安恒信息发布2014年互联网安全年报

3、2014互联网网络漏洞简析

根据中国国家信息安全漏洞库统计，2014年全年互联网新增各类网络漏洞9118个，其中第一季度新增安全漏洞2018个;第二季度安全漏洞1910个;第三季度安全漏洞2537个;第四季度安全漏洞2653个。





从漏洞严重程度来看，高危漏洞占全年漏洞总数的比例为26.03%(2373);中危漏洞占全年漏洞总数的比例为65.92%(6011);低危漏洞占全年漏洞总数的比例为8.05%(734)。



No.1：漏洞频发：关注最常被反复利用的漏洞

2014 年，不论是安全研究人员、白帽子还是攻击者大都集中在证明通过他们的努力“研究”，让常见的可以被反复利用的漏洞或“薄弱环节”，成为击溃我们“脆弱的互 联网”有力武器。每当互联网发布一份新的漏洞报告时，受影响的厂商、安全从业人员和媒体往往更关注零天漏洞，此类重大新闻似乎更迫切地需要他们作出反应。 然而，我们更应优先考虑的，是投入时间和资金，修补网络攻击者最常利用的那一小部分漏洞。其他漏洞可以通过更常规的流程进行管理。

如在 心 脏流血漏洞首次被公诸于众的时候，信息安全专家曾表示，全球约有61.5268万台服务器存在心脏流血漏洞。一个月后，发现只有31.8239万台服务器 存在这种漏洞，这就是说已有一半的服务器修复了这个漏洞。但是，信息安全专家在2014年6月份公布的研究结果仍然令人感到担忧，它显示至今仍有 30.9197万台服务器存在这个漏洞。自从心脏流血漏洞公布以来，OpenSSL 项目已报告了在 OpenSSL 软件中发现的其他几个缺陷，其中一些缺陷“可能允许攻击者创建拒绝服务条件或(在某些情况下)远程代码执行。”其中一些缺陷长期被人们忽视：例如，一位日 本安全研究人员发现的 CCS 注入漏洞在OpenSSL 软件中存在时间长达16 年，该安全漏洞允许攻击者截获并解密在互联网中传输的加密数据。

根据统计，2014年全年互联网新增各类网络漏洞中，由常见且被反复利用的漏洞所引发的威胁中，未授权的信息泄露占比例52.64%，管理员访问权限获取占比20.23%。



No.2：OpenSSL爆“心脏出血”漏洞



2014 年4月8日，来自Codenomicon和谷歌安全部门的研究人员，发现OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的 数据内容。该漏洞在国内被译为“OpenSSL心脏出血漏洞”，因其破坏性之大和影响的范围之广，堪称网络安全里程碑事件。

密歇根大学 的 一个安全研究团队利用开源网络扫描工具ZMap搜索存在Heartbleed漏洞的网站。研究人员完整扫描了地址空间，截至2014年4月10日2:00 PM，Alexa排名前百万的网站中有32%支持SSL，在支持HTTPS的网站中，9%存在漏洞，31.9%安全的支持OpenSSL TLS Heartbeat Extension， 59%不支持HeartbeatExtension(不存在心脏出血漏洞)，也就是在漏洞爆发的时候全球前一百万的网站中，有40.9%的网站中招。全球 第一个被攻击通告的案例加拿大税务局确认Heartbleed导致了900个纳税人的社会保障号被盗，这900个纳税人的社保号被攻击者在系统中完全删除 了。

No.3：Linux“Bash”破壳漏洞大爆发



2014年9月25日，国外安全专家发现Linux系统中一个频繁使用的片段“Bash”存在漏洞，影响目前主流的Linux系统。利用该漏洞，黑客可以远程窃取服务器上的信息，并进一步控制服务器。

“Bash”漏洞(Shellshock)是继今年四月的“心脏流血”漏洞之后，业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中，因此影响范围十分广泛。

最新的这项漏洞的威胁程度之所以堪比“心脏流血”，一定程度上是因为Shellshock所影响的Bash软件，同样被广泛应用与各类网络服务器以及其他电脑设备。

但安全专家表示，由于并非所有运行Bash的电脑都存在漏洞，所以受影响的系统数量或许不及“心脏流血”。不过，Shellshock本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器，不仅能破坏数据，甚至会关闭网络，或对网站发起攻击。

与之相比，“心脏流血”漏洞只会导致数据泄漏。

No.4：Struts2漏洞频出 祸根是Apache底层代码不严谨



Apache Struts2的远程代码执行漏洞风暴影响刚刚散去，2014年4月23日晚，国外安全人员研究发现Apache公司提供的升级版本并未完全修复漏 洞，Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷，会被轻易绕过，可导致任意命令执行。Struts2上次远程代码执行漏洞，是由于 黑客通过ParametersInterceptor接口可以操控服务器运行环境中的一些对象，因此补丁中禁用了此接口，但是由于防护规则不完善，导致安 全机制仍可被攻击者绕过。建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架，此漏洞对上述网站服务器构成了拒绝服务和 远程控制的威胁。

