防范勒索病毒入侵內(nèi)網(wǎng)數(shù)據(jù)庫服務(wù)器

文/鄭先偉

7月教育網(wǎng)運行正常，高招工作平穩(wěn)進(jìn)行，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

近期需要關(guān)注的仍然是各類勒索病毒，最近幾月我們接到的勒索病毒投訴案例中，服務(wù)器數(shù)據(jù)被病毒加密的數(shù)量呈上升趨勢。這些被加密的服務(wù)器多數(shù)屬于內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器，本身并不直接與互聯(lián)網(wǎng)聯(lián)通，但依然被病毒感染。查看其感染的途徑無非是兩種：一種是內(nèi)網(wǎng)中有其他與互聯(lián)網(wǎng)連接的服務(wù)器感染病毒后通過內(nèi)部網(wǎng)絡(luò)橫向傳播的；另一種是通過媒介（例如U盤或是光盤等）擺渡進(jìn)行傳播的。這些數(shù)據(jù)服務(wù)器一旦被勒索病毒感染，往往會造成巨大的損失，很多時候管理員不得不屈服向攻擊者繳納贖金，這就導(dǎo)致勒索病毒的傳播者更愿意感染這類數(shù)據(jù)服務(wù)器，攻擊者甚至不惜動用類似APT類型的攻擊來達(dá)到病毒傳播的目的。

1. 微軟7月的例行安全公告修復(fù)了其多款產(chǎn)品存在的240個安全漏洞。Microsoft Windows系統(tǒng) 、Windows DHCP 服務(wù)器、Microsoft Excel、.NET Framework、Microsoft SQL Server、DirectWrite等Windows平臺下應(yīng)用軟件和組件。里面需要關(guān)注的包括DHCP server漏洞、Windows 遠(yuǎn)程桌面服務(wù)漏洞等，利用上述這些漏洞攻擊者可以遠(yuǎn)程執(zhí)行任意代碼、權(quán)限提升，獲取敏感信息或是進(jìn)行拒絕服務(wù)攻擊。建議用戶盡快使用Windows系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁更新。

2019年6～7月安全投訴事件統(tǒng)計

2. Oracle 7月發(fā)布了今年例行的三季度安全更新，修復(fù)了其多款產(chǎn)品存在的319個安全漏洞。受影響的產(chǎn)品包括：Oracle Database Server數(shù)據(jù)庫（8個）、Oracle Global Lifecycle Management（1個）、Oracle Berkeley DB（5個）、Oracle Communications Applications（24個）、Oracle Construction and Engineering Suite（8個）（3個）和Oracle Virtualization（14個）。本次安全更新提供了針對155個高危漏洞的補(bǔ)丁，有286個漏洞可被遠(yuǎn)程利用。上月提到的4月未完全修補(bǔ)的WebLogic Server中的安全漏洞此次進(jìn)行了再次修補(bǔ)。建議用戶盡快進(jìn)行補(bǔ)丁更新。

3. Redis是一款高性能的key-value數(shù)據(jù)庫，主要用于云端的高速數(shù)據(jù)緩存，是目前云上使用較為廣泛的數(shù)據(jù)庫。2019年7月7日，LC/BC的成員Pavel Toporkov在WCTF2019 Final分享會上介紹了Redis新版本的遠(yuǎn)程命令執(zhí)行漏洞的利用方式。由于在Reids 4.x及以上版本中新增了模塊功能允許通過外部拓展來加載模塊。由于該模塊功能未能有效地驗證用戶輸入，導(dǎo)致攻擊者可以利用該功能引入模塊，在未授權(quán)訪問的情況下使被攻擊服務(wù)器加載惡意.so 文件，從而實現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前官方還未針對該漏洞發(fā)布補(bǔ)丁程序，建議相關(guān)的管理員隨時關(guān)注官方的更新動態(tài)，在沒有補(bǔ)丁之前可以使用以下臨時辦法來緩解漏洞的風(fēng)險：

a) 禁止外部訪問Redis 服務(wù)端口；

b) 禁止使用root權(quán)限啟動Redis服務(wù)；

c) 配置安全組，限制可連接Redis服務(wù)器的IP。

4. 正方教務(wù)管理系統(tǒng)是國內(nèi)正方公司開發(fā)的一套大學(xué)教務(wù)管理系統(tǒng)，根據(jù)正方公司官網(wǎng)顯示的數(shù)據(jù)，目前有超過一千所高校使用了相關(guān)的管理系統(tǒng)。本周CNVD漏洞庫公布了正方教務(wù)系統(tǒng)中存在的兩個安全漏洞，其中一個為任意文件讀取漏洞，另一個為SQL注入漏洞，利用上述兩個漏洞攻擊者可以讀取教務(wù)系統(tǒng)服務(wù)器的任意文件或是數(shù)據(jù)庫中的敏感信息。目前相關(guān)廠商還未針對漏洞發(fā)布補(bǔ)丁程序，建議學(xué)校的管理員可加強(qiáng)對正反教務(wù)管理系統(tǒng)的監(jiān)控，并及時與相關(guān)廠商聯(lián)系獲取升級動態(tài)：http://www.zfsoft.com/

安全提示

為防范內(nèi)網(wǎng)服務(wù)器感染勒索病毒，建議采取如下措施：

1. 及時更新系統(tǒng)及服務(wù)程序的補(bǔ)丁；

2. 關(guān)閉不必要的服務(wù)及端口；

3. 為系統(tǒng)及服務(wù)賬號設(shè)置強(qiáng)壯的密碼，并使用策略限制賬戶的錯誤嘗試的次數(shù)；

4. 使用Vlan為不同的服務(wù)劃分不同的網(wǎng)段，服務(wù)器本身利用自帶的防火墻啟用網(wǎng)絡(luò)訪問限制，避免病毒在內(nèi)部網(wǎng)絡(luò)傳播；

5. 嚴(yán)格規(guī)范日常服務(wù)器現(xiàn)場操作的流程，避免通過移動存儲介質(zhì)將病毒帶入服務(wù)器。