從今年1月20日開始，一個實體通過AS8003自治域號向外發(fā)布BGP路由，宣告啟用了之前未啟用的IP地址段。

　　截至4月20日，這個自治域?qū)ν庑娴穆酚尚畔⒁颜嫉饺騃Pv4路由表的5.7%，涉及的IP地址數(shù)量達到1.75億個。

　　經(jīng)查，這1.75億個新啟用的IP地址歸屬權(quán)為美國國防部，此次宣告是美國國防部授權(quán)進行的一個安全項目，目的是評估和防止外部未經(jīng)授權(quán)使用美國國防部名下的IP地址，發(fā)現(xiàn)可能存在的安全隱患。

　　新公布的這1.75億個地址都是合法的公網(wǎng)IPv4地址，并不會直接影響內(nèi)網(wǎng)的安全。

　　如果在內(nèi)網(wǎng)使用的都是合法的私網(wǎng)地址（10.0.0.0～10.255.255.255、172.16.0.0-172.31.255.255，192.168.0.0～192.168.255.255），就不會因為這次路由宣告而受到威脅。

　　但如果在內(nèi)網(wǎng)錯誤地使用了前述1.75億個公網(wǎng)IP地址，就可能導致內(nèi)部信息被泄露出去。除了安全風險，這件事也暴露出當下互聯(lián)網(wǎng)的不公平現(xiàn)狀。

　　在IPv4地址資源日益枯竭的今天，美國的一個政府部門居然掌握著如此龐大的未啟用資源。為了應(yīng)對這種不公平的現(xiàn)狀，我們需要加速向IPv6過渡。

　　2021年3月-4月CCERT安全投訴事件統(tǒng)計

　　4月，教育網(wǎng)整體安全投訴事件數(shù)量呈下降趨勢。近期沒有新增需要關(guān)注的病毒木馬信息，需要防范的還是各類勒索病毒。

　　近期新增嚴重漏洞評述

　　01.微軟2021年4月的例行安全公告中共修復(fù)了微軟旗下多款產(chǎn)品中存在的108個安全漏洞。

　　需要特別關(guān)注的是Windows安全漏洞（CVE-2021-28445）和Exchange Server代碼注入漏洞（CVE-2021-28482），攻擊者可以成功利用這些漏洞遠程執(zhí)行任意代碼，建議用戶盡快進行系統(tǒng)安全更新以降低漏洞帶來的風險。

　　02.Google V8引擎是一款開源JavaScript引擎。近期互聯(lián)網(wǎng)上公布了Google V8引擎中的一個高危安全漏洞（CVE-2021-21220）的利用代碼，若開發(fā)者關(guān)閉了V8引擎的沙盒功能（Windows版本的微信默認關(guān)閉沙盒功能），可能導致攻擊者利用該漏洞遠程執(zhí)行任意代碼。

　　目前，谷歌、微軟公司尚未發(fā)布新版本修復(fù)關(guān)聯(lián)漏洞，建議用戶使用Chrome，Edge等瀏覽器時不要關(guān)閉默認的沙盒模式，謹慎訪問來源不明的文件或網(wǎng)頁鏈接，并及時關(guān)注廠商的更新公告。騰訊公司已發(fā)布微信新版本修復(fù)該漏洞，建議用戶將微信（Windows版）更新至最新版本。

　　03.近期國內(nèi)的各類攻防演練活動如火如荼地開展，在活動過程中暴露出一些國產(chǎn)軟件的安全漏洞，包括：

　　億郵電子郵件系統(tǒng)V8.3-V8.13部分二次開發(fā)版本存在高危漏洞，未經(jīng)身份驗證的攻擊者利用該漏洞，可通過精心構(gòu)造惡意請求，使用POST方法在目標服務(wù)器上執(zhí)行命令，獲取目標服務(wù)器權(quán)限，控制目標服務(wù)器。目前，漏洞細節(jié)已公開，廠商已發(fā)布版本補丁完成修復(fù)。

　　致遠OA軟件舊版本（V8.0以下）集成的Fastjson組件存在反序列化漏洞。未經(jīng)身份驗證的攻擊者利用上述漏洞，可通過發(fā)送精心構(gòu)造的惡意網(wǎng)絡(luò)請求，獲取目標服務(wù)器權(quán)限，實現(xiàn)服務(wù)器的遠程代碼執(zhí)行。

　　致遠公司已于2020年6月11日完成對集成Fastjon組件的漏洞修復(fù)，發(fā)布V8.0版本軟件并在V8.0版本之后移除Fastjon組件。

　　04.OpenSSL軟件發(fā)布了最新1.11k版本用于修補之前版本中存在的兩個安全漏洞。

　　其中一個是拒絕服務(wù)攻擊漏洞（CVE-2021-3449），允許攻擊者通過從客戶端發(fā)送特制的重協(xié)商ClientHello消息來觸發(fā)DoS條件，從而影響運行OpenSSL1.1.1版本（啟用TLS1.2和重協(xié)商）的服務(wù)器。

　　另一個CVE-2021-3450漏洞與使用X509_V_FLAG_X509_STRICT FLAG時驗證證書鏈有關(guān)。建議使用低版本OpenSSL軟件的用戶盡快進行版本升級。

　　安全提示

　　隨著國內(nèi)各種攻防演練的開展，學校的網(wǎng)絡(luò)安全防護工作壓力越來越大。

　　盡管投入了大量的人力物力，卻依然很難阻擋那些利用Oday漏洞及社會工程學（利用合法賬戶發(fā)起的攻擊）發(fā)起的攻擊。

　　面對這種現(xiàn)狀，我們需要順應(yīng)形勢發(fā)展，在做好全面的安全防護的同時，收縮重點防護對象的范圍，基于系統(tǒng)分級和數(shù)據(jù)分級的基礎(chǔ)，對重點系統(tǒng)重點數(shù)據(jù)進行強化防護。

　　此外，除了做好基礎(chǔ)防護，還要加強安全審計，通過實時審計發(fā)現(xiàn)異常，及時阻斷通過Oday和社會工程學發(fā)起的攻擊。

　　作者：鄭先偉（中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）