• 本文作者: 漏洞应急响应中心
  • |
  • 2015年12月27日
  • |
  • 安全动态
  • |

2015年第52周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞62个,其中高危漏洞24个,中危漏洞36个,低危漏洞2个。漏洞数与前一周环比减少了58.7.0%,与去年同比减少了53%;
  • 本周记录了思科公司发布的多个漏洞,涉及的产品有IOS XE、无线路由器、FireSIGHT管理中心、Prime 控制器等,漏洞类型主要是代码执行、信息泄露、安全机制绕过、拒绝服务等,在本周增加的漏洞数量中,按公司累计排名,思科公司最新发布的漏洞数量位居第一;还记录了Adobe公司的产品Acrobat Reader的一个基于堆的缓冲区溢出漏洞;另外还记录了IBM、EMC、Xen、Motorola、SAP等公司的多个产品的漏洞;
  • 本周安全产品的漏洞是美国瞻博网络(Juniper Networks)公司的一套运行于NetScreen系列防火墙中的操作系统Juniper ScreenOS存在的两个漏洞,分别是中间人攻击和万能密码漏洞。具体信息在天融信阿尔法实验室论坛 http://blog.topsec.com.cn 有比较详细的介绍;另外是美国赛门铁克(Symantec)公司的一套为台式机、笔记本电脑和可移动存储设备提供了高级加密和管理功能的软件SEE存在的信息泄露漏洞;

1.2 本周恶意域名与IP地址跟踪情况

  • 本周恶意IP地址数量在上一周出现剧烈上升后继续小幅上升,证明恶意地址数量长期趋势依旧向上;
  • 本周单个IP地址对应的恶意域名数量前10位列表显示,大陆和海外均没有出现地址的更替,这标志着目前处于暂时平衡的状态;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,上海、山东、湖南、河北、四川位居六至十位。跟前一周相比,没有出现地区更替,只是出现了名次交换;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,这个排名已经持续了数月不变;

1.3 下周安全预警等级

中度

2 安全漏洞

2.1 漏洞统计

 

2015-52-v

最近四周漏洞数量示意图

2015-52-vs

本周统计CVE漏洞前五位示意图

2.2 漏洞预警

2.2.1 Cisco Prime Network Services Controller任意命令执行漏洞

2015-52-1

2.2.2 IBM WebSphere Portal 拒绝服务漏洞

2015-52-2

2.2.3 Adobe Reader Acrobat 基于堆的缓冲区溢出漏洞

2015-52-3

2.2.4 VMware vRealize Orchestrator任意命令执行漏洞

2015-52-4

2.2.5 Juniper ScreenOS 万能密码漏洞

2015-52-5

 

3 恶意域名与IP地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是34个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是14032个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

  • 本周单个IP地址对应的恶意域名数量前10位列表显示,大陆和海外均没有出现地址的更替,这标志着目前处于暂时平衡的状态;
  • 在大陆的恶意IP地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,上海、山东、湖南、河北、四川位居六至十位。跟前一周相比,没有出现地区更替,只是出现了名次交换;
  • 在海外的恶意IP地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,巴西、法国、俄罗斯、英国、加拿大位居六到十位,跟前一周相比,加拿大从第六位降到第十位,巴西、法国、俄罗斯、英国名次依次向前移动一位;
  • 本期全部有效IP地址数量是3092个,其中海外有效IP地址数量是1999个,大陆有效IP地址数量是1093个,全部有效IP地址较上周相比增加了40个,增幅为1.31%,跟前一周相比,海外IP地址数量和大陆的IP地址数量均出现小幅上升;
  • 本统计期恶意IP地址数量在上一周出现剧烈上升后继续小幅上升,证明恶意地址数量长期趋势依旧向上以下是本统计期的数量趋势图:

2015-52

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

我们看到在本周的前十位列表中,没有出现地址的更替,目前在前十位列表中有五个地址跟一组恶意域名组有关,内容跟49周的前十位列表完全一致,这标志着目前又处于暂时平衡的状态。以下是详细介绍:

消失地址:

    • 无;

新增地址:

    • 无;

保持地址:

1) 2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com”等形式存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有湖北襄阳的IP地址111.177.111.83,涉及到的恶意域名数量保持在1484个,本周排名位居第一;
    • 在前十位列表中本周继续保持的有浙江省 电信的183.136.235.15,涉及到的恶意域名数量保持在183个,本周排名位居第十;

2) 长期以形式“[XXX]. isgre.at”形式存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中上周新增的天津联通的IP地址60.28.14.125,涉及到的恶意域名数量保持在1100,本周排名位居第二;
    • 在前十位列表中本周继续保持的有北京市联通的IP地址111.202.75.66,涉及到的恶意域名数量达到482个,本周排名位居第三;
    • 在前十位列表中本周继续保持的有北京市联通的IP地址123.125.93.20,涉及到的恶意域名数量增加到437个,本周排名位居第四;
    • 在前十位列表中本周继续保持的有天津市联通的IP地址60.28.14.121,涉及到的恶意域名数量增加到338个,本周排名位居第六;
    • 上周新增的一个天津联通的60.28.14.120,本周保持在前十位列表中涉及到的恶意域名数量增加到307个,本周排名第七;
    • 目前有五个地址跟今年二月爆发的以“[XXXX] .bjsyedu.cn”,”[XXXX].0519mr.net”形式存在的恶意域名组有关,目前这种现象正在延续;

3) 长期以形式“[xxx].conna.dtdns.net”存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有河南省南阳市电信的IP地址219.150.241.46,涉及的恶意域名数量维持在203个,本周排名位居第八,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;

4) 长期以形式“[xxxx].go.8800.org”存在的多个恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有广西的IP地址118.184.176.13,涉及的恶意域名数量维持在196个,本周排名位居第九,对应关系长期保持稳定,目前还没有发现有IP地址迁移的情况;

3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析

我们看到在本周的前十位列表中,出现了一个地址的更替,无论是消失的还是新增的地址,对应的恶意域名主要还是跟仿冒大陆金融诈骗网站有关。以下是详细介绍:

消失地址:

    • 无;

新增地址:

    • 无;

保持地址:

1) 以形式“20140816192246204.qqldp.com”存在,属于2014年9月爆发的以“[yyyymmddhhmmsssss]. kangdelvhua.com|annengdl.com|pengjinshun.com|maxbolift.com|qqldp.com|.iyomall.com|.sltbzy.com|.mtvmin.com” 等形式存在的多个恶意域名组对应的恶意IP地址跟踪

    • 在前十位列表中有韩国的IP地址210.183.56.13,涉及的恶意域名数量增加到537个,本周排名位居第一;
    • 在前十位列表中有韩国的IP地址175.195.249.246,涉及的恶意域名数量增加到536个,本周排名位居第二;
    • 在前十位列表中本周继续保持的有美国的IP地址50.63.202.42,涉及的恶意域名数量增加到291个,本周排名位居第三;

2) 长期以”[任意字符].usa/flu/igg.cc”形式存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有德国IP地址88.198.132.3,涉及的恶意域名数量保持在269个,本周排名位居第四;

3) 长期以形式“[xxxx].dyjclj.com、www.icbc[XXX].com”存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有香港的IP地址103.232.215.133,它涉及的域名数量增加到185个,本周排名位居第五;

4) 属于2014年上半年爆发的,长期以形式“138[9]+(6位数).lingjunedu.com”存在的恶意域名组对应IP地址变化情况跟踪

    • 上周新增的美国的IP地址184.168.221.54,涉及的恶意域名数量达到132个,本周排名位居第六;

5) 长期以”cdn.[xxxx].[xxxx].us、cdn.[xxx].com”形式存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有美国新泽西州Merck公司的IP地址54.235.159.97,它涉及的恶意域名数量维持在125个,本周排名位居第七;

6) 长期以形式“[xxx].rr.nu,[xxx].bestdeals.at”存在的多个恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有美国的IP地址67.208.74.71,它涉及的恶意域名数量保持在112个,本周排名位居第八;

7) 长期以形式“cebbank.com.mmt5.com,[cemn-toabao. comyaggggdofcai8.ce.ms,item.taobao”存在的多个金融诈骗恶意域名组对应IP地址变化情况跟踪

    • 在前十位列表中本周继续保持的有美国新泽西州Merck公司的54.72.9.51,它涉及的恶意域名数量达到86个,本周排名第九;

8) 长期以形式“[xxxx].dyjclj.com、www.icbc[XXX].com、[xxxx].wxx.1860asp.com”存在的多个金融诈骗恶意域名组对应IP地址变化情况跟踪

  • 在前十位列表中本周继续保持的有美国的209.99.40.222,它涉及的恶意域名数量达到74个,本周排名第十;

 

3.3 大陆和海外的恶意IP地址地理分布情况

3.3.1 大陆恶意IP地址地理分布情况

在本周大陆的恶意IP地址地理分布排名前十位列表中,北京、江苏、广东、浙江、河南位居前五,上海、山东、湖南、河北、四川位居六至十位,跟前一周相比,没有出现地区更替,只是出现了名次交换。即广东和浙江、河北和四川做了名次交换;以下是分布示意图:

2015-52-m

 

3.3.2 海外恶意IP地址地理分布情况

在本周海外恶意IP地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,巴西、法国、俄罗斯、英国、加拿大位居六到十位,跟前一周相比,加拿大从第六位降到第十位,巴西、法国、俄罗斯、英国名次依次向前移动一位;以下是分布示意图:

2015-52-o

 

Written by 漏洞应急响应中心