• 本文作者: 漏洞应急响应中心
  • |
  • 2015年6月5日
  • |
  • 未分类
  • |

2015年第23周安全通告

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞109个,其中高危漏洞26个,中危漏洞69个,低危漏洞14个。与前一周漏洞数环比上升28.2%,与去年同期漏洞数同比下降6.8%;
  • 本周主要记录了Cisco 的数字宽带数据传输、身份验证、下一代VPN客户端等多个产品的漏洞,IBM的业务流程管理、虚拟化管理、需求管理等多个产品的漏洞;
  • 也记录了Apache、Blue Coat、SAP的多个产品的多个漏洞;另外还记录了WordPress、Moodle、phpwind、Zenphoto 等多个CMS产品存在的多个漏洞;

1.2 本周恶意域名与地址跟踪情况

  • 本统计期恶意地址数量在前一周出现强势向上突破的走势后再次出现反向的剧烈调整,总的来说,每周的恶意地址数量还是处于缓步增加的趋势中;
  • 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆的前10位列表与前一周相比保持不变;海外的前10位列表与前一周相比出现了一个地址的更替;
  • 在本统计期的大陆的恶意地址数量地理分布排名列表中北京、广东、江苏、浙江、河南位居前五,跟前一周相比,名次没有变化;
  • 在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰互换位置;
  • 详情参见“恶意域名与地址跟踪”

1.3 下周安全预警等级

中度

 

2 安全漏洞

2.1 漏洞统计

  • 本周统计CVE漏洞109个,其中高危漏洞26个,中危漏洞69个,低危漏洞14个。漏洞数与前一周环比上升28.2%,与去年同期同比下降6.8%;
  • 最近四周漏洞数量示意图:

2015-23-V

2.2 漏洞预警

2.2.1 Cisco Headend System Release 信息泄露漏洞

标题

Cisco Headend System Release 信息泄露漏洞

发布日期

2015/5/30

更新日期

2015/5/30

危险等级

中危

受影响系统

Cisco Headend System Release

详情描述 CVE编号: CVE-2015-0745
Bugraq ID:
Cisco Headend System Release是美国思科(Cisco)公司的一套前端宽带数字传输系统。Cisco Headend System Release 存在信息泄露漏洞,允许远程攻击者通过精心编制的 HTTP 请求中头阅读临时脚本文件或存档文件,并因此获得敏感信息,。
以下是原始漏洞信息链接

http://tools.cisco.com/security/center/viewAlert.x?alertId=38944 

 

解决方案

 

厂商补丁
Cisco
———
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/viewAlert.x?alertId=38944

2.2.2 Cisco Conductor for Videoscape 任意cookie注入漏洞

标题

Cisco Conductor for Videoscape 任意cookie注入漏洞

发布日期

2015/5/30

更新日期

2015/5/30

危险等级

中危

受影响系统

Cisco Conductor for Videoscape 3.0

详情描述 CVE编号: CVE-2015-0747
Bugraq ID:
Cisco Conductor for Videoscape是美国思科(Cisco)公司的一套融合了数字电视、线上内容、社交媒体和通信应用的视频平台。Cisco Conductor for Videoscape 3.0 存在任意cookie注入漏洞,允许远程攻击者通过精心编制的 HTTP 请求注入任意cookie。
以下是原始漏洞信息链接

http://tools.cisco.com/security/center/viewAlert.x?alertId=38945 

 

解决方案

厂商补丁
Cisco
———
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/viewAlert.x?alertId=38945

