一、总览
五月第二周发现攻击行为77万余次。攻击行为多为信息泄露攻击,业务系统202.117.144.157被攻击频率较高。
日期 |
2021/05/03-2021/05/09 |
2021/05/10-2021/05/16 |
请求次数 |
148240532 |
198974596 |
被攻击次数 |
560799 |
773064 |
最多攻击类型 |
网站扫描攻击 |
信息泄漏攻击 |
被攻击最多系统 |
219.244.71.246 |
202.117.144.157 |
二、风险威胁说明
2.1 攻击威胁
2.1.1 攻击威胁来源分布(地区)
上周发现威胁来源主要集中在上海地区,其余攻击次数较多地区分别为河北、香港、宁夏、广东等地,且多地未发生攻击事件,除此之外,上周发现大量国外攻击行为。
境内攻击源:
境外攻击源:
地区 |
攻击次数 |
荷兰 |
8104 |
美国 |
5419 |
印度 |
718 |
缅甸 |
716 |
瑞典 |
687 |
2.1.2 攻击类型(各类型占比)
在本月第二周所受攻击中,其中信息泄露攻击29万余次,占比较大。此外,还有如一些网站扫描攻击、目录遍历攻击、web漏洞攻击、系统命令注入也相对较多。
攻击类型 |
攻击次数 |
信息泄漏攻击 |
290791 |
网站扫描攻击 |
274972 |
目录遍历攻击 |
50840 |
web漏洞攻击 |
40917 |
系统命令注入 |
26734 |
2.2 终端安全情况(基于SIP日志)
终端安全类型 |
数量 |
僵尸网络 |
219 |
蠕虫病毒 |
212 |
挖矿病毒 |
102 |
木马远控 |
76 |
后门软件 |
11 |
勒索病毒 |
3 |
三、威胁情报通告
3.1 紧急漏洞通告
上周共发布威胁情报6次,通告内容如下:
3.1.1 【漏洞通告】IE浏览器脚本引擎内存损坏漏洞CVE-2021-26419
威胁等级:高危,能造成远程代码执行。
影响范围:
Internet Explorer 11 on Windows 10
Version 1607/1803/1909/2004/20H2
Internet Explorer 11 on Windows 7 Service Pack 1
Internet Explorer 11 on Windows 8.1
Internet Explorer 11 on Windows RT 8.1
Internet Explorer 11 on Windows Server 2008 R2
Service Pack 1
Internet Explorer 11 on Windows Server 2012/2016/2019
Internet Explorer 11 on Windows Server 2012 R2
Internet Explorer 9 on Windows Server 2008
Service Pack 2
利用难度:中危,需要配合钓鱼攻击方可使用
3.1.2 【漏洞通告】Apache OFBiz远程代码执行漏洞CVE-2021-29200、CVE-2021-30128
威胁等级:高危,能造成任意代码执行
影响范围:Apache OFBiz<17.12.07
利用难度:容易,无需授权即可远程代码执行。
3.1.3 【漏洞通告】Microsoft SharePoint远程命令执行漏洞CVE-2021-31181
威胁等级:高危,能造成远程代码执行
影响范围:
Microsoft SharePoint Foundation 2013
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
利用难度:复杂,需要用户授权
3.1.4 【漏洞通告】Adobe Acrobat Reader 多个严重漏洞
(注:存在多个CVE编号,具体详见紧急漏洞安全通告)
威胁等级:高危,能造成任意代码执行。
影响范围:
Acrobat DC and Acrobat Reader DC(Windows) <=2021.001.20150
Acrobat DC and Acrobat Reader DC(macOS) <=2021.001.20149
Acrobat 2020 and Acrobat Reader 2020(Windows & macOS) <=2020.001.30020
Acrobat 2017 and Acrobat Reader 2017(Windows & macOS) <=2017.011.30194
利用难度:容易,无需授权即可远程代码执行。
3.1.5 【漏洞通告】zzzcms远程代码执行漏洞CVE-2021-32605
威胁等级:高危,能造成远程代码执行。
影响范围:zzzcms <= 2.0.3
利用难度:容易,无需授权即可远程代码执行。
3.2 紧急病毒通告
3.2.1 【病毒通告】热点勒索病毒情报通告
事件背景:5月8日,据外媒纽约时报报道,美国最大成品油管道公司Colonial Pipeline被勒索软件攻击,为了避免造成更大影响,该公司已主动切断部分系统网络,暂停所有管道运营。
防御方案:建议及时在防护设备上对病毒网络通信IOC进行永久封禁(其中IOC指标为:catsdegree.com,securebestapp20.com,temisleyes.com)