 14.x  17.0.0.169 之前的 17.x版本 on Windows OS X 11.2.202.457 之前的版本 on Linux 

详情描述

CVE编号:  CVE-2015-0348
   Bugraq ID

      Adobe Flash Player
是美国奥多比(Adobe)企业的一款跨平台、基于浏览器的多媒体播放器产品。该产品支撑跨屏幕和浏览器查看应用程序、内容和视频。。Adobe Flash Player 13.0.0.281 之前的版本 14.x  17.0.0.169 之前的 17.x版本 on Windows OS X 11.2.202.457 之前的版本 on Linux  存在缓冲区溢出漏洞,允许攻击者通过未指定向量实行任意代码。
以下是原始漏洞信息链接
   https://helpx.adobe.com/security/products/flash-player/apsb15-06.html

  

解决方案

厂商补丁
   Adobe
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb15-06.html

2.2.3  Adobe Flash Player 拒绝服务漏洞

标题

Adobe Flash Player 拒绝服务漏洞

发布日期

2015/4/14

更新日期

2015/4/14

危险等级

高危

受影响系统

Adobe Flash Player 13.0.0.281 之前的版本 14.x  17.0.0.169 之前的 17.x版本 on Windows OS X 11.2.202.457 之前的版本 on Linux    

详情描述

CVE编号:  CVE-2015-0347
   Bugraq ID

      Adobe Flash Player
是美国奥多比(Adobe)企业的一款跨平台、基于浏览器的多媒体播放器产品。该产品支撑跨屏幕和浏览器查看应用程序、内容和视频。Adobe Flash Player 13.0.0.281 之前的版本 14.x  17.0.0.169 之前的 17.x版本 on Windows OS X 11.2.202.457 之前的版本 on Linux  存在拒绝服务漏洞,允许攻击者通过未指定向量触发与 CVE-2015-0350 CVE-2015-0352 CVE-2015-0353 CVE-2015-0354   CVE-2015-0355 CVE-2015-0360 CVE-2015-3038 CVE-2015-3041 CVE-2015-3042不同的另外一个漏洞,可导致实行任意代码或导致拒绝服务。
以下是原始漏洞信息链接
   https://helpx.adobe.com/security/products/flash-player/apsb15-06.html

  

解决方案

  

厂商补丁
   Adobe
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb15-06.html

2.2.4  微软 Internet Explorer 拒绝服务漏洞

标题

微软 Internet Explorer 拒绝服务漏洞

发布日期

2015/4/14

更新日期

2015/4/14

危险等级

高危

受影响系统

微软 Internet Explorer 6  11 

详情描述

CVE编号:  CVE-2015-1652
   Bugraq ID

      微软 Internet Explorer
是美国MicroSoft(微软)企业推出的并与Windows操作系统捆绑在一起的流行的Web浏览器。微软 Internet Explorer 6  11  存在拒绝服务漏洞,允许远程攻击者通过精心编制的网站实行任意代码或导致拒绝服务。
以下是原始漏洞信息链接
   http://technet.microsoft.com/security/bulletin/MS15-032

  

解决方案

  

厂商补丁
   微软
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://technet.microsoft.com/security/bulletin/MS15-032

2.2.5  Apple OS X 拒绝服务漏洞

标题

Apple OS X 拒绝服务漏洞

发布日期

2015/4/10

更新日期

2015/4/10

危险等级

高危

受影响系统

Apple OS X 10.10.3 之前的版本

详情描述

CVE编号:  CVE-2015-1139
   Bugraq ID

      Apple OS X
是苹果家族机器所使用的操作系统。Apple OS X   10.10.3 之前的版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的 sgi 文件实行任意代码或导致拒绝服务。
以下是原始漏洞信息链接
   https://support.apple.com/HT204659

  

解决方案

  

厂商补丁
   Apple
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://support.apple.com/HT204659

  

3  恶意域名与地址跟踪

3.1  总体情况

本期从国家权威部门获取的恶意域名数是59个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是12895个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

根据分析单个IP地址对应的恶意域名数量前10位列表的结果,跟前一周相比大陆没有变化,而海外出现了一个香港的地址的变化;

在本统计期的大陆的恶意地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,跟前一周相比,北京和广东互换位置,而江苏的排名继续排名保持第二;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰再次互换位置;

