全省网络安全威胁与趋势周报
据监测,2022 年 2 月 26 日至 3 月 4 日,我省网络安全态势总体平稳。省网络与信息安全通报中心对重要行业网络安全态势情况进行重点关注,同时从恶意程序、移动互联网安全、网站安全、漏洞隐患和数据安全等方面对我省互联网网络安全态势进行***分析。本周,我省教育行业、公共服务等行业漏洞数据事件较多,其他行业数据与前期相比较为稳定。
经监测检查,本周网络安全威胁与事件处置情况主要包括以下几个方面:
一、隐患发现情况
(一)突出隐患情况。本时段组织技术力量对省直部门、9 个市州的 190 个重要信息系统或网站开展监测,发现一些单位存在中高危漏洞。其中铜仁市民族中学、贵州产业技术发展研究院、贵阳国家粮食交易中心等 3 家单位存在中高危网络安全漏洞(详见***),需要立即进行整改。
(二)低危漏洞情况。中国共产主义青年团贵州省委员会、贵州轩通大数据科技有限责任公司、贵阳市妇女联合会、贵阳市公共卫生救治中心、贵阳市委统一战线工作部、贵州商学院、贵阳市全民国防教育委员会办公室、安顺市国有资产管理有限公司、贵阳市工商业联合会、贵州产业技术发展研究院、贵州省人大常委会、贵阳市公共资源交易中心、政协毕节市委员会、贵州工业职业技术学院、贵州高新翼云科技有限公司、贵州交通职业技术学院、毕节市信访局、贵州师范学院、安顺市职业技术学院、贵阳市图书馆、毕节一中、中国大数据产业观察、贵阳市公共资源交易中心、安顺市民族中学、贵州省卫生科技教育管理协会、安顺市广播电视台新媒体中心。主要隐患问题为:表单隐藏域、开启 options 方法、IIS 错误页面路径泄露、Struts2 URL 跳转 S2 -017、跨站伪造用户请求、PHPINFOHttp 响应拆分、敏感的 HTM L 信息、表单隐藏域、Robots.txt 站点文件、SiteServer 3.6.4 版 SQL 注入、URL 重定向、Ckeditor 4.0.1 跨站脚本漏洞、Web 应用程序错误、E-Mail 地址、易被***利用获取网站控制权限等。
二、安全漏洞。
(一)我省安全漏洞发现情况。本周全省重要信息系统中共发现 261 个漏洞,经整理发现漏洞比较集中的行业有:1、教育行业,漏洞主要表现为:基于 HTTP 连接的登录请求、jQuery 跨站脚本、允许 WebDAV、造成敏感信息泄露、敏感目录、登录错误消息凭证枚举、会话 Cookie 中缺少 secure 属性、PHPINFO Http 响应拆分;2、公共服务,漏洞主要表现为:Struts2 URL 跳转 S2-017、跨站伪造用户请求、IIS 错误页面路径泄露、ASP 连接数据库文件名称泄露、允许任何域的 Flash 文件访问资源、会话 Cookie 中缺少 HttpOnly 属性、jQuery 跨站脚本、压缩文件、 ASP.NET 允许文件调试。
(二)外部潜在风险隐患。一是 Jenkins Pipeline: Multibran ch Plugin OS 命令注入漏洞(CVE-2022-25175)。Jenkins Pipel ine 是一套插件,支持将持续交付管道实施和集成到 Jenkins 中。 Jenkins Pipeline: Multibranch Plugin 706.vd43c65dec013 及之前版本存在 OS 命令注入漏洞,该漏洞源于程序在 readTrusted 步骤中使用每个 SCM 的不同签出目录。具备 Item/Configure 权限的攻击者可利用该漏洞通过特制的 SCM 内容调用控制器上的任意 OS 命令。二是 WatchGuard Firebox 和 XTM systemd 堆栈缓冲区溢出漏洞(CVE-2022-25293)。WatchGuard Firebox 是美国 Watchguard 公司的提供全面的网路安全服务,从传统的 IPS、G AV,网站/应用程式控制及恶意软体防范。WatchGuard Firebox 和 XTM 设备存在 systemd 堆栈缓冲区溢出漏洞。经过身份验证的远程攻击者可利用该漏洞通过使用恶意升级映像启动固件更新以潜在地执行任意代码。三是 ZOHO ManageEngine ADSelfS ervice Plus (ADSSP)存在未明漏洞(CVE-2021-20147)。ZOHO ManageEngine ADSelfService Plus 是美国卓豪(ZOHO)公司针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。ZOHO ManageEngine ADSelfService Plus (A DSSP) build 6116 之前版本中存在未明漏洞,该漏洞源于 Chan gePasswordAPI 的 UMCP 操作中包含可发现的响应差异。未经身份验证的远程攻击者可利用该漏洞确定 Windows 域用户是否存在。
(三)预警通报情况。目前,相关信息已发各市州网络与信息安全信息通报中心,同步要求属地公安机关根据监测情况开展行政执法工作。
三、计算机病毒据国家通报中心通报,本周内共截获病毒样本 2355 万个,比前一周下降 0.71%,新增病毒为 619 万个,比前一周下降 0.*** %,感染计算机为 2131 万台,比前一周下降 0.61%。四、工作要求一是请各成员单位针对前述安全漏洞威胁开展自查,进一步强化网络安全措施,及时消除风险隐患。二是请前述 3 家存在高危隐患的单位立即开展整改工作,特别是被多次通报仍未完成整改的,请主管部门加强督促指导,并在 7 个工作日内将整改情况报属地公安机关网安部门,由网安部门报省公安厅网安总队。三是请属地公安机关网安部门开展现场检查,并对前述五家单位整改情况进行复核,对拒不落实整改或整改不彻底的,依法追究法律责任。