关于2013年9月域名系统软件及域名机构漏洞风险的情况通报
2013-10-31 12:05:36
2013年9月,国家信息安全漏洞共享平台(CNVD)对域名系统软件以及域名机构存在的漏洞风险进行跟踪监测,并联合CNVD合作单位(WOOYUN网站)接收涉及境内域名机构的漏洞事件报告。现将相关情况通报如下:

        一、 近期通用软件漏洞情况分析

        CNVD对域名机构广泛使用的域名系统解析软件漏洞进行了分类收录。近期,CNVD收录了ISC BIND 9 DNS RDATA处理远程拒绝服务漏洞(CNVD-2013-11052)、ISC BIND 9 SRTT算法授权服务器选择安全漏洞(CNVD-2013-12416)等两个漏洞。受影响的BIND9 软件版本:9.8.0-9.8.5-P1、9.9.0-9.9.3-P1以及BIND 9.x。根据分析,利用漏洞(CNVD-2013-11052),攻击者可构造包括特定RDATA数据的DNS查询请求,可使得权威和递归解析服务器响应异常,严重时可导致拒绝服务;利用漏洞(CNVD-2013-12416),攻击者可构造异常SRTT值,进而影响授权服务器或递归服务器,发起DNS缓存投毒攻击。上述两个漏洞的综合评级均为“高危”,CNVD提醒相关行业用户尽快下载补丁更新,相关解决方案,可以参考CNVD漏洞公告信息:http://www.cnvd.org.cn/flaw/show/CNVD-2013-11052,http://www.cnvd.org.cn/flaw/show/CNVD-2013-12416。

        二、 境内域名机构漏洞风险事件

         根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告,近期(含部分8月份的事件报告)共收到41起涉及9家境内域名机构的漏洞风险事件。其中,新网数码、新网互联、万网志成、时代互联等企业的漏洞风险事件较多。从漏洞类型和构成威胁看,信息泄露、弱口令、权限绕过漏洞较多,可构成网站或用户敏感信息泄露,也可导致取得系统管理权限。此外,7月份在互联网上披露的Apache Struts Xwork远程代码执行高危漏洞(CNVD-2013-09777)在域名机构的信息系统中也未及时得到修复。详细列表和典型案例见附件。

附件:

