10月教育網整體運行平穩，未發現影響嚴重的安全事件。網站安全事件數量較9月略有下降。

　　在病毒與木馬方面，近期需要關注的還是各種勒索病毒。值得注意的是，勒索病毒的攻擊目標已經逐步從個人電腦向大型系統轉變，因為攻擊后者獲取非法收益的概率要遠高于前者。這里說的大型系統包括服務器系統和各類數據存儲系統（如NAS）。

2020年9-10月CCERT安全投訴事件統計

　　近期新增嚴重漏洞評述：

　　1.微軟2020年10月的月度例行安全公告共修復了微軟旗下多款產品中存在的89個安全漏洞，涉及Windows操作系統、Office辦公軟件等多個產品。

　　其中需要關注的是Windows TCP/IP遠程代碼執行漏洞（CVE-2020-16898），Windows系統在TCP/IP協議實現過程中存在缺陷，攻擊者可以構造并發送惡意的ICMPv6（路由通告）數據包在系統上執行任意代碼，從而完全控制相關系統。

　　基于上述漏洞的危害，建議用戶盡快使用系統自帶的安全更新功能進行自動更新。漏洞的詳情請參見：

　　https://msrc.microsoft.com/update-guide/en-us/releaseNote/2020-Oct

　　2. 10月Oracle發布了2020年四季度的安全更新，修復了其多款產品存在的402個安全漏洞。

　　受影響的產品包括：

　　Oracle Database Server數據庫（18個）

　　Oracle Big Data Graph（1個）

　　Oracle REST Data Services（5個）

　　Oracle TimesTen In-Memory Database（4個）

　　Oracle Communications Applications（9個）

　　Oracle Communications（52個）

　　Oracle Construction and Engineering（9個）

　　電子商務套裝軟件Oracle E-Business Suite（27個）

　　Oracle Enterprise Manager（11個）

　　Oracle Financial Services Applications（53個）

　　Oracle Food and Beverage Applications（4個）

　　中間件產品Fusion Middleware（46個）

　　Oracle GraalVM（1個）

　　Oracle Health Sciences Applications（4個）等

　　這其中需要特別關注的是WebLogic的系列漏洞（CVE-2020-14825、CVE-2020-14841、CVE-2020-14882），WebLogic是Oracle公司的一個輕量化的開發平臺，支持應用從開發到生產的整個過程管理，WebLogic的T3和IIOP協議中存在安全漏洞，可能導致遠程代碼執行。建議相關的管理人員盡快根據自身的使用情況進行安全更新。

　　3. Vmware ESXi是目前使用最為廣泛的虛擬化平臺軟件之一。

　　Vmware ESXi存在一個可以遠程代碼執行的安全漏洞，攻擊者可通過訪問ESXi宿主機上的427端口觸發OpenSLP服務中的“use-after-free ”，從而導致遠程代碼執行，獲取服務器系統權限，最終控制目標服務器。

　　ESXi6.5、ESXi6.7、ESXi7.0、VMware Cloud Foundation (ESXi) 3.x、VMware Cloud Foundation (ESXi) 4.x均受次漏洞的影響。

　　目前Vmware廠商已經在最新版本中修補了上述漏洞，建議ESXi的使用者盡快將自己的ESXi版本升級到最新。

　　4. Adobe在10月發布了安全更新，以解決Adobe Flash Player中存在的一個遠程代碼執行漏洞（CVE-2020-9746），攻擊者可以通過誘騙受害者訪問特定網站并簡單地在HTTP響應中插入惡意字符串來利用此漏洞，從而以當前用戶的身份執行任意代碼。

　　目前官方已經在Flash Player 32.0.0.445版本中修補了相關的漏洞，建議用戶盡快進行更新。需要提醒的是，Adobe將于2020年12月31日后停止對Flash Player的產品更新和支持。

　　安全提示

　　虛擬化已經是當前網絡應用的基礎，它大大降低了運維的成本，提升了資源的利用效率。

　　因此虛擬化平臺本身的安全也已經成為當下關注的重點，提供底層虛擬化平臺的軟件一旦出現安全問題，可能影響到平臺上所有的系統安全。

　　做好底層平臺的安全措施（如不要把平臺暴露在公共網絡中），并及時更新平臺軟件的版本是安全基本要求。

　　來源：《中國教育網絡》雜志
　　作者：鄭先偉（中國教育和科研計算機網應急響應組成員）
　　責編：項陽

　　投稿、轉載或合作，請聯系：eduinfo@cernet.com