2.2.3 IBM PowerVC 特权获取漏洞

标题

IBM PowerVC 特权获取漏洞

发布日期 2015/5/30
更新日期 2015/5/30
危险等级 高危
受影响系统 IBM PowerVC 1.2.0.x 至 1.2.0.4, 1.2.1.x 至 1.2.1.2,1.2.2.x 至 1.2.2.2
详情描述 CVE编号: CVE-2015-1937
Bugraq ID:
IBM PowerVC是美国IBM公司的一套虚拟化管理解决方案。该方案支持虚拟系统管理、虚拟图像管理和部署、以及虚拟工作负载管理等。IBM PowerVC 1.2.0.x 至 1.2.0.4, 1.2.1.x 至 1.2.1.2,1.2.2.x 至 1.2.2.2 存在特权获取漏洞,允许远程攻击者通过对port 27017 会话读取或写入任意数据库记录,而且因此获得 administrar 的特权,。
以下是原始漏洞信息链接

http://www-01.ibm.com/support/docview.wss?uid=swg1IT08806 

 

解决方案

 

厂商补丁
IBM
———
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www-01.ibm.com/support/docview.wss?uid=swg1IT08806

2.2.4 phpwind 跨站点脚本漏洞

标题

phpwind 跨站点脚本漏洞

发布日期

2015/5/28

更新日期

2015/5/28

危险等级

中危

受影响系统

phpwind 8.7

详情描述 CVE编号: CVE-2015-4135
Bugraq ID:
phpwind是一款国内比较流行的基于PHP的Web论坛程序。phpwind 8.7 存在跨站点脚本漏洞,允许远程攻击者通过 url 参数注入任意 web 脚本或 HTML。
以下是原始漏洞信息链接

http://tetraph.com/security/xss-vulnerability/phpwind-v8-7-xss/ 

 

解决方案

 

厂商补丁
phpwind
———
目前没有详细的解决方案,请到厂商的主页下载:http://www.phpwind.net

 

2.2.5 Moodle 目录遍历漏洞

标题

Moodle 目录遍历漏洞

发布日期 2015/6/1
更新日期 2015/6/1
危险等级 中危
受影响系统 Moodle 至 2.5.9, 2.6.8, 之前的 2.6.x版本 2.7.5之前的 2.7.x版本,2.8.x 之前的 2.8.3 版本
详情描述 CVE编号: CVE-2015-1493
Bugraq ID:
Moodle是一个课程管理系统(CMS),也被叫做学习管理系统(LMS)或虚拟学习环境(VLE)。Moodle 至 2.5.9, 2.6.8, 之前的 2.6.x版本 2.7.5,2.8.x 之前的 2.8.3 之前的 2.7.x版本版本 存在目录遍历漏洞,允许已通过身份验证的远程用户通过在文件参数读取任意文件。
以下是原始漏洞信息链接

http://openwall.com/lists/oss-security/2015/02/09/2 

 

解决方案 厂商补丁
Moodle
———
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:

http://www.moodle.com

 

 

3 恶意域名与地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是14个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13216个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆的前10位列表与前一周相比保持不变;海外的前10位列表与前一周相比出现了一个地址的更替;
  • 在大陆的恶意地址数量地理分布排名列表中,北京、广东、江苏、浙江、河南位居前五,跟前一周相比,名次没有变化;
    • 在海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰互换位置;
    • 本期全部有效地址数量是2304个,其中海外有效地址数量是1445个,大陆有效地址数量是859个,全部有效地址较上周相比减少602个,降幅达到20.72%;跟前一周相比,海外地址数量和大陆地址数量均出现剧烈的下降。
    • 本次统计期恶意地址数量在前一周出现强势向上突破的走势后再次出现反向的剧烈调整,总的来说,每周的恶意地址数量还是处于缓步增加的趋势中。以下是本统计期的数量趋势图。

2015-23

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到跟前一周的记录相比,前十位记录保持不变,需要继续关注以下三点:

目前还有北京市联通的111.206.120.34和天津市联通的60.28.14.125依旧存在,还需要继续关注;

前一周进入前十位的地址江苏省镇江市电信的222.186.129.198继续存在,涉及到107个类似于“xxxxxx.xxxxx.pw”的恶意域名,需要严加关注;

目前在前十位列表中还有四个跟去年九月大量恶意域名爆发有关的地址,它们是一个湖北襄阳的地址,两个山西吕梁地址和一个浙江的地址,它们涉及到的恶意域名数量还是保持在高位,需要继续关注;

