1 总体情况
1.1 本周漏洞情况
Ø 本周统计漏洞数112个,其中高危漏洞48个,中危漏洞64个,低危漏洞0个。漏洞数与前一周环比下降21.1%,与去年同期同比下降27.7%;
Ø 本周主要记录了Adobe Flash Player存在的多个高危漏洞,其类型主要是整数溢出、释放后重用、拒绝服务等;还记录了苹果公司的OS X、IOS、webkit等产品存在的多个高危漏洞,其类型主要是信息泄露、安全绕过、缓冲区溢出、任意代码执行或导致拒绝服务等。也跟踪记录了多个工业控制系统公司的多个产品的漏洞;
Ø 另外还继续跟踪记录了Cisco、IBM、HP、WordPress、Linux Kernel、Mybb、Xen等多家公司的多个产品的漏洞;
Ø 欲了解更加详细信息请跟阿尔法实验室联系。电话额82776690,电邮:ad_dep@topsec.com.cn;
1.2 本周恶意域名与地址跟踪情况
Ø 本统计期的恶意地址数量出现大幅上升。这是否跟目前两会已经结束,管理放松,导致大量恶意地址重新联网有关,我们还需要密切继续关注这些恶意地址变化情况;
Ø 在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,前十位的排名均保持不变,这种情况已经保持了两周,我们将继续观察这种平衡何时被打破。
Ø 在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、北京、浙江、江苏、河南位居前五,广东继续位居第一而浙江和江苏互换位置;
Ø 在本统计期的海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,排名没有变化;
Ø 详情参见“恶意域名与地址跟踪”
1.3 下周安全预警等级
中度
2 安全漏洞
2.1 漏洞统计
Ø 本周统计漏洞数112个,其中高危漏洞48个,中危漏洞64个,低危漏洞0个。漏洞数与前一周环比下降21.1%,与去年同期同比下降27.7%;
Ø 最近四周漏洞数量示意图:
2.2 漏洞预警
2.2.1 Adobe Flash Player 释放后重用漏洞
标题 | Adobe Flash Player 释放后重用漏洞漏洞 |
发布日期 | 2015/3/13 |
更新日期 | 2015/3/13 |
危险等级 | 高危 |
受影响系统 | Adobe Flash Player 13.0.0.277 之前的版本 14.x 至 17.0.0.134 之前的 17.x版本 on Windows OS X 11.2.202.451 之前的版本 on Linux |
详情描述 | CVE编号: CVE-2015-0341
Bugraq ID:
Adobe Flash Player是一种广泛使用的、专有的多媒体程序播放器。它最初由Macromedia编写,在Macromedia被Adobe收购后由Adobe继续开发并分发。Adobe Flash Player 13.0.0.277 之前的版本 14.x 至 17.0.0.134 之前的 17.x版本 on Windows OS X 11.2.202.451 之前的版本 on Linux 存在释放后重用漏洞,允许攻击者通过未指定向量执行任意代码。
以下是原始漏洞信息链接
https://helpx.adobe.com/security/products/flash-player/apsb15-05.html |
解决方案 | 厂商补丁
Adobe
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb15-05.html |
2.2.2 Adobe Flash Player任意文件上传漏洞
标题 | Adobe Flash Player任意文件上传漏洞 |
发布日期 | 2015/3/13 |
更新日期 | 2015/3/13 |
危险等级 | 高危 |
受影响系统 | Adobe Flash Player 13.0.0.277 之前的版本 14.x 至 17.0.0.134 之前的 17.x版本 on Windows OS X 11.2.202.451 之前的版本 on Linux |
详情描述 | CVE编号: CVE-2015-0340
Bugraq ID:
Adobe Flash Player是一种广泛使用的、专有的多媒体程序播放器。它最初由Macromedia编写,在Macromedia被Adobe收购后由Adobe继续开发并分发。Adobe Flash Player 13.0.0.277 之前的版本 14.x 至 17.0.0.134 之前的 17.x版本 on Windows OS X 11.2.202.451 之前的版本 on Linux 存在任意文件上传漏洞,允许远程攻击者通过未指定向量通过预期的文件上传限制。
以下是原始漏洞信息链接
https://helpx.adobe.com/security/products/flash-player/apsb15-05.html |
解决方案 | 厂商补丁
Adobe
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb15-05.html |
2.2.3 Apple OS X任意代码执行漏洞
标题 | Apple OS X任意代码执行漏洞 |
发布日期 | 2015/3/12 |
更新日期 | 2015/3/12 |
危险等级 | 高危 |
受影响系统 | Apple OS X 至 10.10.2之前的版本 |
详情描述 | CVE编号: CVE-2015-1066
Bugraq ID:
Apple OS X是苹果家族机器所使用的操作系统。Apple OS X 至 10.10.2 存在任意代码执行漏洞,允许攻击者由一个错误在苹果 OS X 中的 IOAcceleratorFamily 通过 10102 使得攻击者能够通过精心编制的应用程序的特权上下文中执行任意代码特权中执行任意代码。
以下是原始漏洞信息链接
https://support.apple.com/HT204413 |
解决方案 | 厂商补丁
Apple
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://support.apple.com/HT204413 |
2.2.4 WebKit 拒绝服务漏洞
标题 | WebKit 拒绝服务漏洞 |
发布日期 | 2015/3/18 |
更新日期 | 2015/3/18 |
危险等级 | 高危 |
受影响系统 | WebKit |
详情描述 | CVE编号: CVE-2015-1073
Bugraq ID:
WebKit是开源的Web浏览器引擎,目前被Safari、Chrome等浏览器使用。WebKit 存在拒绝服务漏洞,允许远程攻击者通过精心编制的网站执行任意代码或导致拒绝服务。
以下是原始漏洞信息链接
