CCERT月報：物聯網安全需從網路層加強控制

2017年12月教育網運行正常，未發現影響嚴重的安全事件。近期一個存在於TLS加密協議中的漏洞被披露，漏洞是因為TLS協議在使用RSA演算法協商加密密鑰的過程中存在缺陷導致。類似的漏洞早在1998年就被瑞士的密碼學家Daniel Bleichenbacher發現存在於SSL協議中，但是相關機構在獲知漏洞後並未重構RSA演算法的實現過程，而只是採用了臨時變通方法來增加漏洞利用的難度，這導致類似的漏洞也同樣存在升級後的TLS協議中。

利用該漏洞攻擊者可以通過選擇密文的攻擊方式來破解監聽到的密文。目前針對該漏洞的攻擊被命名為ROBOT攻擊（Return Of Bleichenbacher』s Oracle Threat）。由於漏洞是存在RSA演算法實現過程中，因此影響的範圍可能不僅僅是TLS協議，使用RSA演算法來協商加密密鑰的應用都可能受到影響。

目前已知該漏洞利用需要兩個先決條件，一是攻擊者可以監聽到用戶和伺服器之間的加密通訊，二是攻擊者可以跟伺服器進行大量的數據交互，因此對於需要TLS協議來實現強加密安全要求的應用，可以通過關閉TLS協議中RSA演算法支持來降低漏洞帶來的風險。

安全投訴事件統計

近期新增嚴重漏洞評述

1.微軟2017年12月的例行安全公告中修復的漏洞數量較少（共37個，其中嚴重等級的19個），涉及Windows系統及組件（5個），IE瀏覽器（23個）， Edge瀏覽器（1個），Exchange Server（2個）、Flash player插件（1個）和Office軟體（5個）。這些漏洞中需要關注的是Malware Protection Engine 遠程執行代碼漏洞（CVE-2017-11937），Malware Protection Engine是Windows自帶殺毒軟體Windows Defender的防護引擎，當用戶從網上下載文件時，該引擎會自動掃描並檢測文件安全性。但引擎在功能實現過程中存在漏洞，攻擊者可以製作針對這個漏洞的特定文件，如果引擎掃描這些特製文件，會導致內存破壞，從而在系統上執行任意命令。

另外需要說明的是由於有越來越多的攻擊（APT攻擊和敲詐病毒）利用Offcie軟體的DDEAUTO技術，因此微軟通過12月的Office更新中（ADV170021）關閉了軟體中的DDE數據交換功能。鑒於上述漏洞帶來的危害，建議用戶儘快使用Windows自帶的自動更新功能進行安全更新。

2.GoAhead是一個開源的輕量級Web Server，被大量應用於嵌入式設備中（如攝像頭、小型路由器等），最近其出現了一個高危漏洞，3.6.5版本之前的GoAhead在開啟CGI功能時可以遠程執行任意代碼。目前GoAhead的官方已經在最新版（3.6.5）中修復了該漏洞，但是用戶由於許可權問題很難自己進行程序更新，需要等待嵌入式設備的廠商發布新的系統版本來完成修補，這個過程通常會比較慢。建議用戶隨時關注相關嵌入式設備廠商發布的安全公告並及時更新，在補丁程序沒有出來之前，可以通過網路的限制手段來降低相關漏洞被利用的風險。

3.12月1日，Apache官方發布了Struts2框架的最新版2.5.14.1，用於修補之前版本中存在的兩個漏洞，分別是S2-054拒絕服務漏洞和S2-055反序列化漏洞，利用這些漏洞可以對目標Web伺服器發動DOS攻擊或是反序列化代碼執行攻擊。其中S2-055對應的反序列化漏洞（CVE-2017-7525）2017年7月就被暴露出來了，但針對該漏洞的補丁直到2017年12月才出現。Struts2框架的漏洞2017年公布的數量較多，建議相關網站管理員要隨時關注廠商的動態，及時更新Struts2的版本。

安全提示

隨著物聯網應用的逐步普及，越來越多的具備聯網功能的嵌入式設備將會被暴露在網路中，這類設備的安全問題需要引起管理人員的重視，它們由於自身的特殊性，在出現安全漏洞時可能無法快速的通過安裝補丁的方式進行修補，這樣的物聯網設備很容易被黑客控制並利用從而帶來較大的安全風險。因此現階段還是建議從網路層面加強對相關物聯網設備的控制。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！