4月底,披露了ApacheStruts2S2-032远程执行代码漏洞(CNVD-2016-02506,CVE-2016-3081,以下称为S2-032漏洞)的利用代码,并迅速在该漏洞中传播。短时间。CNVD秘书处-国家互联网应急响应中心(CNCERT)组织了CNVD成员单位和合作伙伴来监视漏洞攻击的威胁并开展了应急响应工作。现在相关信息报告如下:
1.攻击威胁监控
根据CNCERT在Internet上的监视结果,在过去的一周(4月30日的00:00至5月6日的16:00)上,针对此漏洞的Internet攻击和扫描尝试一直很高。尽管后续评估认为此S2-032漏洞的检测率比以前的S2-016漏洞的检测率低得多,但是搜索特定目标(例如:使用搜索引擎查找.action页面)和后续攻击扫描仍在被黑客入侵地下行业或网络安全从业人员正在继续。从CNCERT最近监视的后门事件数量来看,过去一周内,该国植入后门的网站数量激增,并且暂时不能排除与S2-032漏洞攻击相关的可能性。
根据CNVD技术小组成员单位上海交通大学网络信息中心的抽样测试结果,在706个使用ApacheStruts2作为容器软件的网站上,有29个网站存在S2-032漏洞,占4.1%,其中在S2-016和更低版本(例如S2-005)中,有196个具有远程代码执行漏洞的网站,占28%。为了进一步评估S2-032漏洞在各个行业网站上的分布,CNVD委托WOOYUN平台检测并整理相关数据。如下表所示,中国共有817个S2-032漏洞网站,按行业划分。前三名(注:不包括其他公司)是政府部门(占28.3%),互联网公司(占25.3%)%)和教育机构(9.8%)。
工业部门
数量
百分比
政府部门
231
28.3%
教育机构
80
9.8%
金融业
57
7.0%
保险业
15
1.8%
证券业
7
0.9%
能源产业
4
0.5%
运输业
48
5.9%
电信运营商
59
7.2%
互联网公司
206
25.2%
其他企业
110
13.5%
总
817
100.0%
表S-032各行业领域脆弱网站数量统计
2,紧急情况
4月27日,CNVD组织的成员单位开展了与漏洞应急响应相关的工作。下表显示了相关单位的工作反馈。截至5月6日,每个成员单位已向CNVD报告了受漏洞影响的共230多家党政机关网站和重要行业单位的网站。其中,奇虎360,安恒信息和神聪科技位居前三名。也。根据SangforTechnology用户方的攻击监视情况,针对S2-032漏洞的攻击行为还伴随着针对先前ApacheStruts2高风险漏洞(例如:S2-016)的同步攻击尝试。
会员单位
漏洞分析
检测调查
攻击监控
安恒资讯
√
√
桑福科技
√
√
√
绿盟
√
奇虎360
√
√
恒安佳鑫
√
√
安天科技
√
√
天荣鑫
√
√
华三公司
√
上海交通大学
√
表CNVD成员单元漏洞紧急反馈反馈
根据各方的总结结果,CNVD在过去一周中依靠CNCERT国家中心和子中心渠道处理了346起S2-032漏洞事件,涉及党政机关网站和重要行业单位的网站。根据Wooyun平台的最新验证结果,下表显示了收到S2-032漏洞风险通知后各行业单位的维修或防护百分比,其中金融,保险,证券的维修或防护比例,而能源行业单位为100%:
工业部门
维修或保护百分比
政府部门
93.7%
教育机构
96.6%
金融业
100.0%
保险业
100.0%
证券业
100.0%
能源产业
100.0%
运输业
96.7%
电力字母运算符
95.5%
互联网公司
94.35
其他企业
93.1%
表按行业领域的漏洞修复或保护统计信息
3.S2-032漏洞紧急情况摘要
对于此S2-032漏洞的紧急工作,以下摘要:
(1)S2-032漏洞由于软件版本和网站配置条件的限制,实际影响远远小于Java反序列化漏洞和S2-016,S2-005远程执行代码漏洞,这些漏洞在Microsoft中造成了大规模的影响。过去,但它也吸引了许多Internet攻击和扫描尝试。
(2)漏洞详细信息的披露时间和方法检验了网络安全从业人员的行为准则。尽管从制造商正式发布漏洞公告到发布漏洞利用代码大约需要一周的时间,但相对于国内Internet安全开发水平而言,漏洞修复和紧急时间仍然更加紧急。漏洞详细信息的不适当发布会直接损害大量Internet站点。创建了威胁的热点。
(3)国内网络安全监管机构和应急组织应进一步加强对脆弱性风险的报告和处理,不断提高各行业对应急反应的认识。同时,他们必须积极扩大应急服务行业的覆盖范围,加强网络边界保护和云保护。技术研究与应用。
标签:漏洞威胁监视