疫情期間各高校均通過網(wǎng)絡開展教學及科研工作,原本一些只能在校園網(wǎng)內(nèi)部訪問的資源現(xiàn)在需要通過公開的互聯(lián)網(wǎng)進行訪問。使用VPN服務讓外部網(wǎng)絡訪問校園網(wǎng)內(nèi)部資源是當下相對安全的辦法之一,但這也使得原本并非主要網(wǎng)絡通道接口的VPN服務面臨一系列性能和安全性挑戰(zhàn)。
四月初有安全組織爆出,境外的黑客正使用國內(nèi)某知名廠商的VPN設備(該品牌VPN設備在國內(nèi)高校的使用率較高)的安全漏洞進行APT攻擊。攻擊者先會利用安全漏洞控制VPN設備,然后在VPN服務器上放置木馬程序并通過VPN客戶端自動升級功能的漏洞在用戶的系統(tǒng)上安裝木馬程序從而控制用戶的設備。該VPN廠商接到相關信息后已經(jīng)緊急開發(fā)了補丁程序并安排工程師對用戶使用的VPN設備進行了更新。類似的攻擊事件顯示高校依然是網(wǎng)絡攻擊的熱門目標,尤其是在當下關鍵特殊時期,網(wǎng)絡信息安全仍是校園網(wǎng)運行需要重點關注的工作。
近期有信息顯示監(jiān)測到一款名為WannaRen(因與WannaCry名字類似而被關注)的勒索病毒,該病毒感染系統(tǒng)后會加密系統(tǒng)中的數(shù)據(jù)文件并追加后綴名為WannaRen,病毒會要求用戶支付0.05個比特幣后才給予解密。不過經(jīng)分析發(fā)現(xiàn)該病毒是通過捆綁在KMS工具軟件中欺騙用戶下載進行傳播的,暫未發(fā)現(xiàn)其利用漏洞進行大規(guī)模傳播的跡象。
2020年3~4月CCERT 安全投訴事件統(tǒng)計
近期新增嚴重漏洞評述:
1.微軟2020年4月的月度例行安全公告,修復了其多款產(chǎn)品存在的安全漏洞。利用漏洞,攻擊者可繞過安全功能限制,獲取敏感信息,提升權限,執(zhí)行遠程代碼或發(fā)起拒絕服務攻擊等。此外,還修復了3月提到的Adobe Type Manager Library字庫0day漏洞(CVE-2020-1020)。建議用戶盡快使用系統(tǒng)自帶的更新功能進行更新。
2.蘋果手機及iPad的iOS系統(tǒng)中自帶的原生郵件客戶端被曝出存在兩個0day漏洞,如果攻擊者向被攻擊者發(fā)送特制的郵件就可能導致相關的App崩潰,進一步的攻擊可能導致用戶的郵件信息被攻擊者獲取。目前這些漏洞影響iOS13.4.5beta2之前所有的版本的iOS,大部分的攻擊無需用戶進行交互就可以完成。已經(jīng)檢測到的最早攻擊可以追溯到2018年1月,期間相關漏洞一直被當作高級APT攻擊的手段。目前蘋果公司已經(jīng)在最新的iOS13.4.5beta2版本中修復了這些漏洞。
3.疫情期間Zoom視頻系統(tǒng)被大規(guī)模使用,該軟件的安全問題被頻繁關注。近期Zoom暴露出多個安全問題,主要集中在用戶隱私收集策略及信息泄漏等方面。隱私收集與相關公司的運營策略有關,嚴格意義上并不算軟件本身的漏洞。而信息泄漏則與Zoom會議軟件的隨機算法缺陷有關,由于Zoom的隨機算法很容易被碰撞出來,這就導致攻擊者可以通過碰撞進入那些未設置密碼的私密會議。另外由于會議錄像存儲在云端的命名規(guī)則也很容易被猜出,導致攻擊者可以隨意訪問云上存儲的會議錄像,致使用戶隱私泄漏。目前相關廠商正在針對該缺陷進行修補,在此之前請用戶在使用Zoom會議開會時設置會議密碼,在無特殊需要的情況下不要將錄制的會議存儲到云端。
4.Oracle發(fā)布了2020年第2季度的安全更新,修復了其多款產(chǎn)品存在的397個安全漏洞。本次安全更新提供了針對236個高危漏洞的補丁,其中有超過55個的CVSS評分為9.8,大約90個漏洞的CVSS得分為8.0或更高。建議管理員盡快對相關程序進行升級,以確保服務的安全。
本文作者為鄭先偉,作者單位為中國教育和科研計算機網(wǎng)應急響應組。
