1 总体情况
1.1 本周漏洞情况
Ø 本周统计CVE漏洞45个,其中高危漏洞16个,中危漏洞27个,低危漏洞2个。漏洞数与前一周环比下降77.5%,与去年同期同比下降54.1%;
Ø 本周主要记录跟踪了Cisco、IBM、HP、Red Hat等厂商的多个产品的多个漏洞;
Ø 本周漏洞关注到二个开源软件的高危漏洞。一个是支持WEP、WPA/WPA2和WAPI无线协议和加密认证的程序wpa_supplicant存在基于堆的缓冲区溢出漏洞,可能导致读取内存,或执行任意代码;一个是免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件FFmpeg存在释放后重用漏洞,可能导致拒绝服务或其他未知影响;
Ø 欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;
1.2 本周恶意域名与地址跟踪情况
Ø 本次统计期恶意地址数量在前一周创下本年最高点以后出现了明显的回落态势,整体图形上出现了区间整理的苗头;
Ø 在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,需要重点关注这两个新增地址,一个是浙江的183.136.235.15,一个是香港的123.1.151.85,它们涉及恶意域名的数量分别是183个和43个;
Ø 在本统计期的大陆的恶意地址数量地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,广东和江苏互换位置,江苏排名第三,广东排名第四;
Ø 在本统计期的海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比,荷兰和香港交换位置;
Ø 详情参见“恶意域名与地址跟踪”
1.3 下周安全预警等级
中度
2 安全漏洞
2.1 漏洞统计
Ø 本周统计CVE漏洞45个,其中高危漏洞16个,中危漏洞27个,低危漏洞2个。漏洞数与前一周环比下降77.5%,与去年同期同比下降54.1%
Ø 最近四周漏洞数量示意图:
2.2 漏洞预警
2.2.1 wpa_supplicant 基于堆的缓冲区溢出漏洞
标题 | wpa_supplicant 基于堆的缓冲区溢出漏洞 |
发布日期 | 2015/4/28 |
更新日期 | 2015/4/28 |
危险等级 | 高危 |
受影响系统 | wpa_supplicant 1.0 至 2.4 |
详情描述 | CVE编号: CVE-2015-1863
Bugraq ID:
wpa_supplicant是软件开发者Jouni Malinen和其他贡献者共同开发的一套运行在后台的守护程序,它主要用来支持WEP、WPA/WPA2和WAPI无线协议和加密认证。wpa_supplicant 1.0 至 2.4 存在基于堆的缓冲区溢出漏洞,允许远程攻击者通过精心编制的 SSID 信息在创建或更新 P2P 条目时的管理框架导致拒绝服务 (崩溃),读取内存,或可能执行任意代码。
以下是原始漏洞信息链接
http://w1.fi/security/2015-1/wpa_supplicant-p2p-ssid-overflow.txt |
解决方案 | 厂商补丁
wpa_supplicant
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://w1.fi/security/2015-1/wpa_supplicant-p2p-ssid-overflow.txt |
2.2.2 Cisco FireSIGHT Management Center 打开重定向漏洞
标题 | Cisco FireSIGHT Management Center 打开重定向漏洞 |
发布日期 | 2015/4/22 |
更新日期 | 2015/4/22 |
危险等级 | 中危 |
受影响系统 | Cisco FireSIGHT Management Center |
详情描述 | CVE编号: CVE-2015-0706
Bugraq ID:
Cisco FireSIGHT Management Center是美国思科(Cisco)公司的一套支持集中管理采用FirePOWER Services的Cisco ASA和思科FirePOWER网络安全设备的网络安全和运行功能的管理中心软件。Cisco FireSIGHT Management Center 存在打开重定向漏洞,允许远程攻击者通过精心编制的 HTTP 标头将用户重定向到任意的 web 站点,并进行网络钓鱼攻击。
以下是原始漏洞信息链接
http://tools.cisco.com/security/center/viewAlert.x?alertId=38486 |
解决方案 | 厂商补丁
Cisco
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://tools.cisco.com/security/center/viewAlert.x?alertId=38486 |
2.2.3 HP TippingPoint Security Management System TippingPoint Virtual Security Management System 任意代码执行漏洞
标题 | HP TippingPoint Security Management System TippingPoint Virtual Security Management System 任意代码执行漏洞 |
发布日期 | 2015/4/16 |
更新日期 | 2015/4/16 |
危险等级 | 中危 |
受影响系统 | HP TippingPoint Security Management System TippingPoint Virtual Security Management System 4.1 之前的版本 |
详情描述 | CVE编号: CVE-2015-2117
Bugraq ID:
HP TippingPoint Security Management System是美国惠普(HP)公司的企业级安全管理系统。该系统提供HP TippingPoint产品部署、安全策略制定和高级威胁防护等功能。vSMS是虚拟版安全管理系统。HP TippingPoint Security Management System TippingPoint Virtual Security Management System 4.1 之前的版本 patch 3 4.2 before patch 1 存在任意代码执行漏洞,允许远程攻击者通过上载此代码中的存档或实例化类执行任意代码。
以下是原始漏洞信息链接
https://h20564.www2.hp.com/portal/site/hpsc/ public/kb/docDisplay?docId=emr_na-c04626974 |
解决方案 | 厂商补丁
HP
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://h20564.www2.hp.com/portal/site/hpsc /public/kb/docDisplay?docId=emr_na-c04626974 |
2.2.4 IBM WebSphere Application Server 权限提升漏洞
标题 | IBM WebSphere Application Server 权限提升漏洞 |
发布日期 | 2015/4/27 |
更新日期 | 2015/4/27 |
危险等级 | 高危 |
受影响系统 | IBM WebSphere Application Server 7.0.0.39, 之前的 7.0版本 8.0.0.11, 之前的 8.0版本 Liberty Profile 8.5.5.5,之前的8.5版本 |
详情描述 | CVE编号: CVE-2015-1885
Bugraq ID:
IBM WebSphere Application Server是美国IBM公司的遵照开放标准开发并发行的一种应用服务器。IBM WebSphere Application Server 7.0.0.39, 之前的 7.0版本 8.0.0.11, 之前的 8.0版本 8.5 Liberty Profile 8.5.5.5,8.5 之前的版本 Full Profile 8.5.5.6 之前的版本 存在权限提升漏洞,允许远程攻击者通过未指定向量获得权限。
以下是原始漏洞信息链接
http://www-01.ibm.com/support/docview.wss?uid=swg1PI36211 |
解决方案 | 厂商补丁
IBM
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www-01.ibm.com/support/docview.wss?uid=swg1PI36211 |
2.2.5 FFmpeg 释放后重用漏洞
标题 | FFmpeg 释放后重用漏洞 |
发布日期 | 2015/4/24 |
更新日期 | 2015/4/24 |
危险等级 | 高危 |
受影响系统 | FFmpeg 2.3.6 之前的版本 |
详情描述 | CVE编号: CVE-2015-3417
Bugraq ID:
FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件。FFmpeg 2.3.6 之前的版本存在释放后重用漏洞,允许远程攻击者通过精心设计 H264 MP4 文件中的数据导致拒绝服务或可能有未指定的其他影响。
以下是原始漏洞信息链接
https://github.com/FFmpeg/FFmpeg/commit/ e8714f6f93d1a32f4e4655209960afcf4c185214 |
解决方案 | 厂商补丁
FFmpeg
---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://github.com/FFmpeg/FFmpeg/commit/ e8714f6f93d1a32f4e4655209960afcf4c185214 |
3 恶意域名与地址跟踪
3.1 总体情况
本期从国家权威部门获取的恶意域名数是47个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13119个,将这些域名进行例行的IP地址解析,本周的验证结果如下:
Ø 根据分析单个IP地址对应的恶意域名数量前10位列表的结果,跟前一周相比大陆和海外都出现了一个地址的变化。需要重点关注这两个新增地址,一个是浙江的183.136.235.15,一个是香港的123.1.151.85,它们涉及恶意域名的数量分别是183个和43个;
Ø 在大陆的恶意地址数量地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,广东和江苏互换位置,江苏排名第三,广东排名第四;在第六到第十的排名中河北取代江西进入前十位,山东、湖南的排名有所靠前,福建排名靠后;
Ø 在海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比,荷兰和香港交换位置;在第六到第十的排名中俄罗斯、法国、加拿大也交换了位置;