http://lists.apple.com/archives/security-announce/2015/Mar/msg00004.html |
解决方案 | 厂商补丁
Apple
---------
户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://lists.apple.com/archives/security-announce/2015/Mar/msg00004.html |
2.2.5 SCADA Engine BACnet OPC Server 基于堆的缓冲区溢出漏洞
标题 | SCADA Engine BACnet OPC Server 基于堆的缓冲区溢出漏洞 |
发布日期 | 2015/3/13 |
更新日期 | 2015/3/13 |
危险等级 | 高危 |
受影响系统 | SCADA Engine BACnet OPC Server 2.1.371.24 之前的版本 |
详情描述 | CVE编号: CVE-2015-0979
Bugraq ID:
SCADA Engine BACnet OPC Server是泰国SCADA Engine公司的一款用于在OPC客户端和兼容BACnet的设备之间提供数据访问、警告及事件、历史数据访问等功能的产品。SCADA Engine BACnet OPC Server 2.1.371.24 之前的版本存在基于堆的缓冲区溢出漏洞,允许远程攻击者通过精心编制的数据包执行任意代码。
以下是原始漏洞信息链接
https://ics-cert.us-cert.gov/advisories/ICSA-15-069-03 |
解决方案 | 厂商补丁
Scadaengine
---------
目前没有详细的解决方案,请到厂商的主页下载:http://www.scadaengine.com |
3 恶意域名与地址跟踪
3.1 总体情况
本期从国家权威部门获取的恶意域名数是17个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是12642个,将这些域名进行例行的IP地址解析,本周的验证结果如下:
Ø 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆和海外的地址列表排名均保持不变,这种情况已经保持了两周,我们将继续观察这种平衡何时被打破。
Ø 本期全部有效地址数量是2884个,其中海外有效地址数量是1870个,大陆有效地址数量是1014个,全部有效地址较上周相比减少714个,增幅为32.9%;海外地址和大陆地址数量较上周均出现了大幅上升。
Ø 对于本次统计期恶意地址数量出现的大幅的向上波动,这是否跟目前两会已经结束,管理放松,导致大量恶意地址重新联网有关,我们还需要密切继续关注这些恶意地址变化情况。以下是本统计期的数量趋势图。
3.2 单个IP地址对应的恶意域名数量前10位分析
3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析
我们看到跟前一周的记录相比,前10位的地址没有任何变化。这种情况已经保持了两周,我们将继续观察这种平衡何时被打破。
以下是大陆单个IP地址对应的恶意域名数量前10位地址列表:
IP地址 | 位置 | 是否属于大陆 | 域名数量 | 连续存活周期 |
112.124.19.114 | 北京市 万网志成科技有限公司 | TRUE | 1821 | 8 |
111.177.111.83 | 湖北省襄阳市 电信 | TRUE | 1472 | 25 |
60.221.255.11 | 山西省吕梁地区 联通 | TRUE | 1435 | 25 |
60.221.255.10 | 山西省吕梁地区 联通 | TRUE | 962 | 6 |
119.28.48.237 | 腾讯云服务器 | TRUE | 923 | 3 |
119.28.48.238 | 腾讯云服务器 | TRUE | 793 | 3 |
219.134.132.88 | 广东省深圳市 电信(龙岗/南山区) | TRUE | 386 | 69 |
219.150.241.46 | 河南省南阳市 电信 | TRUE | 203 | 69 |
118.184.176.13 | 广西 | TRUE | 196 | 17 |
183.136.235.15 | 浙江省 电信 | TRUE | 183 | 25 |
3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析
我们看到跟前一周的记录相比,海外前10位地址列表没有任何变化。这种情况已经保持了两周,我们将继续观察这种平衡何时被打破。
以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表:
IP地址 | 位置 | 是否属于大陆 | 域名数量 | 连续存活周期 |
88.198.132.3 | 德国 | FALSE | 269 | 79 |
54.235.159.97 | 美国 新泽西州Merck公司 | FALSE | 125 | 11 |
67.208.74.71 | 美国 | FALSE | 112 | 180 |
103.232.215.133 | 香港 | FALSE | 88 | 4 |
216.38.62.18 | 美国 | FALSE | 68 | 151 |
5.135.146.24 | 法国 | FALSE | 61 | 89 |
5.135.149.81 | 法国 | FALSE | 61 | 81 |
208.91.197.132 | 美国 | FALSE | 50 | 3 |
199.2.137.201 | 美国 | FALSE | 42 | 81 |
112.175.243.12 | 韩国 | FALSE | 40 | 10 |
3.3 大陆和海外的恶意地址地理分布情况
3.3.1 大陆恶意地址地理分布情况
在本周大陆的恶意地址地理分布排名列表中,广东、北京、浙江、江苏、河南位居前五,广东继续位居第一而浙江和江苏互换位置;以下是排名前十的具体的数字:
地区 | 广东 | 北京 | 浙江 | 江苏 | 河南 | 山东 | 湖南 | 上海 | 福建 | 河北 |
数量 | 135 | 122 | 106 | 101 | 67 | 61 | 36 | 34 | 33 | 31 |
以下是分布示意图:
3.3.2 海外恶意地址地理分布情况
在本周海外恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,排名没有变化;英国和加拿大的排名相对靠前,俄罗斯取代爱尔兰进入前十位。
以下是排名前十的具体的数字:
地区 | 美国 | 荷兰 | 香港 | 韩国 | 德国 | 加拿大 | 英国 | 巴西 | 俄罗斯 | 法国 |
数量 | 885 | 232 | 218 | 138 | 64 | 53 | 30 | 28 | 27 | 20 |
以下是分布示意图:
