1 总体情况
1.1 本周漏洞情况
Ø 本周统计CVE漏洞77个,其中高危漏洞23个,中危漏洞46个,低危漏洞8个。漏洞数与前一周环比下降49.7%,与去年同期同比上升1.3%;
Ø 本周主要记录了McAfee 高级威胁防护系统3.4.4.63 之前的版本存在信息泄露漏洞和配置任意更改漏洞;思科公司的IOS、统一通信平台存在的SQL注入、代码执行、信息泄露等多个漏洞;还关注了多个工业控制系统产品存在的蛮力破解漏洞、安全机制绕过漏洞、信息泄露漏洞;
Ø 也记录了IBM、HP、Siemens、Wordpress、Citrix、CA等多家公司的产品的多个漏洞;
Ø 欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;
1.2 本周恶意域名与地址跟踪情况
Ø 本次统计期恶意地址数量在前一周大幅反弹后再次出现下降,创出年内的次低点,今年的恶意地址数量出现了比较明显的下降趋势;
Ø 在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,跟前一周相比前十位的排名均保持不变,我们将继续跟踪观察这种新的状态的稳定情况。
Ø 在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、江苏、北京、浙江、河南位居前五,跟前一周相比江苏和北京互换位置,江苏的排名这两周持续走高,需要关注;
Ø 在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰再次互换位置;
Ø 详情参见“恶意域名与地址跟踪”
1.3 下周安全预警等级
中
2 安全漏洞
2.1 漏洞统计
Ø 本周统计CVE漏洞77个,其中高危漏洞23个,中危漏洞46个,低危漏洞8个。漏洞数与前一周环比下降49.7%,与去年同期同比上升1.3%;
Ø 最近四周漏洞数量示意图:
2.2 漏洞预警
2.2.1 McAfee Advanced Threat Defense 信息泄露漏洞
标题 | McAfee Advanced Threat Defense 信息泄露漏洞 |
发布日期 | 2015/4/8 |
更新日期 | 2015/4/8 |
危险等级 | 中危 |
受影响系统 | McAfee Advanced Threat Defense 3.4.4.63 之前的版本 |
详情描述 | CVE编号: CVE-2015-3029
Bugraq ID:
McAfee Advanced Threat Defense是美国迈克菲(McAfee)公司的将病毒特征码和威胁信誉分析与检查恶意软件实际行为的沙盒技术相结合,抵御包括零日威胁在内的高级恶意软件的安全解决方案。McAfee Advanced Threat Defense 3.4.4.63 之前的版本 存在信息泄露漏洞,允许已通过身份验证的远程用户通过未指定向量获取敏感信息。
以下是原始漏洞信息链接
https://kc.mcafee.com/corporate/index?page=content&id=SB10112 |
解决方案 | 厂商补丁
McAfee
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://kc.mcafee.com/corporate/index?page=content&id=SB10112 |
2.2.2 McAfee Advanced Threat Defense 配置任意更改漏洞
标题 | McAfee Advanced Threat Defense 配置任意更改漏洞 |
发布日期 | 2015/4/8 |
更新日期 | 2015/4/8 |
危险等级 | 中危 |
受影响系统 | McAfee Advanced Threat Defense 3.4.4.63 之前的版本 |
详情描述 | CVE编号: CVE-2015-3028
Bugraq ID:
McAfee Advanced Threat Defense是美国迈克菲(McAfee)公司的将病毒特征码和威胁信誉分析与检查恶意软件实际行为的沙盒技术相结合,抵御包括零日威胁在内的高级恶意软件的安全解决方案。McAfee Advanced Threat Defense 3.4.4.63 之前的版本存在配置任意更改漏洞,允许已通过身份验证的远程用户通过精心编制参数通过拟的限制和更改或更新配置设置。
以下是原始漏洞信息链接
https://kc.mcafee.com/corporate/index?page=content&id=SB10112 |
解决方案 | 厂商补丁
McAfee
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://kc.mcafee.com/corporate/index?page=content&id=SB10112 |
2.2.3 Cisco ASR 拒绝服务漏洞
标题 | Cisco ASR 拒绝服务漏洞 |
