从今年1月20日开始,一个实体通过AS8003自治域号向外发布BGP路由,宣告启用了之前未启用的IP地址段。
截至4月20日,这个自治域对外宣告的路由信息已占到全球IPv4路由表的5.7%,涉及的IP地址数量达到1.75亿个。
经查,这1.75亿个新启用的IP地址归属权为美国国防部,此次宣告是美国国防部授权进行的一个安全项目,目的是评估和防止外部未经授权使用美国国防部名下的IP地址,发现可能存在的安全隐患。
新公布的这1.75亿个地址都是合法的公网IPv4地址,并不会直接影响内网的安全。
如果在内网使用的都是合法的私网地址(10.0.0.0~10.255.255.255、172.16.0.0-172.31.255.255,192.168.0.0~192.168.255.255),就不会因为这次路由宣告而受到威胁。
但如果在内网错误地使用了前述1.75亿个公网IP地址,就可能导致内部信息被泄露出去。除了安全风险,这件事也暴露出当下互联网的不公平现状。
在IPv4地址资源日益枯竭的今天,美国的一个政府部门居然掌握着如此庞大的未启用资源。为了应对这种不公平的现状,我们需要加速向IPv6过渡。
2021年3月-4月CCERT安全投诉事件统计
4月,教育网整体安全投诉事件数量呈下降趋势。近期没有新增需要关注的病毒木马信息,需要防范的还是各类勒索病毒。
近期新增严重漏洞评述
01.微软2021年4月的例行安全公告中共修复了微软旗下多款产品中存在的108个安全漏洞。
需要特别关注的是Windows安全漏洞(CVE-2021-28445)和Exchange Server代码注入漏洞(CVE-2021-28482),攻击者可以成功利用这些漏洞远程执行任意代码,建议用户尽快进行系统安全更新以降低漏洞带来的风险。
02.Google V8引擎是一款开源JavaScript引擎。近期互联网上公布了Google V8引擎中的一个高危安全漏洞(CVE-2021-21220)的利用代码,若开发者关闭了V8引擎的沙盒功能(Windows版本的微信默认关闭沙盒功能),可能导致攻击者利用该漏洞远程执行任意代码。
目前,谷歌、微软公司尚未发布新版本修复关联漏洞,建议用户使用Chrome,Edge等浏览器时不要关闭默认的沙盒模式,谨慎访问来源不明的文件或网页链接,并及时关注厂商的更新公告。腾讯公司已发布微信新版本修复该漏洞,建议用户将微信(Windows版)更新至最新版本。
03.近期国内的各类攻防演练活动如火如荼地开展,在活动过程中暴露出一些国产软件的安全漏洞,包括:
亿邮电子邮件系统V8.3-V8.13部分二次开发版本存在高危漏洞,未经身份验证的攻击者利用该漏洞,可通过精心构造恶意请求,使用POST方法在目标服务器上执行命令,获取目标服务器权限,控制目标服务器。目前,漏洞细节已公开,厂商已发布版本补丁完成修复。
致远OA软件旧版本(V8.0以下)集成的Fastjson组件存在反序列化漏洞。未经身份验证的攻击者利用上述漏洞,可通过发送精心构造的恶意网络请求,获取目标服务器权限,实现服务器的远程代码执行。
致远公司已于2020年6月11日完成对集成Fastjon组件的漏洞修复,发布V8.0版本软件并在V8.0版本之后移除Fastjon组件。
04.OpenSSL软件发布了最新1.11k版本用于修补之前版本中存在的两个安全漏洞。
其中一个是拒绝服务攻击漏洞(CVE-2021-3449),允许攻击者通过从客户端发送特制的重协商ClientHello消息来触发DoS条件,从而影响运行OpenSSL1.1.1版本(启用TLS1.2和重协商)的服务器。
另一个CVE-2021-3450漏洞与使用X509_V_FLAG_X509_STRICT FLAG时验证证书链有关。建议使用低版本OpenSSL软件的用户尽快进行版本升级。
安全提示
随着国内各种攻防演练的开展,学校的网络安全防护工作压力越来越大。
尽管投入了大量的人力物力,却依然很难阻挡那些利用Oday漏洞及社会工程学(利用合法账户发起的攻击)发起的攻击。
面对这种现状,我们需要顺应形势发展,在做好全面的安全防护的同时,收缩重点防护对象的范围,基于系统分级和数据分级的基础,对重点系统重点数据进行强化防护。
此外,除了做好基础防护,还要加强安全审计,通过实时审计发现异常,及时阻断通过Oday和社会工程学发起的攻击。
作者:郑先伟(中国教育和科研计算机网应急响应组)