Shadow Broker攻擊引關(guān)注 防火墻漏洞需防范

文/鄭先偉

Shadow Broker攻擊引關(guān)注 防火墻漏洞需防范

文/鄭先偉

8月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。8月值得關(guān)注的安全事件是Shadow Broker攻擊事件，事件源于一個(gè)叫“暗影經(jīng)紀(jì)人”（The Shadow Brokers）的組織突然在Tunblr、Github 等網(wǎng)絡(luò)平臺(tái)上放出一些美國(guó)國(guó)家安全局（NSA）的內(nèi)部資料和“方程式組織”使用的攻擊工具包。在公開發(fā)布的這些工具里有專門針對(duì)防火墻的漏洞攻擊利用程序，涉及的防火墻品牌幾乎涵蓋了當(dāng)前全球主流的防火墻產(chǎn)品，包括：思科公司的防火墻、Juniper公司的netsereen防火墻，飛塔（Fortinet）的防火墻、天融信的防火墻，這幾個(gè)品牌的防火墻在中國(guó)市場(chǎng)的占有率超過70%以上，在高校內(nèi)的使用率估計(jì)還要高于70%。建議學(xué)校的管理員盡快聯(lián)系自己使用的防火墻廠商來確認(rèn)相關(guān)產(chǎn)品是否受影響。如果在受影響之列應(yīng)該第一時(shí)間進(jìn)行升級(jí)，因?yàn)橄鄳?yīng)的攻擊代碼很可能很快就會(huì)被編成自動(dòng)攻擊程序而廣泛傳播。

因?yàn)槎鄠€(gè)漏洞眾測(cè)平臺(tái)因法律原因被關(guān)閉，使得被通報(bào)出來的網(wǎng)站漏洞數(shù)量大幅減少。

8月沒有新增影響比較嚴(yán)重的木馬蠕蟲病毒。

8月需要關(guān)注的漏洞有如下這些：

2016年7月～8月安全投訴事件統(tǒng)計(jì)

1. 微軟發(fā)布了8月的例行安全公告，本次公告共9個(gè)，其中5個(gè)為嚴(yán)重等級(jí)，4個(gè)為重要等級(jí)。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office軟件、EDGE及微軟軟件中的27個(gè)安全漏洞。建議用戶盡快使用系統(tǒng)的自動(dòng)更新功能更新相關(guān)的系統(tǒng)及程序。公告的詳細(xì)信息：https://technet.microsoft.com/zh-cn/library/ security/ms16-jul.aspx。

另一個(gè)需要關(guān)注的是微軟在8月下旬向Win10的正式用戶推送了一個(gè)一周年累計(jì)更新包（KB3176934補(bǔ)丁），這個(gè)補(bǔ)丁包在隨后被證實(shí)存在缺陷，由于缺少一個(gè)MOF文件，補(bǔ)丁KB3176932破壞了PowerShell的DSC功能。DSC功能是微軟此前為PowerShell加入的重要特性，能夠幫助開發(fā)者和系統(tǒng)管理員對(duì)基于Windows的服務(wù)器進(jìn)行驗(yàn)證和管理。想要恢復(fù)正常需要用戶手工卸載掉該補(bǔ)丁。微軟承諾會(huì)在8月的最后一天發(fā)布修補(bǔ)好的補(bǔ)丁更新。

2. Zabbix是一款開源的分布式系統(tǒng)監(jiān)控及網(wǎng)絡(luò)性能監(jiān)控的軟件，它提供了友好的Web界面讓用戶能夠時(shí)時(shí)查看被監(jiān)控系統(tǒng)及設(shè)備的狀態(tài)，Zabbix在高校內(nèi)的使用率很高。最近Zabbix被發(fā)現(xiàn)存在一個(gè)嚴(yán)重的SQL注入漏洞，起因由于Zabbix默認(rèn)開啟了guest權(quán)限，且默認(rèn)密碼為空，導(dǎo)致Zabbix的jsrpc中profileIdx2參數(shù)存在insert方式的SQL注入漏洞。攻擊者利用漏洞無需登錄即可獲取網(wǎng)站數(shù)據(jù)庫(kù)管理員權(quán)限，或通過script等功能直接獲取Zabbix服務(wù)器的操作系權(quán)限。該漏洞影響大部分的早期版本，目前官方已經(jīng)在最新的版本中修復(fù)了這個(gè)漏洞，使用了Zabbix的管理員應(yīng)該盡快升級(jí)自己的Zabbix版本到最新，如果不能及時(shí)升級(jí)，可以臨時(shí)在系統(tǒng)中禁用guest賬號(hào)的使用。

3. 蘋果公司在8月26日緊急向用戶推送了IOS的最新版本9.3.5，用于修補(bǔ)之前版本中存在的3個(gè)高危漏洞，這三個(gè)漏洞被稱為“三叉戟”漏洞，綜合利用這三個(gè)漏洞，攻擊者只需向用戶的蘋果手機(jī)發(fā)送一條文本鏈接，用戶點(diǎn)擊后就會(huì)導(dǎo)致手機(jī)完全被黑客控制。這三個(gè)漏洞均屬于0day漏洞，之前被用來進(jìn)行間諜軟件攻擊，此次漏洞的攻擊代碼被公布出來，可能引發(fā)大規(guī)模的攻擊行為。建議所有的蘋果手機(jī)用戶均需要把系統(tǒng)更新為9.3.5以上版本，并提供安全意識(shí)，不去點(diǎn)擊信息中來歷不明的鏈接。

安全提示

本次Shadow Broker攻擊事件中“暗影經(jīng)紀(jì)人“公布的攻擊工具包有兩個(gè)，一個(gè)是免費(fèi)使用的里面包含了各類防火墻的攻擊代碼，另一個(gè)是收費(fèi)的工具包，由于要價(jià)太高，目前還不清楚其中是針對(duì)什么設(shè)備的攻擊工具。從之前免費(fèi)的防火墻攻擊程序看，NSA大概率還有大量攻擊控制網(wǎng)絡(luò)主干設(shè)備的攻擊工具被泄露。為避免上述工具對(duì)網(wǎng)絡(luò)帶來影響，建議網(wǎng)絡(luò)管理員要對(duì)各類重要的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻）做進(jìn)一步的安全配置，關(guān)閉設(shè)備上所有不必要的服務(wù)端口，如果必須遠(yuǎn)程管理，一定要將遠(yuǎn)程服務(wù)端口限制在特定的地址范圍內(nèi)，使用堡壘機(jī)和VPN都是一個(gè)不錯(cuò)的選擇。

（為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）