文/鄭先偉

兩會期間高校專有系統(tǒng)被攻擊

文/鄭先偉

CCERT月報

3月教育網(wǎng)整體運行平穩(wěn)，寒假及兩會期間教育網(wǎng)未發(fā)現(xiàn)嚴重的安全事件。

3月投訴事件中值得我們關注的是幾起發(fā)生在兩會期間的網(wǎng)頁篡改攻擊事件，這些被篡改的網(wǎng)站都是相關學校的專有業(yè)務系統(tǒng)（如教務系統(tǒng)、迎新系統(tǒng)等），由于這些業(yè)務系統(tǒng)中存在安全漏洞導致被人入侵并篡改了網(wǎng)頁內容。這些有問題的業(yè)務系統(tǒng)都是相應廠商開發(fā)的早期版本，相關的漏洞早就被人公布在網(wǎng)絡上，廠商也在隨后的版本中修補了這些漏洞。但是不知出于什么原因學校并沒有及時地更新業(yè)務系統(tǒng)的版本，廠商也沒有盡責地通知用戶去修補，導致漏洞長期存在并被人利用。

病毒與木馬

近期沒有新增影響嚴重的木馬病毒程序，沒有需要特別關注的病毒木馬。

近期新增嚴重漏洞評述

微軟2015年3月的例行安全公告數(shù)量較多，共14個（MS15－018到MS15－031），其中5個為嚴重等級，9個為重要等級，這些公告共修補了包括Windows系統(tǒng)、IE瀏覽器、Office軟件、Exchange服務及Windows Server軟件中的45個漏洞，其中一個2014年開始被在網(wǎng)絡上利用的IE瀏覽器漏洞在本次得到了修補。建議用戶盡快使用自動更新功能修復相關漏洞。漏洞的詳細信息請參見：https://technet.microsoft.com/zh-CN/library/security/ ms15-Mar。

2015年2月～3月安全投訴事件統(tǒng)計

Adobe公司在3月也發(fā)布了針對Flash player軟件的例行安全公告（apsb15-05），此次公告共修補了Flash player軟件中存在的8處漏洞，這些漏洞可能導致遠程任意代碼執(zhí)行或是拒絕服務攻擊。漏洞詳細信息請參見：https://helpx.adobe.com/ security/products/flash-player/apsb15-05.html。

除上述例行公告外，另一個值得關注的漏洞是：

1. Samba服務遠程代碼執(zhí)行漏洞

Samba服務是Linux和Unix系統(tǒng)上實現(xiàn)SMB服務的程序，主要用來在相關系統(tǒng)上通過SMB/CIFS協(xié)議在TCP/IP協(xié)議上共享文件及打印服務等功能。

Samba 3.5.0到4.2.0rc4版本的Smbd文件服務程序存在一個遠程代碼執(zhí)行漏洞。攻擊者可以匿名與Samba服務器建立空會話連接，然后調用ServerPasswordSet RPC接口，導致一個未初始化的棧指針被傳給TALLOC_FREE()函數(shù)，通過發(fā)送特別構造的數(shù)據(jù)，可以控制該指針的內容，一個惡意的攻擊者可以發(fā)送一個特定構造的畸型netlogon數(shù)據(jù)包給smbd守護進程，進而以smbd進程的權限（通常是root權限）執(zhí)行任意命令。

廠商已經在新版本的Samba中修補了該漏洞，如果您的系統(tǒng)需要開放Samba服務請盡快升級到最新版本。詳情參見http:// www.samba.org/samba/security/。

安全提示

鑒于近期學校專有業(yè)務系統(tǒng)被攻擊的風險增大，我們建議相關的管理員盡快檢查自己管轄的業(yè)務系統(tǒng)是否存在安全漏洞（多數(shù)早期的業(yè)務系統(tǒng)都或多或少存在安全漏洞），發(fā)現(xiàn)漏洞要及時修補。如果使用的是商業(yè)軟件，應定期聯(lián)系廠商了解版本更新情況。對于那些無需外部訪問的系統(tǒng)，應使用網(wǎng)絡隔離防護手段來對系統(tǒng)進行保護。

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）