攻击者利用此漏洞，可以远程对目标服务器执行任意系统命令，轻则可窃取网站数据信息，重则可取得网站服务器控制权，从 而 造成信息泄露并给网站运行带来严重的安全威胁。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞，这些单位和机构的敏感信息泄漏有可能对国家造 成沉重的打击，甚至会违反相关的法律规定。在最近几年APT攻击横行的时期，黑客早已不再以挂黑页炫耀为目的，攻击者可能通过该漏洞作为突破口渗透进入其 内部网络并长期蛰伏，不断收集各种信息，直到收集到重要情报。

4、2014互联网网站安全简析

2011 年12月21日，国内最大的开发者社区CSDN数据库被黑客攻击，以致600万用户资料外泄，由此拉开了我国互联网史上最大规模信息泄露事件序幕。 2014年网站泄密事件依然不断升级、不断发生，每天都有新的大型知名网站的用户信息外泄，据不完全统计已有超过上亿互联网用户资料泄露，绝大部分信息均 为有效数据。网站泄密事故发生主要原因在于网站存在漏洞，从而遭到黑客入侵“拖库”。这些网站设计时是允许任何人、从任何地方登陆进入访问，因而也成为了 通往隐藏在深处的重要数据的桥梁。通过安恒信息风暴中心网站安全监测平台的统计，目前国内存在高危漏洞的网站约占 35 %，中危漏洞的网站约占 45%，低危漏洞的网站约占 62%，而相对比较安全的网站只有 23%。



目前国内网站存在最多的高危风险的漏洞包括了sql注入、跨站脚本攻击、网站弱口令等漏洞;中危风险的漏洞是备份文件、目录遍历漏洞;低危风险的漏洞是trace等漏洞。



攻 击者在实际操作中往往会先开始寻找目标网站的薄弱环节，如开源的代码、废弃的旧网站、开发人员的错误、盲目信任的用户。攻击者都在竭力寻找这些薄弱环节， 并最大限度地加以利用。通常攻击者不用花费多少时间和精力就能找到这些薄弱环节，并利用多个不同类型的漏洞对网站进行攻击，包括运用社会工程学手段、目录 遍历、网站弱口令破解等方式，达到其入侵和渗透目的。

(1)、电子政务：网站安全任重道远

根据安恒信息在2014年电 子 政务网站安全随机检查中，对国家部委、中央企业以及10个省市的重点政府网站进行安全检查工作，检查网站总数为5023个，发现675个网站存在安全漏 洞，占被抽查网站总数的11.10%，存在高危漏洞的网站有366个，占3.12%;中危漏洞的网站有2572个，占21.95%;低危漏洞数量有 8778个，占74.92%。如下图所示：



▲全国政府网站安全抽查网站安全状况



▲全国政府网站安全抽查漏洞等级分布情况

(2)、网站篡改：仍以网络暗链为主要攻击手段

在众多的网络攻击方式中，网页篡改是比较浅层的攻击手段，而我国相对滞后的网站建设却使之成为攻击网站的主要技术手段之一。

依 照攻击方式，网页篡改可以分成显式篡改和隐式篡改。通过显式网页篡改，黑客可炫耀自己的技术和技巧，或达到声明自己主张的目的;隐式篡改则一般是在被攻击 网站的网页中植入暗链，这些暗链往往被链接到色情、诈骗等非法信息，可帮助黑客谋取非法经济利益。为了篡改网页，黑客一般需提前知晓网站的漏洞，提前在网 页中植入后门，并最终获取网站的控制权。

2014年，网络暗链在安恒信息风暴中心互联网大数据监控平台的网页篡改中居于领先位置。所谓暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

2014年，安恒信息风暴中心网站安全监测平台发现国内被篡改的网页数量为134346个。国内被篡改网页的月度统计情况如下图所示，统计包含网站被植入暗链的情况：



2014年我国境内被植入暗链网站按地域类型前十位分布情况如下图示，篡改页面总量达到99017个，其中北京、广州、江苏三省市被篡改页面居全国前三。



(3)、网站漏洞：SQL注入仍是网站安全头号威胁

为 了篡改网页植入暗链盗取数据，黑客一般需提前知晓网站的漏洞，提前在网页中植入后门，并最终获取网站的控制权。作为现在互联网Web应用系统最经常被利用 且影响最严重的漏洞，SQL注入漏洞和XSS跨站脚本漏洞仍然是年互联网安全威胁的重要攻击方式，WebDev和Strurs2漏洞威胁依然存在于较多的 政府网站与商业网站。

2014年我国境内被SQL注入漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。



2014年我国境内被XSS跨站脚本漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。



2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。



2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。