暑期高校网站安全问题凸显

文/郑先伟

暑期高校网站安全问题凸显

文/郑先伟

网站基础设备漏洞引发黑客攻击

8月教育网整体运行平稳，未发现严重的安全事件。

由于暑期，教育网的在线用户数量大幅减少，所以相关的安全投诉事件数量也在减少。不过从相关数据上看，针对网站漏洞攻击数量不减反增。这主要是因为网站服务器属于长期在线的设备，不会因为假期关闭，而暑假期间又是攻击者关注学校最集中的时间。另一类值得关注的攻击事件是最近针对交换机路由器的攻击数量增多，主要是利用相关路由器的默认设置上的漏洞，如通用密码、空密码等。现在很多企业级的路由器为了用户使用方便，都拥有无需配置即插即用的功能，这导致这些设备都使用相同的默认配置，很容易被攻击，拥有同样问题的还有目前各个厂商都在热炒的无线路由器。这些基础的网络设备一旦被攻击者控制会直接影响到使用该设备上网的所有用户的信息安全。

病毒与木马

2014年7月～8月安全投诉事件统计

8月初一款名叫XX神器的手机病毒快速在安卓手机系统中传播，病毒通过发送包含病毒下载连接的短信，引诱用户下载安装病毒程序。手机一旦安装病毒程序后就会读取用户手机中的联系人信息，并调用发短信权限，将内容为“(手机联系人姓名)看这个+****/XXshenqi.apk”发送至手机通讯录的所有联系人手机中，从而达到广泛传播的功效。该病毒在出现后的很短时间内就影响了上百万的用户。单从技术角度分析，这个病毒并没采用很高深的技术，除了疯狂发送短信传播自身而消耗掉用户的话费外它也没有其他进一步的危害，它的意义更多的是提醒用户，手机病毒已经切切实实来到我们身边，手机系统安全需要引起我们的重视。

近期新增严重漏洞评述

微软 8月的例行安全公告有9个（ms14-043至ms14-051)，其中2个为严重等级，7个为重要等级，这些公告共修补了包括Windows系统、IE浏览器、Office办公软件、SQL server数据及.NET组件中的37个安全漏洞。其中IE浏览器的例行更新包中更新了之前被公布及利用的两个0day漏洞（CVE-2014-2817、CVE-2014-2819），这两个漏洞可以用来进行权限提升，用户应该尽快更新相应的补丁程序。公告的详细信息请参见：https://technet.microsoft. com/library/security/ms14-Aug。

Adobe公司8月的例行安全公告有2个（apsb14-18、apsb14-19），这两个公告修补了Adobe flash player中的7个安全漏洞以及Adobe Acrobat／Reader软件中的1个安全漏洞。用户应该尽快升级相关软件到最新版本。公告的详细信息请参见：http:// helpx.adobe.com/security/products/ flash-player/apsb14-18.html，http:// helpx.adobe.com/security/products/ reader/apsb14-19.html。

8月OpenSSL软件也发布一个安全公告用于修复OpenSSL产品中存在的9个安全漏洞，涉及SSL/TLS和DTLS两种协议。这些漏洞可以导致敏感信息泄露或是拒绝服务攻击，其中漏洞（CVE-2014-3511 ）可以强制降低OpenSSl的加密级别到低级别的TLS 1.0版本，这将允许攻击者进行中间人攻击。OpenSSl的公告详细信息请参见： https://www. openssl.org/news/secadv_20140806.txt。

除上述例行安全公告外，以下产品的漏洞需要特别关注：

Discuz的7x、6x及5x版本中存在一个数据拼接漏洞，允许论坛注册的普通用户通过输入特定数据来修改数据库，虽然漏洞需要有合法的用户身份才能利用，但是这对于攻击者来说并不是难事。由于Discuz的官方已经不再针对上述版本提供升级服务，所以这个漏洞不会有补丁程序。建议还在使用上述版本搭建网站的管理员尽快停止使用相关版本，可以使用最新版的Discuz或是其他的CMS来搭建网站。

安全提示

鉴于近期针对路由器等基础网络设备的攻击数量增多，我们建议管理员对网络设备做如下操作：

1.不要使用网络设备的默认配置；

2.关闭网络设备中不需要的远程服务和端口；

3.为设备设置访问口令，并将口令的复杂程度尽量设得更高；

4.使用设备ACL限制访问设备管理端口的地址来源。

（作者单位为中国教育和科研计算机网应急响应组）