在線編輯器漏洞影響高招安全

文/鄭先偉

在線編輯器漏洞影響高招安全

文/鄭先偉

近期安全事件分析

部分網(wǎng)站遭分布式拒絕服務(wù)攻擊

6月教育網(wǎng)整體運行正常，值得關(guān)注的安全事件是一起拒絕服務(wù)攻擊事件，此次攻擊造成教育部網(wǎng)站及教育網(wǎng)門戶網(wǎng)站出現(xiàn)短暫的訪問困難。攻擊事件的起因源于一個名叫www.pk920.com的游戲私服網(wǎng)站遭受了同行競爭者的分布式拒絕服務(wù)攻擊，網(wǎng)站的擁有者為了減輕自己服務(wù)器的負擔(dān)，將www.pk920.com這個域名的解析結(jié)果指向了教育部網(wǎng)站和教育網(wǎng)門戶網(wǎng)站所對應(yīng)的IP地址，這直接導(dǎo)致所有針對www.pk920.com的攻擊流量被毫無保留地導(dǎo)向了教育部和教育網(wǎng)的門戶網(wǎng)。由于攻擊者采用了包括syn flood、IP碎片、CC攻擊和偽造的百度爬蟲訪問在內(nèi)的多種手段同時發(fā)動拒絕服務(wù)攻擊，現(xiàn)有的防護手段無法全部有效地過濾攻擊流量，網(wǎng)站只能依靠分布式服務(wù)器的性能來抵消攻擊帶來的影響，影響在公安部門介入和控制了域名并清除惡意指向后才被消除。從這次攻擊事件可以看出，一方面，針對大規(guī)模的分布式拒絕服務(wù)攻擊我們依然沒有一個特別有效的防護手段，另一方面則顯示針對域名的監(jiān)管依然缺乏有效的手段。

在線編輯器早期版本存在漏洞

隨著高考的結(jié)束以及高招工作的開始，教育網(wǎng)內(nèi)的網(wǎng)站安全問題再次引起公眾的注意，這也在5月的網(wǎng)頁掛馬投訴數(shù)量上得到體現(xiàn)。近期我們CCERT聯(lián)合國內(nèi)其他的安全組織開始對教育網(wǎng)內(nèi)的被攻擊控制的網(wǎng)站進行清理。在針對一些被攻擊控制的網(wǎng)站進行分析后，我們發(fā)現(xiàn)其中很大一部分是因為網(wǎng)站的在線編輯系統(tǒng)存在安全漏洞而被黑客利用，造成這些漏洞的原因是因為網(wǎng)站在源碼編寫時使用了網(wǎng)絡(luò)上開源的在線編輯器（如FCKeditor、eWebEditor等），而這些編輯器的早期版本在上傳功能及權(quán)限控制等方面存在安全漏洞，網(wǎng)站的管理者沒有及時升級編輯器的版本導(dǎo)致漏洞被人利用。由于近期各高校的招生及考試網(wǎng)站再次成為了黑客攻擊的目標，所以提醒各網(wǎng)站的管理員要及時檢查自己網(wǎng)站的后臺管理系統(tǒng)所使用的在線編輯器的版本是否存在漏洞（可在搜索引擎中以編輯器的名稱和漏洞作為關(guān)鍵字查詢），發(fā)現(xiàn)版本存在漏洞請及時更新到最新版本，如果因為特殊原因無法及時升級的話，可以通過在服務(wù)器上限制上傳目錄的執(zhí)行權(quán)限及限制訪問后臺管理目錄的IP地址來減輕漏洞帶來的風(fēng)險。

