一、 近期通用软件漏洞情况分析
CNVD对域名机构广泛使用的域名系统解析软件漏洞进行了分类收录。近期,CNVD收录了ISC BIND 9 DNS RDATA处理远程拒绝服务漏洞(CNVD-2013-11052)、ISC BIND 9 SRTT算法授权服务器选择安全漏洞(CNVD-2013-12416)等两个漏洞。受影响的BIND9 软件版本:9.8.0-9.8.5-P1、9.9.0-9.9.3-P1以及BIND 9.x。根据分析,利用漏洞(CNVD-2013-11052),攻击者可构造包括特定RDATA数据的DNS查询请求,可使得权威和递归解析服务器响应异常,严重时可导致拒绝服务;利用漏洞(CNVD-2013-12416),攻击者可构造异常SRTT值,进而影响授权服务器或递归服务器,发起DNS缓存投毒攻击。上述两个漏洞的综合评级均为“高危”,CNVD提醒相关行业用户尽快下载补丁更新,相关解决方案,可以参考CNVD漏洞公告信息:http://www.cnvd.org.cn/flaw/show/CNVD-2013-11052,http://www.cnvd.org.cn/flaw/show/CNVD-2013-12416。
二、 境内域名机构漏洞风险事件
根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告,近期(含部分8月份的事件报告)共收到41起涉及9家境内域名机构的漏洞风险事件。其中,新网数码、新网互联、万网志成、时代互联等企业的漏洞风险事件较多。从漏洞类型和构成威胁看,信息泄露、弱口令、权限绕过漏洞较多,可构成网站或用户敏感信息泄露,也可导致取得系统管理权限。此外,7月份在互联网上披露的Apache Struts Xwork远程代码执行高危漏洞(CNVD-2013-09777)在域名机构的信息系统中也未及时得到修复。详细列表和典型案例见附件。
附件:
一、域名机构漏洞风险事件列表
|
报告时间 |
漏洞名称 |
评级 |
|
2013/8/2 |
万网域名管理平台远程命令执行漏洞 |
高危 |
|
2013/8/2 |
新网动力产品统一登录平台文件上传漏洞 |
高危 |
|
2013/8/3 |
时代互联域名劫持漏洞 |
高危 |
|
2013/8/3 |
万网域名自助解析平台权限绕过漏洞 |
中危 |
|
2013/8/3 |
西部数据信息泄露漏洞 |
中危 |
|
2013/8/8 |
新网互联网基础服务运营商网站权限绕过漏洞 |
中危 |
|
2013/8/8 |
新网互联代理商邮箱跨站脚本漏洞 |
中危 |
|
2013/8/9 |
中国万网虚拟主机控制面板信息泄露漏洞 |
低危 |
|
2013/8/9 |
新网互联多个分站弱口令漏洞 |
中危 |
|
2013/8/10 |
新网互联主站远程代码执行漏洞 |
高危 |
|
2013/8/10 |
新网设计漏洞 |
中危 |
|
2013/8/10 |
中企动力管理信息系统目录遍历漏洞 |
低危 |
|
2013/8/11 |
新网互联会员登录页面权限绕过漏洞 |
中危 |
|
2013/8/11 |
新网源码泄露漏洞 |
中危 |
|
2013/8/16 |
万网分销宝弱口令漏洞 |
低危 |
|
2013/8/16 |
新网接口权限绕过漏洞 |
高危 |
|
2013/8/16 |
中企动力业务支撑(BOSS)系统及内部系统信息泄露漏洞 |
低危 |
|
2013/8/29 |
时代互联代理平台权限绕过漏洞 |
中危 |
|
2013/8/30 |
时代互联ICP网站备案中心权限绕过漏洞 |
中危 |
|
2013/8/30 |
新网主站源码泄露漏洞 |
中危 |
|
2013/8/31 |
新网分站远程代码执行漏洞 |
高危 |
|
2013/9/2 |
景安网络备案网站远程代码执行漏洞 |
高危 |
|
2013/9/2 |
新网DNS运营系统远程代码执行漏洞 |
高危 |
|
2013/9/2 |
新网互联ICP/IP地址/域名备案管理系统远程代码执行漏洞 |
高危 |
|
2013/9/3 |
