CCERT月报：A8003号自治域引发内网安全风险

　　从今年1月20日开始，一个实体通过AS8003自治域号向外发布BGP路由，宣告启用了之前未启用的IP地址段。

　　截至4月20日，这个自治域对外宣告的路由信息已占到全球IPv4路由表的5.7%，涉及的IP地址数量达到1.75亿个。

　　经查，这1.75亿个新启用的IP地址归属权为美国国防部，此次宣告是美国国防部授权进行的一个安全项目，目的是评估和防止外部未经授权使用美国国防部名下的IP地址，发现可能存在的安全隐患。

　　新公布的这1.75亿个地址都是合法的公网IPv4地址，并不会直接影响内网的安全。

　　如果在内网使用的都是合法的私网地址（10.0.0.0～10.255.255.255、172.16.0.0-172.31.255.255，192.168.0.0～192.168.255.255），就不会因为这次路由宣告而受到威胁。

　　但如果在内网错误地使用了前述1.75亿个公网IP地址，就可能导致内部信息被泄露出去。除了安全风险，这件事也暴露出当下互联网的不公平现状。

　　在IPv4地址资源日益枯竭的今天，美国的一个政府部门居然掌握着如此庞大的未启用资源。为了应对这种不公平的现状，我们需要加速向IPv6过渡。

2021年3月-4月CCERT安全投诉事件统计

　　4月，教育网整体安全投诉事件数量呈下降趋势。近期没有新增需要关注的病毒木马信息，需要防范的还是各类勒索病毒。

　　近期新增严重漏洞评述

　　01.微软2021年4月的例行安全公告中共修复了微软旗下多款产品中存在的108个安全漏洞。

　　需要特别关注的是Windows安全漏洞（CVE-2021-28445）和Exchange Server代码注入漏洞（CVE-2021-28482），攻击者可以成功利用这些漏洞远程执行任意代码，建议用户尽快进行系统安全更新以降低漏洞带来的风险。

　　02.Google V8引擎是一款开源JavaScript引擎。近期互联网上公布了Google V8引擎中的一个高危安全漏洞（CVE-2021-21220）的利用代码，若开发者关闭了V8引擎的沙盒功能（Windows版本的微信默认关闭沙盒功能），可能导致攻击者利用该漏洞远程执行任意代码。

　　目前，谷歌、微软公司尚未发布新版本修复关联漏洞，建议用户使用Chrome，Edge等浏览器时不要关闭默认的沙盒模式，谨慎访问来源不明的文件或网页链接，并及时关注厂商的更新公告。腾讯公司已发布微信新版本修复该漏洞，建议用户将微信（Windows版）更新至最新版本。

　　03.近期国内的各类攻防演练活动如火如荼地开展，在活动过程中暴露出一些国产软件的安全漏洞，包括：

　　亿邮电子邮件系统V8.3-V8.13部分二次开发版本存在高危漏洞，未经身份验证的攻击者利用该漏洞，可通过精心构造恶意请求，使用POST方法在目标服务器上执行命令，获取目标服务器权限，控制目标服务器。目前，漏洞细节已公开，厂商已发布版本补丁完成修复。

　　致远OA软件旧版本（V8.0以下）集成的Fastjson组件存在反序列化漏洞。未经身份验证的攻击者利用上述漏洞，可通过发送精心构造的恶意网络请求，获取目标服务器权限，实现服务器的远程代码执行。

　　致远公司已于2020年6月11日完成对集成Fastjon组件的漏洞修复，发布V8.0版本软件并在V8.0版本之后移除Fastjon组件。

　　04.OpenSSL软件发布了最新1.11k版本用于修补之前版本中存在的两个安全漏洞。

　　其中一个是拒绝服务攻击漏洞（CVE-2021-3449），允许攻击者通过从客户端发送特制的重协商ClientHello消息来触发DoS条件，从而影响运行OpenSSL1.1.1版本（启用TLS1.2和重协商）的服务器。

　　另一个CVE-2021-3450漏洞与使用X509_V_FLAG_X509_STRICT FLAG时验证证书链有关。建议使用低版本OpenSSL软件的用户尽快进行版本升级。

　　安全提示

　　随着国内各种攻防演练的开展，学校的网络安全防护工作压力越来越大。

　　尽管投入了大量的人力物力，却依然很难阻挡那些利用Oday漏洞及社会工程学（利用合法账户发起的攻击）发起的攻击。

　　面对这种现状，我们需要顺应形势发展，在做好全面的安全防护的同时，收缩重点防护对象的范围，基于系统分级和数据分级的基础，对重点系统重点数据进行强化防护。

　　此外，除了做好基础防护，还要加强安全审计，通过实时审计发现异常，及时阻断通过Oday和社会工程学发起的攻击。

　　作者：郑先伟（中国教育和科研计算机网应急响应组）

　　责编：项阳