当前位置:首页  网络服务  病毒报警
第十周安全通告
发布人:系统管理员  发布时间:2015-05-04   浏览次数:14


总体情况

1.1 本周漏洞情况

本周统计CVE漏洞45个,其中高危漏洞16个,中危漏洞27个,低危漏洞2个。漏洞数与前一周环比下降77.5%,与去年同期同比下降54.1%

本周主要记录跟踪了CiscoIBMHPRed Hat等厂商的多个产品的多个漏洞;

本周漏洞关注到二个开源App的高危漏洞。一个是支撑WEPWPA/WPA2WAPI无线协议和加密认证的程序wpa_supplicant存在基于堆的缓冲区溢出漏洞,可能导致读取内存,或实行任意代码;一个是免费的可以实行音讯和视讯多种格式的录影、转档、串流功能的AppFFmpeg存在释放后重用漏洞,可能导致拒绝服务或其他未知影响;

欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;

1.2  本周恶意域名与地址跟踪情况

本次统计期恶意地址数量在前一周创下本年最高点以后出现了明显的回落态势,整体图形上出现了区间整理的苗头;

在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,需要重点关注这两个新增地址,一个是浙江的183.136.235.15,一个是香港的123.1.151.85,它们涉及恶意域名的数量分别是183个和43个;

在本统计期的大陆的恶意地址数量地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,广东和江苏互换位置,江苏排名第三,广东排名第四;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比,荷兰和香港交换位置;

详情参见“恶意域名与地址跟踪”

1.3  下周安全预警等级

中度

2  安全漏洞

2.1 漏洞统计

本周统计CVE漏洞45个,其中高危漏洞16个,中危漏洞27个,低危漏洞2个。漏洞数与前一周环比下降77.5%,与去年同期同比下降54.1%

最近四周漏洞数量示意图:

/_upload/article/images/9b/1f/0002bf614db798390698ce7acd0f/29f15887-5838-4c8d-8b3c-adb727190123.jpg

2.2  漏洞预警

2.2.1 wpa_supplicant 基于堆的缓冲区溢出漏洞

标题

wpa_supplicant 基于堆的缓冲区溢出漏洞

发布日期

2015/4/28

更新日期

2015/4/28

危险等级

高危

受影响系统

wpa_supplicant 1.0  2.4      

详情描述

CVE编号:  CVE-2015-1863
   Bugraq ID

      wpa_supplicant
是App开发者Jouni Malinen和其他贡献者共同开发的一套运行在后台的守护程序,它主要用来支撑WEPWPA/WPA2WAPI无线协议和加密认证。wpa_supplicant 1.0  2.4  存在基于堆的缓冲区溢出漏洞,允许远程攻击者通过精心编制的 SSID 信息在创建或更新 P2P 条目时的管理框架导致拒绝服务 (崩溃),读取内存,或可能实行任意代码。
以下是原始漏洞信息链接
   http://w1.fi/security/2015-1/wpa_supplicant-p2p-ssid-overflow.txt

  

解决方案

  

厂商补丁
   wpa_supplicant
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://w1.fi/security/2015-1/wpa_supplicant-p2p-ssid-overflow.txt

2.2.2  Cisco FireSIGHT Management Center  打开重定向漏洞

标题

Cisco FireSIGHT Management Center  打开重定向漏洞

发布日期

2015/4/22

更新日期

2015/4/22

危险等级

中危

受影响系统

Cisco FireSIGHT Management Center

详情描述

CVE编号:  CVE-2015-0706
   Bugraq ID

      Cisco FireSIGHT Management Center
是美国思科(Cisco)企业的一套支撑集中管理采用FirePOWER ServicesCisco ASA和思科FirePOWER网络安全设备的网络安全和运行功能的管理中心App。Cisco   FireSIGHT Management Center  存在打开重定向漏洞,允许远程攻击者通过精心编制的 HTTP 标头将用户重定向到任意的 web 站点,并进行网络钓鱼攻击。
以下是原始漏洞信息链接
   http://tools.cisco.com/security/center/viewAlert.x?alertId=38486

  

解决方案

厂商补丁
   Cisco
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/viewAlert.x?alertId=38486

2.2.3  HP TippingPoint Security Management System TippingPoint Virtual Security Management System 任意代码实行漏洞

标题

HP TippingPoint Security Management   System TippingPoint Virtual Security Management System 任意代码实行漏洞