时代互联分站信息泄露漏洞 |
中危 |
|
2013/9/3 |
时代互联远程代码执行漏洞 |
高危 |
|
2013/9/3 |
新网越权漏洞 |
中危 |
|
2013/9/5 |
西部数码主站SQL注入漏洞 |
高危 |
|
2013/9/9 |
世纪东方网站远程代码执行漏洞 |
高危 |
|
2013/9/11 |
成都世纪东方建站超市SQL注入漏洞 |
高危 |
|
2013/9/12 |
成都世纪东方系统权限绕过访问 |
中危 |
|
2013/9/12 |
时代互联存在多个漏洞 |
高危 |
|
2013/9/12 |
中国数据分站后台弱口令漏洞 |
低危 |
|
2013/9/13 |
中国数据跨站请求伪造漏洞 |
低危 |
|
2013/9/13 |
中国数据设计漏洞 |
高危 |
|
2013/9/14 |
新网邮箱信息泄露漏洞 |
中危 |
|
2013/9/16 |
DNSPod主站反射型跨站脚本漏洞 |
低危 |
|
2013/9/19 |
新网VPS自动化生产系统SQL注入漏洞 |
高危 |
|
2013/9/21 |
中国万网开放管理平台源码和数据库信息泄露漏洞 |
中危 |
|
2013/9/22 |
中国万网某后台弱口令可导致千台主机运行风险 |
高危 |
|
2013/9/26 |
新网敏感泄露漏洞 |
中危 |
附图1 域名注册商漏洞事件统计
二、域名机构漏洞风险事件典型案例
(一)万网开放管理平台源码和数据库信息泄露漏洞
根据漏洞报送者报告的情况,万网开放管理平台(open.hichina.com)存在源码和数据库信息泄露漏洞。由于网站配置错误,远程攻击者利用漏洞可获得网站源码和数据库信息,发起进一步攻击,构成信息泄露和网站运行风险。CNVD对该漏洞的综合评级为“中危”。
参考链接:http://www.wooyun.org/bugs/wooyun-2010-033720
2.2西部数码网站存在SQL注入漏洞
成都西维数码科技有限公司是中国互联网服务提供商,服务项目包括域名注册、虚拟主机、VPS、云主机、企业邮箱、主机租用、主机托管、CDN网站加速、网络营销服务等。根据漏洞报送者报告的情况,成都西维数码公司主站西部数码网站(www.west263.com)存在SQL注入漏洞。由于网站对用户的输入缺少过滤,攻击者利用漏洞可获得网站数据库信息,执行数据库查询等操作。构成网站信息泄露和运行风险。CNVD对该漏洞的综合评级为“高危”。
参考链接:http://www.wooyun.org/bugs/wooyun-2010-031807
2.3新网互联ICP/IP地址/域名备案管理系统远程代码执行漏洞
新网互联是北京新网互联科技有限公司拥有的互联网服务品牌,是中国互联网应用服务提供商。根据漏洞报送者报告的情况,新网互联ICP/IP地址/域名备案管理系统(http://119.254.72.25:8088)存在远程代码执行漏洞。由于网站采用Apache Struts Xwork作用网站应用框架,对应较低版本存在远程代码执行漏洞(CNVD收录编号:CNVD-2013-09777,对应CVE-2013-2251)。攻击者利用漏洞可以取得网站服务器主机的远程控制权限,构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“高危”。
参考链接:http://www.wooyun.org/bugs/wooyun-2013-031330
2.4时代互联ICP网站备案中心权限绕过漏洞
广东时代互联科技有限公司是中国首批经ICANN(国际互联网域名体系最高管理机构)和CNNIC(中国互联网络信息中心)认证的注册商,是域名和网站托管服务提供商。根据漏洞报告者报送的情况,时代互联ICP网站备案中心(icp.now.cn)存在权限绕过漏洞。由于网站对用户的输入缺少过滤,攻击者利用万能密码可登录系统,查看系统敏感信息,发起进一步攻击,构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“中危”。