发布日期 | 2015/4/3 |
更新日期 | 2015/4/3 |
危险等级 | 高危 |
受影响系统 | Cisco ASR 1000 device |
详情描述 | CVE编号: CVE-2015-0688
Bugraq ID:
Cisco ASR是美国思科(Cisco)公司的使用 IOS XR Software模块操作系统来提供运营商级别可靠性的集成服务路由器解决方案。Cisco ASR 1000 device with an Embedded Services Processor module 存在拒绝服务漏洞,允许远程攻击者通过 H323 数据包导致拒绝服务。
以下是原始漏洞信息链接
http://tools.cisco.com/security/center/viewAlert.x?alertId=38210 |
解决方案 | 厂商补丁
Cisco
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/viewAlert.x?alertId=38210 |
2.2.4 Cisco Unity Connection 拒绝服务漏洞
标题 | Cisco Unity Connection 拒绝服务漏洞 |
发布日期 | 2015/4/3 |
更新日期 | 2015/4/3 |
危险等级 | 高危 |
受影响系统 | Cisco Unity Connection 8.5 之前的版本 |
详情描述 | CVE编号: CVE-2015-0616
Bugraq ID:
Cisco Unity Connection是美国思科(Cisco)公司的一套语音留言平台。该平台可利用语音命令,以“免提”方式拨打电话或者收听留言。Cisco Unity Connection 8.5 之前的版本存在拒绝服务漏洞,允许远程攻击者通过不当终止 SIP 的 TCP 连接导致拒绝服务。
以下是原始漏洞信息链接
http://tools.cisco.com/security/center/content/ CiscoSecurityAdvisory/cisco-sa-20150401-cuc |
解决方案 | 厂商补丁
Cisco
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/content/ CiscoSecurityAdvisory/cisco-sa-20150401-cuc |
2.2.5 Siemens SIMATIC HMI Comfort Panels WinCC 拒绝服务漏洞
标题 | Siemens SIMATIC HMI Comfort Panels WinCC 拒绝服务漏洞 |
发布日期 | 2015/4/8 |
更新日期 | 2015/4/8 |
危险等级 | 高危 |
受影响系统 | Siemens SIMATIC HMI Comfort Panels before WinCC 13 SP1 Upd2 SIMATIC WinCC Runtime Advanced before WinCC 13 SP1 Upd2 |
详情描述 | CVE编号: CVE-2015-2822
Bugraq ID:
Siemens SIMATIC HMI是德国西门子(Siemens)公司的用作相应PLC和操作者之间的人机接口。Siemens SIMATIC HMI Comfort Panels before WinCC 13 SP1 Upd2 SIMATIC WinCC Runtime Advanced before WinCC 13 SP1 Upd2 存在拒绝服务漏洞,中间人攻击通过精心编制的数据包,在 TCP 端口 102 上导致拒绝服务。
以下是原始漏洞信息链接
http://www.siemens.com/innovation/pool/de/forschungsfelder/ siemens_security_advisory_ssa-487246.pdf |
解决方案 | 厂商补丁
Siemens
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.siemens.com/innovation/pool/de/forschungsfelder/ siemens_security_advisory_ssa-487246.pdf |
3 恶意域名与地址跟踪
3.1 总体情况
本期从国家权威部门获取的恶意域名数是8个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是12836个,将这些域名进行例行的IP地址解析,本周的验证结果如下:
Ø 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,跟前一周相比大陆和海外的地址列表排名均保持不变,我们将继续观察这种新的状态的稳定情况。
