网络安全通报第一期
发布时间: 2019-03-22 浏览次数: 123 文章来源: 信息化建设与管理办公室

本周网络状态:良好本周信息安全威胁通告


2019年第1

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞379 个,其中高危漏洞152 个、中危漏洞190 个、低危漏洞37 个。漏洞平均分值为5.98。本周收录的漏洞中,涉及0day 漏洞227 个(占60%),其中互联网上出现“WordPress 插件AdvancedCustom Fields Pro SQL 注入漏洞、Nokia 8810 4G 设备KaiOSGecko 组件拒绝服务漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1944 个,与上周(2374 个)环比下降18%。

  

1 简讯

俄罗斯50 多家大型企业遭到IoT 攻击者勒索。攻击使用物联网设备,伪装成欧尚、马格尼特、斯拉夫尼奥夫等50 多家知名公司发送钓鱼电子邮件,对这公司人员进行勒索攻击。

沙特智能电话本应用Dalil被爆严重漏洞:500 万以上用户信息被泄露。沙特和其他阿拉伯地区用户使用的智能电话本应用Dalil 出现严重漏洞,导致用户数据持续泄露一周时间。

主流访客管理系统存在漏洞,黑客可潜入敏感区域。

IBM 安全研究人员发现,在最流行的5 大访客管理系统(Lobby Track Desktop、eVisitorPass、EasyLobby Solo、Passport 和The Receptionist)中有19 个漏洞,黑客可以利用漏洞窃取相关数据,甚至可以潜入办公大楼敏感、禁止区域。


2  网络安全漏洞

  2.1高危漏洞预警





2.2 Chrome 在野利用0day 漏洞预警

2019 年3 月1 日,chrome 浏览器发布版本更新(72.0.3626.119->72.0.3626.121),修复了在野利用的CVE-2019-5786。该漏洞危害较为严重,影响较大。

一、漏洞情况分析

CVE-2019-5786 是位于FileReader 中的UAF 漏洞。各大主流浏览器都包含了一个Web API,允许Web 应用程序读取存储在用户计算机上的文件内容。确切点说,这是一个‘释放后使用’(use-after-free)漏洞:Chrome 对分配给自己的内存进行了释放/ 删除,但另一款应用程序试图对这部分内容进行访问——如果处理不当,可能会导致恶意代码执行。CVE-2019-5786 漏洞允许恶意代码逃脱Chrome 的安全沙箱,并在操作系统的底层上运行命令。

二、漏洞处置建议

使用chrome 浏览器的用户请打开chrome://settings/help 页面查看当前浏览器版本,如果不是最新版(72.0.3626.121)会自动检查升级,重启之后即可更新到最新版。其它使用chromium 内核的浏览器厂商也需要根据补丁自查。


本周全国焦点事件

3.1 连续两年,政府工作报告强调要整治侵犯公民个人信息问题

3 月5 日,十三届全国人大二次会议开幕,国务院总理李克强作政府工作报告。报告中再次指出要整治侵犯公民个人信息等突出问题,坚决守护好人民群众的平安生活。

3 月5 日,政府工作报告“2019 年政府工作任务”中,明确表示要“加强国家安全能力建设。完善立体化社会治安防控体系,深入推进扫黑除恶专项斗争,依法惩治盗抢骗黄赌毒等违法犯罪活动,打击非法集资、传销等经济犯罪,整治侵犯公民个人信息等突出问题,坚决守护人民群众的平安生活”。

关于整治侵犯公民个人问题已连续两年出现在政府工作报告中。2018 年的政府工作报告指出,我国要整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题,维护国家安全和公共安全。

关于保护个人信息,早在2015 年的政府工作报告中就已出现。该年政府工作报告指出要推进社会信用体系建设,建立全国统一的社会信用代码制度和信用信息共享交换平台,依法保护企业和个人信息安全。


3.2百度百科、搜狗百科外链跳转色情网站,过期域名被黑产利用

2019 年2 月28 日晚上,有爆料称用户在百度搜索部分小学或者幼儿园词条,搜索结果优先给出了百度百科的链接,点击进去之后却发现页面最后的参考链接“广州上学网”竟然被指向色情网站……在笔者一番查询之后发现,中招的不只是百度百科,连搜狗百科也同样未能幸免。

一般这种情况,当你在网上看到这个消息的时候就已经晚了。但没想到这次是个例外,这个不良网站依然可以访问。所以,恕我不能直接告诉你“车牌号”。这次势态之严重,我想百度比谁都清楚。因此很快百度就采取了行动,对所有百科词条参考链接关联到“广州上学网”的全部予以修改,并及时发表声明解释称“网页过期失效,被不法分子利用,定向至不良站点”,原文如下图:


然百度已经取消了外链,但域名所定向的不良网站依然正常访问。根据互联网存档馆(https://archive.org)所保存的页面记录发现,这个“广州上学网”此前确实是一个再正经不过的便民服务网站。其中所记录的2014 年1 月16 日历史页面中,可以看到,这个广州上学网内容基本都是为解决小孩上学的各种问题而服务,例如“幼升小”、“小升初”、高考、留学等等问题。而在2014 年到2017 年之间,该域名基本处于无法访问状态。而从2018 年所记录的历史页面开始,全部都被指向了色情网站。截止笔者发稿之时,原广州上学网的域名处于被301 重定向到该色情网站域名。