Ø 本期全部有效地址数量是2020个,其中海外有效地址数量是1226个,大陆有效地址数量是794个,全部有效地址较上周相比减少178个,降幅达到8.1%;海外地址和大陆地址数量较上周均出现了十分显著的下降。
Ø 本次统计期恶意地址数量在前一周创下本年最高点以后出现了明显的回落态势,整体图形上出现了区间整理的苗头。以下是本统计期的数量趋势图。
3.2 单个IP地址对应的恶意域名数量前10位分析
3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析
我们看到跟前一周的记录相比,前10位的地址出现了一点变化:上海移动的221.130.179.36消失,浙江省 电信的183.136.235.15再次出现;
这个浙江地址正是属于去年九月爆发的大量恶意域名对涉及的恶意地址的列表中,目前在前十位列表中还有四个跟这次大量恶意域名爆发有关的地址:一个湖北襄阳的地址,两个山西吕梁地址和浙江的这个地址,它们涉及到的恶意域名数量还是保持在高位,也需要继续关注。
以北京的万网志成科技有限公司的112.124.19.11为标志的涉及大量恶意域名爆发事件,正在继续发展,北京市联通的111.206.120.34和天津市 联通的60.28.14.125涉及的恶意域名对的数量还在继续上升,还需要继续关注;
以下是大陆单个IP地址对应的恶意域名数量前10位地址列表,黄色标记需要重点关注的地址:
IP地址 | 位置 | 是否属于大陆 | 域名数量 | 连续存活周期 |
112.124.19.114 | 北京市 万网志成科技有限公司 | TRUE | 1853 | 14 |
111.177.111.83 | 湖北省襄阳市 电信 | TRUE | 1480 | 31 |
60.221.255.11 | 山西省吕梁地区 联通 | TRUE | 1449 | 31 |
111.206.120.34 | 北京市 联通 | TRUE | 1049 | 33 |
60.221.255.10 | 山西省吕梁地区 联通 | TRUE | 1040 | 12 |
60.28.14.125 | 天津市 联通 | TRUE | 1023 | 37 |
219.134.132.88 | 广东省深圳市 电信(龙岗/南山区) | TRUE | 386 | 5 |
219.150.241.46 | 河南省南阳市 电信 | TRUE | 203 | 75 |
118.184.176.13 | 广西 | TRUE | 196 | 23 |
183.136.235.15 | 浙江省 电信 | TRUE | 183 | 1 |
3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析
我们看到跟前一周的记录相比,一个美国的69.46.84.51消失,而新增了一个香港的123.1.151.85;
对这个新增的地址涉及的恶意域名进行深入分析发现,对应的恶意域名跟前一周重点关注的香港的103.232.215.133涉及的恶意域名类似,都是对应的“xxxx.dyjclj.com”的恶意域名,目前它对应的恶意域名数量是43个,还需要继续关注其后续数量的变化;
目前需要重点关注香港的IP地址如103.232.215.133、103.232.215.137、 123.1.151.85和123.254.111.182。它们对应的恶意域名都是类似的“xxxx.dyjclj.com”
以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表,黄色标记为新增地址。
IP地址 | 位置 | 是否属于大陆 | 域名数量 | 连续存活周期 |
88.198.132.3 | 德国 | FALSE | 269 | 85 |
54.235.159.97 | 美国 新泽西州Merck公司 | FALSE | 125 | 17 |
67.208.74.71 | 美国 | FALSE | 112 | 186 |
103.232.215.133 | 香港 | FALSE | 92 | 2 |
216.38.62.18 | 美国 | FALSE | 68 | 157 |
5.135.146.24 | 法国 | FALSE | 61 | 95 |
5.135.149.81 | 法国 | FALSE | 61 | 87 |
208.91.197.132 | 美国 | FALSE | 57 | 9 |
123.1.151.85 | 香港特别行政区 | FALSE | 43 | 2 |
199.2.137.201 | 美国 | FALSE | 42 | 87 |
3.3 大陆和海外的恶意地址地理分布情况
3.3.1 大陆恶意地址地理分布情况
在本周大陆的恶意地址地理分布排名列表中,北京、浙江、江苏、广东、河南位居前五,跟前一周相比,广东和江苏互换位置,江苏排名第三,广东排名第四;在第六到第十的排名中河北取代江西进入前十位,山东、湖南的排名有所靠前,福建排名靠后;
地区 | 北京 | 浙江 | 江苏 | 广东 | 河南 | 山东 | 湖南 | 上海 | 河北 | 福建 |
数量 | 106 | 94 | 89 | 83 | 48 | 37 | 31 | 26 | 25 | 24 |
以下是分布示意图:
3.3.2 海外恶意地址地理分布情况
在本周海外恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比,荷兰和香港交换位置;在第六到第十的排名中俄罗斯、法国、加拿大也交换了位置;
以下是排名前十的具体的数字:
地区 | 美国 | 荷兰 | 香港 | 韩国 | 德国 | 巴西 | 法国 | 英国 | 加拿大 | 俄罗斯 |
数量 | 561 | 168 | 151 | 74 | 45 | 19 | 18 | 17 | 13 | 10 |
以下是分布示意图:
