文/鄭先偉

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）

2019 年7～8 月安全投訴事件統(tǒng)計

8 月教育網(wǎng)運行正常，未發(fā)現(xiàn)影響嚴重的安全事件。近期教育網(wǎng)范圍內(nèi)相應(yīng)的安全投訴事件數(shù)量繼續(xù)呈下降趨勢，這主要得益于各學(xué)校對安全工作的高度重視。

近期沒有新增特別需要關(guān)注的病毒和木馬程序。針對5 月爆出的Pulse Secure VPN 的任意文件讀取漏洞（CVE-2019-11539）的掃描攻擊數(shù)量有增加趨勢，攻擊者可以利用該漏洞訪問系統(tǒng)的私鑰和用戶口令，這些非法獲取的信息可以進一步導(dǎo)致任意代碼注入攻擊。Pulse Secure VPN在高校的用戶數(shù)量較多，建議使用了該VPN 的學(xué)校管理員盡快檢查是否已經(jīng)更新到了最新版本，避免漏洞被非法利用。

近期新增嚴重漏洞評述：

1.微軟8 月的例行安全公告修復(fù)了其多款產(chǎn)品存在的396 個安全漏洞，漏洞涉及Windows 系統(tǒng) 、Windows DHCP 服務(wù)、Office 軟件、Windows 圖形組件、Jet 數(shù)據(jù)庫等Windows 平臺下的應(yīng)用軟件和組件。公告中需要特別關(guān)注的是Windows 遠程桌面服務(wù)中存在的四個高危漏洞（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。未經(jīng)身份驗證的攻擊者利用上述漏洞，向目標Windows 主機發(fā)送惡意構(gòu)造請求，可以在目標系統(tǒng)上執(zhí)行任意代碼。由于這些漏洞存在于RDP 協(xié)議的預(yù)身份驗證階段，其利用過程無需進行用戶交互操作，可被利用來進行大規(guī)模的蠕蟲攻擊。目前漏洞的細節(jié)還未公布，相應(yīng)的利用代碼也還未出現(xiàn)，不過隨著補丁的發(fā)布（通過對補丁的反編譯可知道漏洞細節(jié)），漏洞的攻擊代碼很快就會出現(xiàn)。類似的遠程桌面漏洞（CVE-2019-0708）在5 月的補丁中也出現(xiàn)過，目前該漏洞相關(guān)的攻擊代碼已經(jīng)在網(wǎng)絡(luò)上出現(xiàn)了多個版本?；谏鲜雎┒吹娘L(fēng)險，建議用戶盡快使用Windows 系統(tǒng)的自動更新功能進行安全更新。

2.Fortinet FortiOS 是 美 國 飛 塔（Fortinet）公司的一套專用于FortiGate網(wǎng)絡(luò)安全平臺上的安全操作系統(tǒng)。最近Fortinet 公司發(fā)布了FortiOS 的版本更新，用于修補之前版本中存在的多個安全漏洞，包括：跨站腳本漏洞（CVE-2018-13380），路徑遍歷漏洞（CVE-2018-13379）等，利用這些漏洞攻擊者可在未經(jīng)授權(quán)的情況下獲取相關(guān)設(shè)備的賬號信息、進行修改賬號密碼等操作，進而完全控制相關(guān)設(shè)備。這些漏洞影響FortiOS 多個版本（包括5.6.3 版本至5.6.7 版本、6.0.0 版本至6.0.4版本等）。FortiGate 安全設(shè)備在高校中的使用范圍較廣，建議使用了相關(guān)設(shè)備的管理員盡快聯(lián)系廠商的工程師對設(shè)備的操作系統(tǒng)進行升級，防止漏洞被非法利用。

3.Adobe 公 司8 月發(fā)布了Adobee Acrobat/Reader 軟件的版本更新，用于修補之前版本中的多個安全漏洞。這些漏洞可能導(dǎo)致任意代碼執(zhí)行或是敏感信息泄漏。由于PDF 軟件的漏洞是APT 攻擊最常使用的漏洞，建議用戶盡快升級到最新版本，并謹慎打開那些來歷不明的PDF 文檔。

4.Cisco Small Business 220 系列智能交換機的Web 管理界面存在三個高危漏洞，分別是身份驗證繞過漏洞(CVE-2019-1912，評級為致命，評分為9.1)、遠程命令執(zhí)行漏洞(CVE-2019-1913，評級為致命，評分為9.8)和命令注入漏洞(CVE-2019-1914，評級為中等，評分為7.2)。身份繞過漏洞允許攻擊者繞過驗證將文件上傳到系統(tǒng)中，攻擊者可以借此替換配置文件或者上傳Webshell 進而控制交換機。而遠程命令執(zhí)行漏洞則允許攻擊者直接以root 身份在系統(tǒng)中執(zhí)行任意命令。目前思科公司已經(jīng)在最新的固件版本中修復(fù)了這些漏洞，使用相關(guān)交換機的用戶應(yīng)該盡快進行固件更新。如果暫時無法更新固件，可通過關(guān)閉交換機的Web 管理服務(wù)來降低漏洞帶來的風(fēng)險。

安全提示

由于近期Windows 遠程桌面服務(wù)的漏洞頻出，建議學(xué)校的網(wǎng)絡(luò)管理員做如下操作：

1. 在網(wǎng)絡(luò)邊界對Windows 遠程桌面的服務(wù)端口 TCP 3389 進行阻斷。

2. 要求Windows 服務(wù)器的管理員及時安裝系統(tǒng)補丁程序。

3. 如果條件允許，使用其他遠程服務(wù)替代Windows 自帶的RDP 服務(wù)，比如VNC。

4. 對于必須開放的Windows 遠程桌面服務(wù)，建議修改默認服務(wù)端口，并使用防火墻限制訪問服務(wù)的來源IP。