本期全部有效地址数量是2183个,其中海外有效地址数量是1372个,大陆有效地址数量是811个,全部有效地址较上周相比增加295个,增幅达到15.63%;海外地址和大陆地址数量较上周均出现了大幅上升。

本次统计期恶意地址数量继续大幅震荡。在前一周出现下降的基础上,又创出年内的次高点,目前是否已经扭转了前期持续的下降趋势,大家还将继续关注。以下是本统计期的数量趋势图。

/_upload/article/images/fd/6d/b68ecaba4510b01b886ebd840642/0bfbfb07-7a4e-4266-8abf-c2dee8a2061a.jpg

3.2  IP地址对应的恶意域名数量前10位分析

3.2.1  涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

大家看到跟前一周的记录相比,前10位的地址保持不变。北京市联通的111.206.120.34和天津市 联通的60.28.14.125涉及的恶意域名对的数量继续上升,这些恶意域名对正是跟前期的北京的万网志成科技有限企业的112.124.19.114对应的恶意域名对类似,例如 [XXXX].0519mr.net[XXXX] .bjsyedu.cnxasobe.mingyuanjiafang.com等,这标志着以北京的万网志成科技有限企业的112.124.19.114涉及大量恶意域名的为起头的恶意域名爆发事件,正在继续发展,出现了新的变化。

而去年九月爆发的大量恶意域名对涉及的恶意地址中,目前还有一个湖北襄阳的地址,一个浙江电信地址,两个山西吕梁地址共四个地址,它们涉及到的恶意域名数量还是保持在高位,也需要继续关注。

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表,黄色标记需要重点关注的地址:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

112.124.19.114

北京市 万网志成科技有限企业

TRUE

1849

12

111.177.111.83

湖北省襄阳市 电信

TRUE

1480

29

60.221.255.11

山西省吕梁地区 联通

TRUE

1447

29

60.221.255.10

山西省吕梁地区 联通

TRUE

1027

10

111.206.120.34

北京市 联通

TRUE

941

31

60.28.14.125

天津市 联通

TRUE

917

35

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

TRUE

386

3

219.150.241.46

河南省南阳市 电信

TRUE

203

73

118.184.176.13

广西

TRUE

196

21

183.136.235.15

浙江省 电信

TRUE

183

3

3.2.2  涉及到海外的单个IP地址对应的恶意域名数量前10位分析

大家看到跟前一周的记录相比,海外前10位地址列表中香港的一个地址103.232.215.133消失,新增了一个香港的地址103.232.215.137。对这两个地址深入分析发现它们都是对应的类似xxxx.dyjclj.com的恶意域名;

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表,黄色标记为新增地址。

IP地址

位置

是否属于大陆

域名数量

连续存活周期

88.198.132.3

德国

FALSE

269

83

54.235.159.97

美国 新泽西州Merck企业

FALSE

125

15

67.208.74.71

美国

FALSE

112

184

216.38.62.18

美国

FALSE

68

155

5.135.146.24

法国

FALSE

61

93

5.135.149.81

法国

FALSE

61

85

208.91.197.132

美国

FALSE

56

7

69.46.84.51

美国

FALSE

48

26

103.232.215.137

香港

FALSE

45

10

199.2.137.201

美国

FALSE

42

85

3.3  大陆和海外的恶意地址地理分布情况

3.3.1  大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,跟前一周相比,北京和广东互换位置,而江苏的排名继续排名保持第二;第六到第十的排名江西替换天津再次进入前十;

地区

北京

江苏

广东

浙江

河南

山东

湖南

江西

福建

上海

数量

109

104

95

84

46

38

32

30

27

24

以下是分布示意图:

/_upload/article/images/fd/6d/b68ecaba4510b01b886ebd840642/8bdb0399-4542-43f6-9795-613d7e17b79b.png

3.3.2  海外恶意地址地理分布情况

在本周海外恶意地址地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比,前十名位置没有发生变化;

以下是排名前十的具体的数字:

地区

美国

香港

荷兰

韩国

德国

巴西

俄罗斯

英国

法国

加拿大

数量

602

199

194

105

41

21

19

18

16

14

  

以下是分布示意图:

/_upload/article/images/fd/6d/b68ecaba4510b01b886ebd840642/d8dd25e9-d54e-45a5-820f-222e85e61355.png

  


网络服务
XML 地图 | Sitemap 地图