        一、域名机构漏洞风险事件列表

报告时间

漏洞名称

评级

2013/8/2

万网域名管理平台远程命令执行漏洞

高危

2013/8/2

新网动力产品统一登录平台文件上传漏洞

高危

2013/8/3

时代互联域名劫持漏洞

高危

2013/8/3

万网域名自助解析平台权限绕过漏洞

中危

2013/8/3

西部数据信息泄露漏洞

中危

2013/8/8

新网互联网基础服务运营商网站权限绕过漏洞

中危

2013/8/8

新网互联代理商邮箱跨站脚本漏洞

中危

2013/8/9

中国万网虚拟主机控制面板信息泄露漏洞

低危

2013/8/9

新网互联多个分站弱口令漏洞

中危

2013/8/10

新网互联主站远程代码执行漏洞

高危

2013/8/10

新网设计漏洞

中危

2013/8/10

中企动力管理信息系统目录遍历漏洞

低危

2013/8/11

新网互联会员登录页面权限绕过漏洞

中危

2013/8/11

新网源码泄露漏洞

中危

2013/8/16

万网分销宝弱口令漏洞

低危

2013/8/16

新网接口权限绕过漏洞

高危

2013/8/16

中企动力业务支撑(BOSS)系统及内部系统信息泄露漏洞

低危

2013/8/29

时代互联代理平台权限绕过漏洞

中危

2013/8/30

时代互联ICP网站备案中心权限绕过漏洞

中危

2013/8/30

新网主站源码泄露漏洞

中危

2013/8/31

新网分站远程代码执行漏洞

高危

2013/9/2

景安网络备案网站远程代码执行漏洞

高危

2013/9/2

新网DNS运营系统远程代码执行漏洞

高危

2013/9/2

新网互联ICP/IP地址/域名备案管理系统远程代码执行漏洞

高危

2013/9/3

时代互联分站信息泄露漏洞

中危

2013/9/3

时代互联远程代码执行漏洞

高危

2013/9/3

新网越权漏洞

中危

2013/9/5

西部数码主站SQL注入漏洞

高危

2013/9/9

世纪东方网站远程代码执行漏洞

高危

2013/9/11

成都世纪东方建站超市SQL注入漏洞

高危

2013/9/12

成都世纪东方系统权限绕过访问

中危

2013/9/12

时代互联存在多个漏洞

高危

2013/9/12

中国数据分站后台弱口令漏洞

低危

2013/9/13

中国数据跨站请求伪造漏洞

低危

2013/9/13

中国数据设计漏洞

高危

2013/9/14

新网邮箱信息泄露漏洞

中危

2013/9/16

DNSPod主站反射型跨站脚本漏洞

低危

2013/9/19

新网VPS自动化生产系统SQL注入漏洞

高危

2013/9/21

中国万网开放管理平台源码和数据库信息泄露漏洞

中危

2013/9/22

中国万网某后台弱口令可导致千台主机运行风险

高危

2013/9/26

新网敏感泄露漏洞

中危

  附图1 域名注册商漏洞事件统计

       

        二、域名机构漏洞风险事件典型案例

        (一)万网开放管理平台源码和数据库信息泄露漏洞

        根据漏洞报送者报告的情况,万网开放管理平台(open.hichina.com)存在源码和数据库信息泄露漏洞。由于网站配置错误,远程攻击者利用漏洞可获得网站源码和数据库信息,发起进一步攻击,构成信息泄露和网站运行风险。CNVD对该漏洞的综合评级为“中危”。

        参考链接:http://www.wooyun.org/bugs/wooyun-2010-033720

        2.2西部数码网站存在SQL注入漏洞

        成都西维数码科技有限公司是中国互联网服务提供商,服务项目包括域名注册、虚拟主机、VPS、云主机、企业邮箱、主机租用、主机托管、CDN网站加速、网络营销服务等。根据漏洞报送者报告的情况,成都西维数码公司主站西部数码网站(www.west263.com)存在SQL注入漏洞。由于网站对用户的输入缺少过滤,攻击者利用漏洞可获得网站数据库信息,执行数据库查询等操作。构成网站信息泄露和运行风险。CNVD对该漏洞的综合评级为“高危”。

        参考链接:http://www.wooyun.org/bugs/wooyun-2010-031807

        2.3新网互联ICP/IP地址/域名备案管理系统远程代码执行漏洞

        新网互联是北京新网互联科技有限公司拥有的互联网服务品牌,是中国互联网应用服务提供商。根据漏洞报送者报告的情况,新网互联ICP/IP地址/域名备案管理系统(http://119.254.72.25:8088)存在远程代码执行漏洞。由于网站采用Apache Struts Xwork作用网站应用框架,对应较低版本存在远程代码执行漏洞(CNVD收录编号:CNVD-2013-09777,对应CVE-2013-2251)。攻击者利用漏洞可以取得网站服务器主机的远程控制权限,构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“高危”。

        参考链接:http://www.wooyun.org/bugs/wooyun-2013-031330

        2.4时代互联ICP网站备案中心权限绕过漏洞

        广东时代互联科技有限公司是中国首批经ICANN(国际互联网域名体系最高管理机构)和CNNIC(中国互联网络信息中心)认证的注册商,是域名和网站托管服务提供商。根据漏洞报告者报送的情况,时代互联ICP网站备案中心(icp.now.cn)存在权限绕过漏洞。由于网站对用户的输入缺少过滤,攻击者利用万能密码可登录系统,查看系统敏感信息,发起进一步攻击,构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“中危”。

        参考链接:http://www.wooyun.org/bugs/wooyun-2013-029056