发布日期

2015/4/16

更新日期

2015/4/16

危险等级

中危

受影响系统

HP TippingPoint Security Management   System TippingPoint Virtual Security Management System 4.1 之前的版本

详情描述

CVE编号:  CVE-2015-2117
   Bugraq ID

      HP TippingPoint Security Management System
是美国惠普(HP)企业的企业级安全管理系统。该系统提供HP TippingPoint产品部署、安全策略制定和高级威胁防护等功能。vSMS是虚拟版安全管理系统。HP TippingPoint Security   Management System TippingPoint Virtual Security Management System 4.1 之前的版本 patch 3 4.2 before patch 1 存在任意代码实行漏洞,允许远程攻击者通过上载此代码中的存档或实例化类实行任意代码。
以下是原始漏洞信息链接
   https://h20564.www2.hp.com/portal/site/hpsc/

public/kb/docDisplay?docId=emr_na-c04626974

  

解决方案

  

厂商补丁
   HP
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://h20564.www2.hp.com/portal/site/hpsc

/public/kb/docDisplay?docId=emr_na-c04626974

2.2.4  IBM WebSphere Application Server 权限提升漏洞

标题

IBM WebSphere Application Server 权限提升漏洞

发布日期

2015/4/27

更新日期

2015/4/27

危险等级

高危

受影响系统

IBM WebSphere Application Server   7.0.0.39, 之前的 7.0版本 8.0.0.11, 之前的 8.0版本  Liberty Profile 8.5.5.5,之前的8.5版本

详情描述

CVE编号:  CVE-2015-1885
   Bugraq ID

      IBM WebSphere Application Server
是美国IBM企业的遵照开放标准开发并发行的一种应用服务器。IBM WebSphere Application Server 7.0.0.39, 之前的 7.0版本 8.0.0.11, 之前的 8.0版本 8.5 Liberty Profile   8.5.5.5,8.5 之前的版本 Full Profile 8.5.5.6 之前的版本   存在权限提升漏洞,允许远程攻击者通过未指定向量获得权限。
以下是原始漏洞信息链接
   http://www-01.ibm.com/support/docview.wss?uid=swg1PI36211

  

  

解决方案

  

厂商补丁
   IBM
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www-01.ibm.com/support/docview.wss?uid=swg1PI36211

  

2.2.5  FFmpeg 释放后重用漏洞

标题

FFmpeg 释放后重用漏洞

发布日期

2015/4/24

更新日期

2015/4/24

危险等级

高危

受影响系统

FFmpeg 2.3.6 之前的版本

详情描述

CVE编号:  CVE-2015-3417
   Bugraq ID

      FFmpeg
是一个免费的可以实行音讯和视讯多种格式的录影、转档、串流功能的App。FFmpeg   2.3.6 之前的版本存在释放后重用漏洞,允许远程攻击者通过精心设计 H264 MP4 文件中的数据导致拒绝服务或可能有未指定的其他影响。
以下是原始漏洞信息链接
   https://github.com/FFmpeg/FFmpeg/commit/

e8714f6f93d1a32f4e4655209960afcf4c185214

  

解决方案

  

厂商补丁
   FFmpeg
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://github.com/FFmpeg/FFmpeg/commit/

e8714f6f93d1a32f4e4655209960afcf4c185214


恶意域名与地址跟踪

3.1  总体情况

本期从国家权威部门获取的恶意域名数是47个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13119个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

?   根据分析单个IP地址对应的恶意域名数量前10位列表的结果,跟前一周相比大陆和海外都出现了一个地址的变化。需要重点关注这两个新增地址,一个是浙江的183.136.235.15,一个是香港的123.1.151.85,它们涉及恶意域名的数量分别是183个和43个;

在大陆的恶意地址数量地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,广东和江苏互换位置,江苏排名第三,广东排名第四;在第六到第十的排名中河北取代江西进入前十位,山东、湖南的排名有所靠前,福建排名靠后;

?   在海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比,荷兰和香港交换位置;在第六到第十的排名中俄罗斯、法国、加拿大也交换了位置;

?   本期全部有效地址数量是2020个,其中海外有效地址数量是1226个,大陆有效地址数量是794个,全部有效地址较上周相比减少178个,降幅达到8.1%;海外地址和大陆地址数量较上周均出现了十分显著的下降。

