关于紧急防范GlobeImposter变种勒索病毒和Apache Struts2(S2-057)漏洞攻击的通知-图文信息中心

4166.com_4166am_金沙澳门官网4166

信息安全

关于紧急防范GlobeImposter变种勒索病毒和Apache Struts2(S2-057)漏洞攻击的通知

2018年09月14日 15:28 图文信息中心 点击:[]

2018年8月21日起,国内爆发多起GlobeImposter变种勒索病毒攻击事件;8月22日,Apache官方确认了Apache Struts2服务存在远程代码执行的高危安全漏洞(漏洞编号S2-057,CVE编号CVE-2018-11776)。为确保全院网络安全,现将有关威胁情况和防范要求函告如下。

一、GlobeImposter变种勒索病毒

(一)病毒情况

近期,国内爆发多起GlobeImposter变种勒索病毒攻击事件,攻击者主要通过对开启Windows远程桌面服务的主机口令进行暴力破解,对内网主机发起扫描、进行横向传播并投放勒索病毒,导致文件被加密。该病毒采用RSA2048算法进行加密,文件加密后使用RESERVE扩展名,目前暂无解密工具。

(二)处置建议

对于已经感染勒索病毒的主机,立即采取下线隔离措施,并及时报告有关部门。对于未被感染的系统,请尽快采取如下措施

进行紧急防护:

一是安装使用正版防病毒系统。下载安装后,须立即更新病毒库、进行漏洞修复和全盘病毒扫描等操作,及时修复系统补丁、处置扫描发现的各类病毒木马等恶意程序。

二是关闭不必要的服务端口。对于有内部局域网的单位,须合理划分安全域并严格配置ACL规则,禁止针对135、137、138、139、445等端口的访问,关闭telnet、snmp等不必要、不安全的服务,从网络层面阻断病毒的传播。服务器和个人计算机建议在不影响业务的前提下关闭135、137、138、139、445、3389等不必要的端口,以避免系统被病毒劫持,造成重大损失。

三是加强账号安全管理。更改系统默认administrator管理账号、禁用GUEST访客账号;每台服务器设置唯一的、高复杂度口令,杜绝使用通用密码;设置账号锁定策略,例如密码输错次数超过5次后禁止登陆系统。

四是定期做好数据备份。定期对系统进行全面安全检测,并做好服务器、数据库、个人计算机的数据备份工作。一旦出现病毒感染或系统异常情况,及时启动备份恢复程序,保障业务连续性和文件的安全可用。

二、Apache Struts2(S2-057)漏洞

(一)漏洞情况

该漏洞的影响范围为Struts 2.3-2.3.34和Struts 2.5-2.5.16。漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置中未设置或使用通配符namespace导致的。URL标签未设置value和action值且上层动作未设置或使用通配符namespace时也可导致该漏洞。黑客可利用该漏洞获得服务器主机系统权限,引发数据泄露、网页篡改、植入后门等安全事件,造成严重危害。

(二)处置建议

一是升级版本。将Struts版本升级至Struts 2.3.35或Struts 2.5.17。升级地址为http://cwiki.apache.org/confluence/display/WW/S2-057。

二是临时配置建议。暂时无法更新的用户可采取如下临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有URL标签的value和action,确保上述namespace、value和action值均不可控。

如有问题,请及时联系图文信息中心网络管理室。

上一条:全面认识勒索病毒及防御措施 下一条:关于WebLogic Server WLS组件存在远程命令执行漏洞的安全公告

关闭

分享到
友情链接