物聯網安全需從網絡層加強控制

文/鄭先偉

2017年12月教育網運行正常，未發現影響嚴重的安全事件。近期一個存在于TLS加密協議中的漏洞曝光，漏洞是因為TLS協議在使用RSA算法協商加密密鑰的過程中存在缺陷導致的。類似的漏洞早在1998年就被瑞士的密碼學家Daniel Bleichenbacher發現存在SSL協議中，但是相關機構在獲知漏洞后并未重構RSA算法的實現過程，而只是采用了臨時變通方法來增加漏洞利用的難度，這導致類似的漏洞也同樣存在升級后的TLS協議中。利用該漏洞，攻擊者可以通過選擇密文的攻擊方式來破解監聽到的密文。目前針對該漏洞的攻擊被命名為ROBOT攻擊（Return Of Bleichenbacher’s Oracle Threat）。由于漏洞是存在RSA算法實現過程中，因此影響的范圍可能不僅是TLS協議，使用RSA算法來協商加密密鑰的應用都有可能受到影響。目前已知該漏洞利用需要兩個先決條件，一是攻擊者可以監聽到用戶和服務器之間的加密通訊，二是攻擊者可以跟服務器進行大量的數據交互，因此對于需要TLS協議來實現強加密安全要求的應用，可以通過關閉TLS協議中RSA算法支持來降低漏洞帶來的風險。

2O17年11～12月安全投訴事件統計

近期沒有新增影響特別廣泛的蠕蟲病毒。

近期新增嚴重漏洞評述:

1. 微軟2017年12月的例行安全公告中修復的漏洞數量較少（共37個，其中嚴重等級的19個），涉及Windows系統及組件（5個），IE瀏覽器（23個），Edge瀏覽器（1個），Exchange Server（2個）、Flash player插件（1個）和Office軟件（5個）。這些漏洞中需要關注的是Malware Protection Engine 遠程執行代碼 漏 洞（CVE-2017-11937），Malware Protection Engine是Windows自帶殺毒軟件Windows Defender的防護引擎，當用戶從網上下載文件時，該引擎會自動掃描并檢測文件安全性。但引擎在功能實現過程中存在漏洞，攻擊者可以制作針對該漏洞的特定文件，如果引擎掃描這些特制文件，會致內存破壞，從而在系統上執行任意命令。另外需要說明的是由于有越來越多的攻擊（APT攻擊和敲詐病毒）利用Offcie軟件的DDEAUTO技術，因此微軟通過2017年12月的Office更新（ADV170021）關閉了軟件中的DDE數據交換功能。鑒于上述漏洞帶來的危害，建議用戶盡快使用Windows自帶的自動更新功能進行安全更新。

2. GoAhead是一個開源的輕量級Web Server，被大量應用于嵌入式設備中（如攝像頭、小型路由器等），最近其出現了一個高危漏洞，3.6.5版本之前的GoAhead在開啟CGI功能時可以遠程執行任意代碼。目前GoAhead的官方已經在最新版（3.6.5）中修復了該漏洞，但是用戶由于權限問題很難自行更新程序，需要等待嵌入式設備的廠商發布新的系統版本來完成修補，而這個過程通常會比較慢。建議用戶隨時關注相關嵌入式設備廠商發布的安全公告并及時更新，在補丁程序沒有出來之前，可以通過網絡的限制手段來降低相關漏洞被利用的風險。

3. 2017年12月1日，Apache 官方發布了Struts2框架的最新版2.5.14.1，用于修補之前版本中存在的兩個漏洞，分別是S2-054拒絕服務漏洞和S2-055反序列化漏洞。利用這些漏洞可以對目標Web服務器發動DOS攻擊或是反序列化代碼執行攻擊。其中S2-055對應的反序列化漏洞（CVE-2017-7525）2017年7月就被暴露出來了，但針對該漏洞的補丁直到2017年12月才出現。Struts2框架的漏洞2017年公布的數量較多，建議相關網站管理員要隨時關注廠商的動態，及時更新Struts2的版本。