?   本次统计期恶意地址数量在前一周创下本年最高点以后出现了明显的回落态势,整体图形上出现了区间整理的苗头。以下是本统计期的数量趋势图。

/_upload/article/images/9b/1f/0002bf614db798390698ce7acd0f/b86684a7-0553-40a7-83ff-160a710c6714.jpg

3.2  单个IP地址对应的恶意域名数量前10位分析

3.2.1  涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

大家看到跟前一周的记录相比,前10位的地址出现了一点变化:上海移动的221.130.179.36消失,浙江省 电信的183.136.235.15再次出现;

这个浙江地址正是属于去年九月爆发的大量恶意域名对涉及的恶意地址的列表中,目前在前十位列表中还有四个跟这次大量恶意域名爆发有关的地址:一个湖北襄阳的地址,两个山西吕梁地址和浙江的这个地址,它们涉及到的恶意域名数量还是保持在高位,也需要继续关注。

以北京的万网志成科技有限企业的112.124.19.11为标志的涉及大量恶意域名爆发事件,正在继续发展,北京市联通的111.206.120.34和天津市 联通的60.28.14.125涉及的恶意域名对的数量还在继续上升,还需要继续关注;

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表,黄色标记需要重点关注的地址:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

112.124.19.114

北京市 万网志成科技有限企业

TRUE

1853

14

111.177.111.83

湖北省襄阳市 电信

TRUE

1480

31

60.221.255.11

山西省吕梁地区 联通

TRUE

1449

31

111.206.120.34

北京市 联通

TRUE

1049

33

60.221.255.10

山西省吕梁地区 联通

TRUE

1040

12

60.28.14.125

天津市 联通

TRUE

1023

37

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

TRUE

386

5

219.150.241.46

河南省南阳市 电信

TRUE

203

75

118.184.176.13

广西

TRUE

196

23

183.136.235.15

浙江省 电信

TRUE

183

1


 3.2.2  
涉及到海外的单个IP地址对应的恶意域名数量前10位分析

大家看到跟前一周的记录相比,一个美国的69.46.84.51消失,而新增了一个香港的123.1.151.85

对这个新增的地址涉及的恶意域名进行深入分析发现,对应的恶意域名跟前一周重点关注的香港的103.232.215.133涉及的恶意域名类似,都是对应的“xxxx.dyjclj.com”的恶意域名,目前它对应的恶意域名数量是43个,还需要继续关注其后续数量的变化;

目前需要重点关注香港的IP地址如103.232.215.133103.232.215.137 123.1.151.85123.254.111.182。它们对应的恶意域名都是类似的“xxxx.dyjclj.com

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表,黄色标记为新增地址。

IP地址

位置

是否属于大陆

域名数量

连续存活周期

88.198.132.3

德国

FALSE

269

85

54.235.159.97

美国 新泽西州Merck企业

FALSE

125

17

67.208.74.71

美国

FALSE

112

186

103.232.215.133

香港

FALSE

92

2

216.38.62.18

美国

FALSE

68

157

5.135.146.24

法国

FALSE

61

95

5.135.149.81

法国

FALSE

61

87

208.91.197.132

美国

FALSE

57

9

123.1.151.85

香港特别行政区

FALSE

43

2

199.2.137.201

美国

FALSE

42

87

3.3  大陆和海外的恶意地址地理分布情况

3.3.1  大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,广东和江苏互换位置,江苏排名第三,广东排名第四;在第六到第十的排名中河北取代江西进入前十位,山东、湖南的排名有所靠前,福建排名靠后;

地区

北京

浙江

江苏

广东

河南

山东

湖南

上海

河北

福建

数量

106

94

89

83

48

37

31

26

25

24

以下是分布示意图:

  

3.3.2  海外恶意地址地理分布情况

在本周海外恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比,荷兰和香港交换位置;在第六到第十的排名中俄罗斯、法国、加拿大也交换了位置;

以下是排名前十的具体的数字:

地区

美国

荷兰

香港

韩国

德国

巴西

法国

英国

加拿大

俄罗斯

数量

561

168

151

74

45

19

18

17

13

10


以下是分布示意图:

/_upload/article/images/9b/1f/0002bf614db798390698ce7acd0f/1a955446-ea1e-4d2e-9a8e-e49a9b245fc4.jpg

  


网络服务
XML 地图 | Sitemap 地图