警惕挖矿木马攻击!高校超算系统应密切注意


虽然目前国内疫情已经得到了有效控制,但高校学生返校的工作还未全面展开。大部分的教学任务仍然需要通过网络来进行,保障网络及信息系统安全有效运行依然是学校当下的主要任务。

2020年4-5月CCERT安全投诉事件统计

由于学校仍未正式开学,相关的安全事件数量呈下降趋势。

近期利用Covid-19病毒相关信息进行传播的木马程序有增加趋势。这些木马程序大多通过电子邮件附件进行分发,邮件的内容都与Covid-19病毒信息有关。如果用户不慎点击运行了这类邮件附件,就可能感染木马进而导致系统被完全控制。建议用户安装有效的防病毒软件并谨慎点击邮件的附件。

近期新增严重漏洞评述:

1.微软2020年5月的月度例行安全公告,修复了其多款产品存在的111个安全漏洞。受影响的产品包括:Windows 10 1909 & Windows Server v1909(78个)、Windows 10 1903 & Windows Server v1903(78个)、Windows 10 1809 & Windows Server 2019(75个)、Windows 8.1 & Server 2012 R2(30个)、Windows Server 2012(27个)、Windows RT 8.1(29个)、Microsoft Edge (EdgeHTML-based)(5个)、Internet Explorer(7个)和Microsoft Office-related software(12个)。利用上述漏洞,攻击者可以获取敏感信息,提升权限,欺骗、绕过安全功能限制,执行远程代码,或进行拒绝服务攻击等。其中需要特别关注的是IE浏览器的远程代码执行漏洞(CVE-2020-1062),由于IE 9和IE 11的程序没有正确的访问内存对象,攻击者可以利用该漏洞在当前用户的上下文中执行任意操作。建议用户尽快使用Windows系统自带的安全更新功能进行更新。

2.Apache Tomcat部分版本中存在反序列化远程代码执行漏洞,如果攻击者可以控制服务器上的文件名以及文件内容,且服务器对FileStore配置为使用PersistenceManager,PersistenceManager配置了sessionAttributeValueClassNameFilter值为"NULL"或者其他宽松的过滤器,攻击者通过构造特殊的请求来触发该反序列化漏洞从而达到远程代码执行的目的。该漏洞影响Apache Tomcat 10.x < 10.0.0-m5、9.x < 9.0.35、8.x < 8.5.55、7.x < 7.0.104的版本。目前apache官方已经发布了最新版本修复该漏洞,建议相关的管理员尽快核对自己所使用的apache tomcat版本,及时进行版本更新。

3.SaltStack是基于Python开发的一套开源C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现。通过部署SaltStack,运维人员可以在成千上万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。最近SaltStack被爆出存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),攻击者通过构造恶意请求,可以绕过Salt Master的验证逻辑,调用相关未授权函数功能,从而造成远程命令执行或读取服务器上任意文件。目前厂商已经在新版本中修补了相关漏洞,建议管理员尽快升级。

安全提示:

五月中旬, 欧洲曝出多达十数台超级计算机被感染恶意挖矿软件,沦为挖矿肉鸡。实际上类似的情况在国内高校中也时有发生。

国内高校基本都有自己的超算中心为本校的教学科研服务。这些专职用来计算的机器通常都算力惊人,非常适合用来挖矿,这就使得超算系统面临的被攻击风险大大增加。攻击者会使用各种手段来试图获取系统的控制权限,其中最容易实现的就是通过弱口令账号直接登录系统,进而利用木马程序完全控制系统后通过挖矿进行获利。

建议各学校负责超算的管理员要密切关注系统的运行状况并采取相应的安全措施(如设置规则禁止使用弱口令等),避免出现被挖矿木马控制的情况。

(本文刊载于《中国教育网络》杂志2020年6月刊,作者为中国教育和科研计算机网应急响应组郑先伟)