校园网 VPN 服务面临的安全挑战
疫情期间各高校均通过网络开展教学及科研工作,原本一些只能在校园网内部访问的资源现在需要通过公开的互联网进行访问。使用VPN服务让外部网络访问校园网内部资源是当下相对安全的办法之一,但这也使得原本并非主要网络通道接口的VPN服务面临一系列性能和安全性挑战。
四月初有安全组织爆出,境外的黑客正使用国内某知名厂商的VPN设备(该品牌VPN设备在国内高校的使用率较高)的安全漏洞进行APT攻击。攻击者先会利用安全漏洞控制VPN设备,然后在VPN服务器上放置木马程序并通过VPN客户端自动升级功能的漏洞在用户的系统上安装木马程序从而控制用户的设备。该VPN厂商接到相关信息后已经紧急开发了补丁程序并安排工程师对用户使用的VPN设备进行了更新。类似的攻击事件显示高校依然是网络攻击的热门目标,尤其是在当下关键特殊时期,网络信息安全仍是校园网运行需要重点关注的工作。
近期有信息显示监测到一款名为WannaRen(因与WannaCry名字类似而被关注)的勒索病毒,该病毒感染系统后会加密系统中的数据文件并追加后缀名为WannaRen,病毒会要求用户支付0.05个比特币后才给予解密。不过经分析发现该病毒是通过捆绑在KMS工具软件中欺骗用户下载进行传播的,暂未发现其利用漏洞进行大规模传播的迹象。
2020 年 3~4 月 CCERT 安全投诉事件统计
近期新增严重漏洞评述:
1.微软2020年4月的月度例行安全公告,修复了其多款产品存在的安全漏洞。利用漏洞,攻击者可绕过安全功能限制,获取敏感信息,提升权限,执行远程代码或发起拒绝服务攻击等。此外,还修复了3月提到的Adobe Type Manager Library字库0day漏洞(CVE-2020-1020)。建议用户尽快使用系统自带的更新功能进行更新。
2.苹果手机及iPad的iOS系统中自带的原生邮件客户端被曝出存在两个0day漏洞,如果攻击者向被攻击者发送特制的邮件就可能导致相关的App崩溃,进一步的攻击可能导致用户的邮件信息被攻击者获取。目前这些漏洞影响iOS13.4.5beta2之前所有的版本的iOS,大部分的攻击无需用户进行交互就可以完成。已经检测到的最早攻击可以追溯到2018年1月,期间相关漏洞一直被当作高级APT攻击的手段。目前苹果公司已经在最新的iOS13.4.5beta2版本中修复了这些漏洞。
3.疫情期间Zoom视频系统被大规模使用,该软件的安全问题被频繁关注。近期Zoom暴露出多个安全问题,主要集中在用户隐私收集策略及信息泄漏等方面。隐私收集与相关公司的运营策略有关,严格意义上并不算软件本身的漏洞。而信息泄漏则与Zoom会议软件的随机算法缺陷有关,由于Zoom的随机算法很容易被碰撞出来,这就导致攻击者可以通过碰撞进入那些未设置密码的私密会议。另外由于会议录像存储在云端的命名规则也很容易被猜出,导致攻击者可以随意访问云上存储的会议录像,致使用户隐私泄漏。目前相关厂商正在针对该缺陷进行修补,在此之前请用户在使用Zoom会议开会时设置会议密码,在无特殊需要的情况下不要将录制的会议存储到云端。
4.Oracle发布了2020年第2季度的安全更新,修复了其多款产品存在的397个安全漏洞。本次安全更新提供了针对236个高危漏洞的补丁,其中有超过55个的CVSS评分为9.8,大约90个漏洞的CVSS得分为8.0或更高。建议管理员尽快对相关程序进行升级,以确保服务的安全。
本文作者为郑先伟,作者单位为中国教育和科研计算机网应急响应组。