DOS時代病毒持續(xù)增多

近期新增的病毒蠕蟲數(shù)量依然呈下降趨勢。需要提醒的是，近期，在本刊的6月刊CCERT月報中提到的感染系統(tǒng)MBR引導(dǎo)區(qū)的病毒的變種數(shù)量繼續(xù)增多，由于這類病毒的清除異常困難（即使采用格式化系統(tǒng)盤后重新安裝系統(tǒng)的方式也不能清除），所以用戶一旦感染，就可能需要使用特定的專殺工具才能清除病毒，如果發(fā)現(xiàn)系統(tǒng)感染病毒并且清除不了，可以到反病毒廠商的網(wǎng)站上下載相應(yīng)的專殺工具。這里依然要提醒用戶，防范依然比查殺重要。

新增嚴重漏洞評述

與5月份的安全公告相比，6月份微軟發(fā)布的安全公告多達16個（MS11-037至MS11-052），這些公告中有9個為嚴重等級，7個為重要等級，涉及的產(chǎn)品包括Windows系統(tǒng)、Office軟件、IE瀏覽器、SQLserver數(shù)據(jù)庫和其他網(wǎng)絡(luò)組件。公告共修補了32個安全漏洞，這其中包括之前在IE瀏覽器中發(fā)現(xiàn)的多個0day漏洞。

除了微軟外，Mozilla公司和Adobe公司也在6月份發(fā)布了多個安全公告。Mozilla公司的安全公告（MFSA 2011-19至MFSA 2011-28）修補了其公司產(chǎn)品中的多個安全漏洞，這其中包括多個Firefox瀏覽器的內(nèi)存破壞漏洞，涉及Firefox的各種版本，詳細信息可以參閱（http://www.mozilla.org/security/announce/）。Adobe公司的安全公告（APSB11-13至APSB11-18）修補了Flash player和Adobe Acrobat/Reader中的多個遠程代碼執(zhí)行漏洞，其中包括Acrobat/Reader中的一個0day漏洞。關(guān)于Adobe產(chǎn)品的漏洞詳細信息可以參見（http://www.adobe.com/support/security/）。

Word軟件存在遠程代碼執(zhí)行漏（0day）

影響系統(tǒng)是Office XP Word 2002。

國外安全研究機構(gòu)Protek Research Lab披露Microsoft Word中存在一個遠程代碼執(zhí)行0day漏洞。該漏洞是由于Microsoft Word文檔中的某些參數(shù)可被當作一個指針來使用造成的。攻擊者可構(gòu)造嵌入惡意代碼的特制文檔誘使用戶點擊來觸發(fā)此漏洞，一旦攻擊成功，攻擊者可以以當前用戶的權(quán)限執(zhí)行任意命令。

攻擊者可以上傳特制的Word文檔到網(wǎng)站中或是放置在電子郵件附件中引誘用戶打開。一旦用戶打開這些Word文檔就可能導(dǎo)致攻擊者以當前用戶的權(quán)限執(zhí)行任意命令。漏洞已經(jīng)被證實在Word 2002中可以被有效利用，其他版本也可能存在相同的漏洞。目前該漏洞已開始在網(wǎng)絡(luò)上被利用。

針對該漏洞應(yīng)做的修補，建議用戶隨時關(guān)注廠商的動態(tài)：http://technet.microsoft.com/zh-cn/security/

在還沒有補丁之前，用戶可以采用以下臨時辦法來緩解風(fēng)險：

1.不要隨意點擊不受信任網(wǎng)站上的Word文檔；

2.不要隨意打開郵件附件中的文檔，除非你確認它是來自可靠的地方。

安全提示

鑒于近期的安全風(fēng)險，網(wǎng)站管理員應(yīng)該：

1.及時更新服務(wù)器系統(tǒng)補丁程序；

2.使用掃描軟件檢查網(wǎng)頁的代碼程序，發(fā)現(xiàn)漏洞及時修補；

3.隨時關(guān)注自己的服務(wù)器，發(fā)現(xiàn)異常情況應(yīng)及時處理，如果自己無法處理可以請專業(yè)人員協(xié)助；

4.對于已經(jīng)出現(xiàn)問題的頁面不能簡單地進行刪除處理，一定要查明引起攻擊的原因并修補。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）