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

111.177.111.83

湖北省襄阳市 电信

TRUE

1484

36

60.221.255.11

山西省吕梁地区 联通

TRUE

1452

36

111.206.120.34

北京市 联通

TRUE

1121

38

60.28.14.125

天津市 联通

TRUE

1090

42

60.221.255.10

山西省吕梁地区 联通

TRUE

1055

17

219.134.132.88

广东省深圳市 电信(龙岗/南山区)

TRUE

386

10

219.150.241.46

河南省南阳市 电信

TRUE

203

80

118.184.176.13

广西

TRUE

196

28

183.136.235.15

浙江省 电信

TRUE

183

6

222.186.129.198

江苏省镇江市 电信

TRUE

108

7

3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析

我们看到跟前一周的记录相比,前十位记录出现了一个地址的更替。前二周新增的一个美国地址208.91.197.132消失,而新增了一个美国新泽西州Merck公司的54.72.9.51,它涉及到77个恶意域名,主要跟金融诈骗有关,如“taocao-com88.ce.ms”、“www.taobaosxx.com”、“xz.8lungu.com”等恶意域名。

另外需要继续关注以下三点:

前一周新增的韩国地址59.11.88.234继续出现,它涉及到的恶意域名大部分是类似“20140914121153313.sltbzy.com”的恶意域名,这正是跟去年九月大量恶意域名爆发有关的域名。这也是一个国内恶意域名爆发后对应地址迁移到海外的一个实例。

还需要高度关注的是继续保持第一位的美国地址74.82.63.228。它涉及到的恶意域名数量达到684个,较继续增加,这些恶意域名大部分是以“xxxxx.bjsyedu.cn”形式存在,这正是前段时间以北京万网地址112.124.19.11为首的恶意域名爆发事件涉及的恶意域名,由此可以看出,这些恶意域名对应的IP地址已经转移到海外,以逃避控制和监管;

另外持续关注香港的IP地址如103.232.215.133、 123.1.151.85两个地址中,123.1.151.85继续消失,根据以往经验,需要继续跟踪这个地址何时再出现在前十位列表中。

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表:

 

IP地址

位置

是否属于大陆

域名数量

连续存活周期

74.82.63.228

美国

FALSE

684

5

59.11.88.234

韩国

FALSE

537

3

88.198.132.3

德国

FALSE

269

90

54.235.159.97

美国 新泽西州Merck公司

FALSE

125

22

67.208.74.71

美国

FALSE

112

191

103.232.215.133

香港

FALSE

97

7

54.72.9.51

美国 新泽西州Merck公司

FALSE

77

1

216.38.62.18

美国

FALSE

68

162

5.135.146.24

法国

FALSE

61

100

5.135.149.81

法国

FALSE

61

92

 

3.3 大陆和海外的恶意地址地理分布情况

3.3.1 大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,北京、广东、江苏、浙江、河南位居前五,跟前一周相比,排名没有变化;在第七到第十的排名中,河北和湖南交换位置,没有出现新的地区;

以下是排名前十的具体情况

地区

北京

广东

江苏

浙江

河南

山东

上海

湖南

河北

福建

数量

128

107

97

95

56

40

33

32

30

27

 

以下是分布示意图:
2015-23-m

3.3.2 海外恶意地址地理分布情况

在本周海外恶意地址地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰互换位置,但涉及到的地址数量较前一周有大幅下降;在第六到第十的排名中,跟前一周相比英国排名大幅提前到第六,加拿大排名第十,而巴西、俄罗斯和法国分列第七到第九;

以下是排名前十的具体情况:

 

地区

美国

香港

荷兰

韩国

德国

英国

巴西

俄罗斯

法国

加拿大

数量

662

224

193

94

44

19

18

17

13

11

以下是分布示意图:

2015-23-o

Written by 漏洞应急响应中心