Ø 在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、江苏、北京、浙江、河南位居前五,跟前一周相比江苏和北京互换位置,江苏的排名这两周持续走高,需要继续关注;
Ø 在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰再次互换位置;
Ø 本期全部有效地址数量是1888个,其中海外有效地址数量是1213个,大陆有效地址数量是675个,全部有效地址较上周相比减少187个,降幅达到9.01%;海外地址和大陆地址数量较上周均出现了大幅下降。
Ø 本次统计期恶意地址数量在前一周大幅反弹后再次出现下降,创出年内的次低点,今年的恶意地址数量出现了比较明显的下降趋势。我们还将继续关注这些恶意地址数量的变化情况。以下是本统计期的数量趋势图。
3.2 单个IP地址对应的恶意域名数量前10位分析
3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析
我们看到跟前一周的记录相比,前10位的地址保持不变。北京市联通的111.206.120.34和天津市 联通的60.28.14.125涉及的恶意域名对的数量继续上升,这些恶意域名对正是跟前期的北京的万网志成科技有限公司的112.124.19.114对应的恶意域名对类似,例如 [XXXX].0519mr.net、 [XXXX] .bjsyedu.cn、xasobe.mingyuanjiafang.com等,这标志着以北京的万网志成科技有限公司的112.124.19.114涉及大量恶意域名的为起头的恶意域名爆发事件,正在继续发展,出现了新的变化。
而去年九月爆发的大量恶意域名对涉及的恶意地址中,目前还有一个湖北襄阳的地址,一个浙江电信地址,两个山西吕梁地址共四个地址,依旧存在。
以下是大陆单个IP地址对应的恶意域名数量前10位地址列表,黄色标记需要重点关注的地址:
IP地址 | 位置 | 是否属于大陆 | 域名数量 | 连续存活周期 |
112.124.19.114 | 北京市 万网志成科技有限公司 | TRUE | 1847 | 11 |
111.177.111.83 | 湖北省襄阳市 电信 | TRUE | 1478 | 28 |
60.221.255.11 | 山西省吕梁地区 联通 | TRUE | 1444 | 28 |
60.221.255.10 | 山西省吕梁地区 联通 | TRUE | 1020 | 9 |
111.206.120.34 | 北京市 联通 | TRUE | 814 | 30 |
60.28.14.125 | 天津市 联通 | TRUE | 767 | 34 |
219.134.132.88 | 广东省深圳市 电信(龙岗/南山区) | TRUE | 386 | 2 |
219.150.241.46 | 河南省南阳市 电信 | TRUE | 203 | 72 |
118.184.176.13 | 广西 | TRUE | 196 | 20 |
183.136.235.15 | 浙江省 电信 | TRUE | 183 | 2 |
3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析
我们看到跟前一周的记录相比,海外前10位地址列表保持不变。
以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表:
IP地址 | 位置 | 是否属于大陆 | 域名数量 | 连续存活周期 |
88.198.132.3 | 德国 | FALSE | 269 | 82 |
54.235.159.97 | 美国 新泽西州Merck公司 | FALSE | 125 | 14 |
67.208.74.71 | 美国 | FALSE | 112 | 183 |
103.232.215.133 | 香港 | FALSE | 90 | 2 |
216.38.62.18 | 美国 | FALSE | 68 | 154 |
5.135.146.24 | 法国 | FALSE | 61 | 92 |
5.135.149.81 | 法国 | FALSE | 61 | 84 |
208.91.197.132 | 美国 | FALSE | 56 | 6 |
69.46.84.51 | 美国 | FALSE | 46 | 25 |
199.2.137.201 | 美国 | FALSE | 42 | 84 |
3.3 大陆和海外的恶意地址地理分布情况
3.3.1 大陆恶意地址地理分布情况
在本周大陆的恶意地址地理分布排名列表中,广东、江苏、北京、浙江、河南位居前五,江苏和北京互换位置,江苏的排名这两周持续走高,需要继续关注;第六到第十的排名天津替换江西首次进入前十;
地区 | 广东 | 江苏 | 北京 | 浙江 | 河南 | 山东 | 湖南 | 福建 | 上海 | 天津 |
数量 | 87 | 79 | 78 | 76 | 41 | 28 | 28 | 22 | 21 | 19 |
以下是分布示意图:
