敲詐者病毒活躍 需及時加強防范

文/鄭先偉

?

敲詐者病毒活躍 需及時加強防范

文/鄭先偉

4月教育網整體運行平穩，未發現影響嚴重的安全事件。

近期網站安全事件的投訴量有上升趨勢，網站漏洞的被發現主要得益于各大漏洞眾測平臺的報送，各平臺報送來的事件大部分是安全愛好者測試出網站存在安全漏洞，但是并未進行惡意攻擊，也有一小部分是已經檢測到網站存在后門或是暗鏈。

4月需要關注的依然是敲詐者病毒，近期又有多個變種出現，甚至出現了直接鎖定整個硬盤的敲詐病毒。用戶要加強防范，不輕易點擊來歷不明的郵件附件，不隨便訪問不安全的網站，并及時備份系統上的重要數據文件。

4月需要關注的漏洞有如下這些：

1. 微軟4月的例行安全公告共13項，其中6項為嚴重等級，7項為重要等級。這些公告共修補了Windows系統、IE瀏覽器、Office辦公軟件、Edge、.NET Framework、Skype商務版、微軟Lync、Web App及Flash Player產品中的31個安全漏洞，其中多個漏洞可能導致遠程執行任意代碼，用戶應該盡快使用Windows的自動更新功能安裝相應的補丁。相關漏洞的詳情請參見：https：//technet.microsoft. com/library/ms16-apr.aspx。

2. Oracle公司于4月發布了今年第二季度的例行安全公告，此次公告修補了Oracle公司產品中136個安全漏洞，涉及的產品包括：Oracle數據庫（5個）、中間件產品Fusion Middleware（22個）、企業管理器網格控制產品Oracle Enterprise Manager Grid Control（2個）、電子商務套裝軟件OracleE-Business Suite （7個）、供應鏈套裝軟件Oracle Supply Chain Products Suite（6個）、PeopleSoft產品（15個）、Berkeley DB（5個）、Virtualization（4個）、Financial Services Software（4個）、Retail Applications（3個）、Communications Applications（1個）、Health Sciences Applications（1個）、JDEdwards產品（1個）、 Java SE（9個）、OracleSun系統產品（18個）和MySQL數據庫（22）。用戶應該盡快更新相應的補丁程序。安全公告的詳細信息請參見：http：//www.oracle.com/technetwork/securityadvisory/cpuapr2016v3-2985753.html。

2016年3月～4月安全投訴事件統計

3. Apache發布了一個安全公告（https：//cwiki.apache.org/confluence/display/ WW/S2-032），提示Apache Struts2服務在開啟動態方法調用（DMI）的情況下，可以被遠程執行任意命令。漏洞影響Struts2 的2.0.0 -2.3.28 （除2.3.20.2和2.3.24.2以外）版本。漏洞存在的原因是Struts 2的核心jar包-struts2-core中存在一個default.properties的默認配置文件用于配置全局信息，當struts.enable. DynamicMethodInvocation= true，即系統開啟動態方法調用時攻擊者可以覆蓋系統相關參數從而執行任意命令。目前漏洞的攻擊代碼已經在互聯網上被公布。使用了Struts2框架的系統管理員應該盡快檢查自己系統，并升級有問題的版本。相關漏洞詳情及版本更新方法請參見：https：// cwiki.apache.org/confluence/display/WW/ Migration+Guide。

安全提示

Struts2在高校中使用的范圍很廣泛，很多專有的業務系統都可能使用了Struts2框架進行開發。從歷史的經驗看，Struts2漏洞的利用生命周期非常長，這主要是因為Struts2是WEB系統的底層框架，很多系統管理員根本不清楚自己的網站是否使用了Struts2，從而忽略了補丁的更新。鑒于此次漏洞的風險，我們建議學校各業務系統的管理員盡快檢查自己的系統是否使用了Struts2框架（如果不清楚請聯系系統的開發人員），如果使用了Struts2框架且屬于有漏洞的版本請盡快執行以下操作：

1. 升級Struts2框架至 2.3.20.2，2.3.24.2，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/ display/WW/Migration+Guide。2. 如果暫時不能更新Struts2版本，請關閉框架的動態調用功能來降低風險，具體的方式是修改Struts2的配置文件，將“struts.enable. DynamicMethodInvocation”的值設置為false，比如：。

（作者單位為中國教育和科研計算機網應急響應組）