仅如此,笔者还查到“广州上学网”不止这一个域名,还有一个更短的域名目前也同样被定向到了另一个色情网站。值得一提的是,可能是因为“广州上学网”曾收录了大量学校或者幼儿园的资料,因此被多个百科作为参考文献。不仅仅是这次百度,连搜狗百科也有这种情况,只不过此前没有被曝出而已。


过反链查询到,搜狗百科部分学校资料中此前参考资料一直是“广州上学网”的链接,而在最新修改版本中去掉了参考资料,而最后一次修改时间为笔者撰稿前几个小时,刚好在百度百科事件被曝出之后。

百度百科、搜狗百科等目前已经清除了“广州上学网”的外链,但在其他论坛或者社区中依然存在,能够在搜索引擎中找到。这次事件曝出之后,相信该色情网站将很快就被关掉了,减少危害继续蔓延。但过期域名被黑产利用跳转不良网站的现象很显然没那么容易解决,但至少运营者需要采取相应手段定期排查平台内是否存在外链域名被非法利用的现象,才能减少事故发生的几率。

  

3.3农工党中央拟提案:将二维码列入国家信息安全体系

2019 年全国两会前夕,农工党中央拟提交全国政协十三届二次会议提案38件,其中包括《关于抓紧建立国家二维码应用监管体系确保信息安全的提案》(以下简称《提案》)。

《提案》指出,“二维码是数字社会重要的移动互联网入口,掌握二维码发码权,就掌握了移动互联网的领导权。二维码应用领域不仅仅是个人上网,还包括商业、军事、科研、航空航天、医疗卫生等,几乎涵盖了国民经济的所有领域,全国约有万余家公司服务于二维码行业。目前,世界各国普遍认识到数字社会发展中二维码的重要性,以二维码识别体系为中心的数字信息领导权争夺已经开始。例如,美国政府和军队领域没有使用国际上普遍推广的日本的QR 二维码,而使用美国自主研发的PDF417 二维码。韩国在国家重要领域使用自主产权的MagicCode 码。而北约国家早就统一二维码标准,成为基础设施的一部分。”

《提案》指出,据估算,中国手机二维码个人用户超过9 亿人,广泛应用于商业超市、工业生产、农业农村、教育科研、税务海关、各种票证、医院药品、国防军事等领域。然而,我国迄今仍未建立统一的、国家主导的二维码编解码体系和管理机构。我国广泛应用的95%的主流码制采用了日本和美国标准,国产码制不及5%。甚至一些不良单位利用二维码管理漏洞,发行带有不良信息二维码,欺骗蛊惑群众谋取利益。我国二维码的安全应用问题需引起高度重视,亟待建立健全信息安全监管机构和监管机制,引导我国信息社会安全良性发展。

为此,农工党中央在上述《提案》中建议:

一是将二维码列入国家信息安全体系。二维码已成为移动互联的核心标识,对我国信息安全影响巨大,必须列入国家整体信息安全体系,作为信息安全体系组成部分。应加快建立对二维码进行分配和解析的国家机构,建议由工业和信息化部牵头建立国家二维码监管体系,建设国家二维码解析中心,完善国家二维码标识安全体系。在国家二维码安全标识体系支持下,形成我国二维码应用的“三个统一、一个自主”,即:统一二维码“身份证”、统一公共服务平台、统一行业标准规范;在关系国计民生的重要领域(银行、军事、票务、医药等),推广使用我国自主的二维码标识体系。

二是支持我国成立二维码国际组织,推动国际标准制定。在工信部支持下,由中国电子商会发起建设了中国自主二维码“根”注册管理体系(IDcode),2014年成立了中关村工信二维码技术研究院(ZIIOT)。2018 年8 月获得国际标准化组织ISO、欧洲标准委员会CEN、国际自动识别与移动技术协会AIM Global 国际组织批准,成为中国首家具有全球性国际代码发行权的机构(发行代码为MA),意味着中国二维码“根”服务体系,具备了在全球分配二维码资源的资格。这是我国在数字安全领域具有里程碑意义的重要事件,对于中国领导和掌握全球代码资源分配权、技术标准制定权、产业发展主导权,促进国际数字安全领域健康发展具有重要意义。建议在此基础上,继续推动我国二维码技术研究和标准制订与国际接轨,努力参与并主导相关国际标准的制定。在涉及到国家信息安全的重要领域,率先引入使用中国二维码体系标准,国家发改委等有关部委在项目研发上给予大力支持,商务部、中国海关在国家“一带一路”商务活动中,大力推行中国二维码标准。


仙林校区地址:南京市亚东新城区文苑路9号 邮编:210023 三牌楼校区地址:南京市新模范马路66号 邮编:210003 锁金村校区地址:南京市龙蟠路177号 邮编:210042 苏ICP备11073489号-1