广东网警发布“安网2016”第六期周报
“安网2016”网络安全专项治理行动开展第六周(2015年1月18日至2015年1月24日),扫描检测全省重点网站和信息系统15个,共发现64处隐患,其中高风险漏洞35个,占比54.7%。从风险类别来看,XSS注入、SQL注入、拒绝服务类漏洞是主要隐患类型;从行业类型来看,地质、科技、交通行业占比超过6成,成为所有存在安全隐患网站的主力军。
一、多家单位存在导致数据信息泄露的高危漏洞,需及时应对
在本期监测中发现了多个威胁站内数据信息泄露的高危漏洞。比如,某市属单位网站存有高危漏洞,通过漏洞可操控22台设备(内含大量敏感数据),可致内网漫游,进而导致大量数据泄漏。
此外,还发现省内某网络视频媒体存在高危漏洞,可导致全网站用户信息泄露、在线视频节目被任意添加修改、以及数据库管理权限被攻破等。存在的问题将严重影响该媒体的正常运营,并对用户财产、隐私安全将造成严重损失。
二、省重点单位存在多个高危漏洞,危及重点工业安全
在本期监测中,发现多项可能让入侵者获取操作权限的高危漏洞。广东省政府直属的某行政单位,是负责国家和省下达的工作任务管理,为省内部分产业发展提供相关资源保障,并组织所属单位承担战略性调查、科研等工作的部门,在本期检测中发现该单位存在多个高危漏洞,这些漏洞的组合攻击可完全控制网站服务器,而一旦服务器被入侵者控制,无疑会导致部分核心工业领域的重要机密数据信息面临泄露风险,对国家核心工业发展将造成巨大损失。
三、省内某医疗系统网站存在弱口令漏洞,可导致操作权限被窃取
省内某医疗系统网站是某市用于药品管理、规格校验的重要网站,网站中记录了该市多家医院药品采购、药品规格等大量信息,这是广东省医疗行业的重要信息系统之一。检测发现该网站存在重要漏洞,极有可能导致攻击者轻松获取操作权限。而一旦操作权限被获取,将导致整个网站的多项重要信息泄露,甚至可使数据遭到肆意增加、删减与篡改等,造成系统混乱,从而给全省医药采购与流通带来非常恶劣的影响。
四、工作建议
通过第六期的检测排查,发现省内多家网站存在站内数据信息泄露的高危漏洞,特别是个别重点工业单位和医疗系统网站的网络安全问题仍然十分突出,可能对企业生产运营、重要信息数据造成极大危害。 公安机关建议: 一是针对网站存在敏感数据泄露高危隐患的,建议做好系统权限验证和黑白名单文件效验,强化内网防护口令漏洞补丁;二是针对数据库管理权限存在高危漏洞的,建议网站加强SQL语句过滤,禁止同一个帐号同时登录多个办公平台设备,并对系统内信息进行加密;三是针对服务器容易被入侵者操控的高危隐患,建议在代码层面上进行修改,严格过滤用户非法输入,加强后台上传限制;四是对于不能及时修复系统补丁的信息系统,建议部署下一代防火墙产品进行安全防护;五是企事业单位内部技术力量不具备解决网络安全问题能力的,建议寻求国内权威安全机构的合作帮助,及时解决问题,消除安全隐患。
(平安南粤网 编辑:牧羊)