广东网警发布“安网2016”第十三期周报

安网2016

    “安网2016”网络安全专项治理行动开展第十六、十七周（4月18日至5月1日）以来，已发现92处安全隐患，通过对其安全隐患进行采集、分析、整理，在这些网站中高危漏洞74个，占总比重的80.4%；从风险类别来看，SQL注入、XSS注入、Structs2命令执行漏洞是主要隐患类型，占总类别的88.0%；从行业类型来看，事业单位、司法机关、企业占总行业83.7%。

    一、Struts2官方发布S2-032漏洞通告。4月20日，Struts2官方发布S2-032漏洞通告，Struts2存在远程代码执行漏洞，25日，经验证，利用此漏洞可直接向网站中写入恶意代码后，在国内引起轩然大波。金融、证券行业首当其冲，受影响严重，政府、教育行业次之。S2-032漏洞一经爆发，安全专家立即进行全网监测，检测发现省内9家网站受S2-032漏洞影响。漏洞爆发后这些网站大都进行漏洞修复，但截止目前依有两家网站未进行相关修复，分别是某市执法信息系统和某旅游网。以某市执法信息系统为例，可执行任意命令，获知当前为管理员权限，甚至上传恶意代码到网站服务器，利用工具连接恶意代码后可操作服务器中所有内容。公安机关已通报相关单位，网站安全管理人员必须重视S2-032漏洞问题。

    二、 多家司法机关门户网站存在安全隐患。在本期监测发现6家司法机关的门户网站存在不同程度的安全隐患。这些网站存在的问题包括不同程度的注入和目录遍历等高危风险漏洞。非法攻击者可以通过互联网直接对网站进行攻击，获取网站敏感信息和高级权限。例如：某市区级人民法院，该网站同时存在注入等多处高危漏洞，对网站建设和信息发布危害极大。当前，省内司法机关各单位对门户网站防护能力较弱，安全意识有待提高，希望引起各单位高度重视。

    三、某反序列高危漏洞再现。某反序列化高危漏洞，是一类被广泛应用的漏洞，绝大多数的编程语言都会提供内建方法使用户可以将自身应用所产生的数据存入硬盘或通过网络传输出去。此漏洞可攻击最新版的相关应用，直接执行任意命令，实现远程代码执行。本期监测发现，省内某县财政部门网站存在某反序列化高危漏洞，漏洞一旦被利用，可随意添加账户，并会连接到数据库。不法分子可轻易获取当地财政信息，影响地方财政工作。

    四、某协同管理软件信息泄露，威胁内部敏感数据。协同管理软件基于对中国特色的公文管理的研究，完整实现了公文的发文、交换、收文、存档和公文统计，全方位地支持大组织的公文应用，成为支持跨单位、跨部门协作的有效互联网平台。本期监测发现，省内某海关部门使用的协同管理软件发现重大漏洞，其用户名、ip、session等重要内部敏感数据遭到威胁。后期排查还发现网站多个登陆账号出现弱口令隐患，且账号密码雷同现象十分严重，该单位网络安全意识亟待提高。

    通过本期的监测，我省企业、事业单位和司法机关的网站或信息系统存在较多的网络安全隐患，网站和系统的安全管理人员安全意识亟需提高。公安机关建议：一是各单位要定期排查网站平台与系统安全问题，排查管理员账号密码，杜绝弱口令风险。二是完善对网络系统的安全防护，应用软件实时更新，发现漏洞及时修补。三是建立健全自律机制，强化全行业社会责任意识，提升企业服务水平，提高从业人员职业素养。