一、本周网络安全基本态势
本周互联网网络安全指数整体评价为良。境内感染网络病毒1的主机数约为42万个,较上周数量环比大幅减少了约20.7%;未发现新增网络病毒家族;境内被篡改政府网站数量为50个,较上周35个增加了15个;新增信息安全漏洞120个,较上周新增数量增加了25个,其中高危漏洞59个,较上周数量增加了24个。
本周网络病毒活动情况
1、网络病毒监测情况
本周境内感染网络病毒的主机数约为42万个,较上周环比大幅下降了约20.7%。其中,境内被木马或被僵尸程序控制的主机约为6.3万个,环比减少约0.7%;境内感染飞客(Conficker)蠕虫的主机约为35万个,环比大幅下降约23.5%。
木马或僵尸程序受控主机在我国大陆的分布情况如下图所示,其中红色区域是木马和僵尸程序感染量最多的地区,排名前三位的分别是广东省约0.7万个(约占中国大陆总感染量的13.2%)、 江苏省约0.6万个(约占中国大陆总感染量的11.6%)和新疆约0.6万个(约占中国大陆总感染量的11.4%)。
2、TOP5活跃网络病毒
本周,中国反网络病毒联盟(ANVA)2整理发布的活跃网络病毒3如下表所示。其中,利用网页挂马、软件假冒和捆绑下载进行传播的网络病毒所占比例较高,病毒仍多以利用系统漏洞的方式对系统进行攻击。ANVA提醒互联网用户一方面要加强系统漏洞的修补加固,安装具有主动防御功能的安全软件,开启各项监控,并及时更新;另一方面,建议互联网用户使用正版的操作系统和应用软件,不要轻易打开网络上来源不明的图片、音乐、视频等文件,不要下载和安装一些来历不明的软件,特别是一些所谓的外挂程序。
3、网络病毒捕获和传播情况
本周,CNCERT通过多种渠道获得大量新增网络病毒文件,其中新增网络病毒名称数为86个,较上周新增数量大幅减少17.3%;未发现新增网络病毒家族。 网络病毒主要通过对一些防护比较薄弱或者访问量较大的网站进行网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。
下图为本周活跃恶意域名在各个域名服务机构的注册数,请各域名服务机构注意加强域名服务的安全管理和域名滥用处理。特别是,由于不法分子为降低传播网络病毒的成本往往申请大量的免费域名,所以免费域名服务机构更需加强有关工作。
本周网站安全情况
根据CNCERT监测数据,本周境内被篡改网站数量为445个,较上周环比减少约15.6%。境内被篡改网站数量按类型分布情况如下图所示,数量最多的仍是.com和.com.cn域名类网站。gov.cn域名类网站有50个(占境内约11%),较上周数量增加了15个。
本周事件处理情况
1、本周处理各类事件数量
对国内外通过电子邮件、热线电话、传真等方式报告的网络安全事件,以及自主监测发现的网络安全事件,CNCERT根据事件的影响范围和存活性、涉及用户的性质等因素,筛选重要事件进行协调处理。 本周,CNCERT通过与基础电信运营商、域名注册服务机构的合作机制,以及反网络病毒联盟(ANVA)的工作机制,共协调处理了197件网络安全事件。
2、本周恶意域名和恶意服务器处理情况
依据《中国互联网域名管理办法》和《木马和僵尸网络监测与处置机制》等相关法律法规的规定,本周ANVA在中国电信等基础电信运营企业以及东南融通、万网志成、万维通港、厦门中资源、易名网络、希网网络、新网数码、江苏邦宁、花生壳等域名注册服务机构的配合和支持下,并通过与境外域名注册商和国际安全组织的协作机制,对84个境内外参与传播网络病毒或仿冒网站的恶意域名或服务器主机IP采取了处置措施。
3、本周重点事件处理情况 协调处理多起境外注册仿冒中国银行和中国工商银行网站事件
8月3日,CNCERT先后接到举报,称在境外注册的域名分别为www.bocpc.tk、ebcc.kaifukuan.box.tl、icbo-boixon.co.cc等网站仿冒中国银行网站,域名分别为www.2jqfkq.tk、item-pay.com-kjya.cx.cc等网站仿冒中国工商银行网站,对用户财产安全构成威胁。经验证核实后,CNCERT协调国外域名注册机构,暂停了被举报的全部仿冒域名的解析服务。
本周重要安全漏洞
本周,国家信息安全漏洞共享平台(CNVD)7整理和发布以下重要安全漏洞,详细的漏洞信息请参见CNVD漏洞周报(http://www.cnvd.org.cn/reports/list)。
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Google Chrome安全漏洞
Google Chrome是一款WEB浏览器。本周,Google发布安全更新,修复Chrome存在的多个安全漏洞。攻击者可以利用漏洞绕过安全限制,执行任意代码或进行拒绝服务攻击。CNVD收录的相关漏洞包括:Google Chrome旧指针引用漏洞(CVE-2011-2359)、Google Chrome 内存错误引用漏洞(CVE-2011-2792、CVE-2011-2790、CVE-2011-2801、CVE-2011-2818、CVE-2011-2793)、Google Chrome ICU越界写漏洞(CVE-2011-2791)、Google Chrome URI处理漏洞(CVE-2011-2819)等。上述漏洞的综合评级均为“高危”。CNVD提醒广大Google用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Apple QuickTime安全漏洞 Apple QuickTime是一款多媒体播放器。
本周,Apple QuickTime被披露存在多个安全漏洞。攻击者可以利用漏洞构建恶意文件,诱使用户解析,导致应用程序崩溃或任意代码执行。CNVD收录的漏洞包括:Apple QuickTime PICT文件缓冲区溢出漏洞(CVE-2011-0245)、Apple QuickTime‘STSC atoms'堆缓冲区溢出漏洞(CVE-2011-0252、CVE-2011-0251、CVE-2011-0250、CVE-2011-0249)、Apple QuickTime ActiveX控件栈缓冲区溢出漏洞(CVE-2011-0248)、Apple QuickTime栈缓冲区溢出漏洞(CVE-2011-0247)、Apple QuickTime堆缓冲区溢出漏洞(CVE-2011-0246)。上述漏洞的综合评级均为“高危”。目前,厂商已经发布上述漏洞的补丁程序,CNVD提醒广大Apple用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
3、WordPress产品安全漏洞 WP e-Commerce和Timthumb是WordPress的插件。
本周,上述WordPress插件被披露存在安全漏洞。远程攻击者可以利用漏洞执行任意代码或窃取敏感信息。CNVD收录的漏洞包括:WordPress WP e-Commerce Plug-in‘cart_messages[]'参数跨站脚本漏洞和WordPress Timthumb插件‘timthumb'目录任意文件上传漏洞。上述漏洞的综合评级均为“高危”。目前,互联网上已经出现针对“WordPress WP e-Commerce Plug-in ‘cart_messages[]'参数跨站脚本漏洞”的攻击代码,主要影响WordPress WP e-Commerce 3.8.6版本。厂商尚未修补该漏洞,只发布了“WordPress Timthumb插件‘timthumb'目录任意文件上传漏洞”的补丁程序,CNVD提醒广大用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
4、Joomla!产品安全漏洞。
本周,Joomla!的com_jdirectory组件和obSuggest组件存在安全漏洞。远程攻击者可以利用漏洞控制应用程序,访问或修改数据以及执行任意脚本。CNVD收录的漏洞包括:Joomla! com_jdirectory组件‘Itemid'参数SQL注入漏洞、Joomla! obSuggest组件‘controller'参数本地文件包含漏洞。目前,互联网上已经出现针对上述漏洞的攻击代码,且厂商尚未发布这些漏洞的补丁程序,CNVD提醒广大用户随时关注厂商主页获取最新版本。
5、Microsoft Windows CSRSS‘SrvGetConsoleTitle()'本地类型转换漏洞。
Microsoft Windows是一款操作系统。Microsoft Windows CSRSS存在安全漏洞。问题存在于执行某些大小检查时客户端/服务器运行子系统(CSRSS)中的"SrvGetConsoleTitle()"函数(winsrv.dll)存在一个类型转换错误,攻击者可以利用此漏洞获取某些CSRSS内存或引用非法内存导致内核崩溃。目前,厂商尚未发布该漏洞的修补程序,CNVD提醒广大用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
小结:本周,Google发布安全更新,修补Chrome存在的多个安全漏洞。攻击者可以利用漏洞绕过安全限制,执行任意代码或进行拒绝服务攻击,对使用Google产品的用户构成较为严重的威胁。同时,Apple QuickTime、WordPress和Joomla!组件也被披露存在多个安全漏洞。此外,Microsoft Windows零日漏洞也对使用该产品的用户构成较大威胁。请使用上述软件的相关机构和个人及时采取安全防范措施。