站内搜索:

关于2019年第四季度教育系统网络与信息安全的通报


    日期:2020-03-04

各市教育(教体)局,各高等学校,厅属各单位:

2019年第四季度,我省教育系统网络运行总体稳定,但部分教育行政部门和学校的信息系统(网站)仍多次出现后门、信息泄露、弱口令和SQL注入等安全漏洞。第四季度共监测发现安全事件161起,比上一季度减少179起。对监测发现的安全事件,我厅第一时间通过工作平台(http://gzpt.sdei.edu.cn)进行了通知,对未在规定时间进行处置的进行了书面告知。为进一步加强教育系统网络与信息安全管理,现将第四季度安全漏洞情况通报如下:

一、后门漏洞

共发现64次。是指攻击者控制服务器的一条通道,攻击者通过渗透获得服务器的控制权,比一般的入侵更具有隐蔽性,便于进行长期的数据窃取活动。涉及单位:曲阜师范大学、滨州医学院、山东交通学院、山东司法警官职业学院、山东英才学院、山东服装职业学院、泰山医学院、鲁东大学。

二、信息泄露漏洞

共发现28次。是指网站发布信息时主动泄露个人身份证号等敏感信息,也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位:曲阜远东职业技术学院、青岛恒星科技学院、青岛农业大学、齐鲁师范学院、泰山学院、德州学院、聊城大学东昌学院、山东建筑大学、烟台南山学院、威海职业学院、青岛工学院、烟台黄金职业学院、山东交通职业学院、山东中医药大学、山东体育学院、日照职业技术学院、日照市技师学院、青岛理工大学、济南市教育局。

三、弱口令漏洞

共发现23次。是指仅包含简单数字和字母的口令,例如“abcdef”“123456”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:曲阜师范大学、曲阜远东职业技术学院、青岛恒星科技学院、青岛农业大学、济南大学、滨州医学院、泰山学院、德州学院、济南大学泉城学院、山东工艺美术学院、潍坊工商职业学院、菏泽学院、东营职业学院、日照航海工程职业学院、山东广播电视大学、山东商业职业技术学院。

四、SQL注入漏洞

共发现8次。是指黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:青岛恒星科技学院、青岛黄海学院、济南大学、青岛求实职业技术学院、青岛飞洋职业技术学院、潍坊市教育局。

五、挖矿木马

共发现8次。是指黑客将挖矿木马程序植入受害者的主机,占用CPU资源来帮助黑客挖矿,影响主机性能。涉及单位:山东师范大学、山东科技大学、淄博市教育局。

六、未授权访问漏洞

共发现6次。是指需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被操作、重要信息泄露。涉及单位:曲阜远东职业技术学院、山东师范大学、青岛黄海学院、齐鲁师范学院、齐鲁医药学院、淄博师范高等专科学校。

七、任意文件读取漏洞

共发现6次。是指一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件。涉及单位:青岛黄海学院、烟台大学文经学院、山东科技大学、济南市教育局。

八、跨站脚本漏洞

共发现5次。是指利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,也包括JavaVBScriptActiveXFlash或者普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话cookie等各种内容。涉及单位:济南大学泉城学院、青岛职业技术学院、潍坊市教育局。

九、远程命令执行漏洞

共发现3次。是指由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:曲阜远东职业技术学院、东营科技职业学院、山东旅游职业学院。

十、暴力破解漏洞

共发现2次。是指攻击者枚举其准备的用户名和密码字典同时进行登录,通过响应结果从而得到正确用户名和密码的过程。恶意攻击者可以利用此漏洞,可对网站进行暴力破解攻击。涉及单位:青岛恒星科技学院、济南幼儿师范高等专科学校。

十一、任意文件上传漏洞

共发现2次。是指攻击者通过上传可执行脚本功能的文件,从而获取服务器端可执行命令的权限。恶意攻击者利用此漏洞获得网站Webshell权限,可任意操作网站及数据信息。涉及单位:青岛恒星科技学院。

十二、IIS短文件泄露漏洞

共发现2次。是指Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。涉及单位:青岛黄海学院、聊城市教体局。

十三、逻辑漏洞

共发现2次。是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。涉及单位:青岛酒店管理职业技术学院、临沂市教育局。

十四、OpenSSH用户枚举漏洞

共发现1次。是指OpenSSH存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。涉及单位:曲阜远东职业技术学院。

十五、OpenSSL跨协议攻击漏洞

共发现1次。是指OpenSSL 1.0.2及更早版本1.0.1及更早版本存在跨协议攻击漏洞,用支持SSLv2及EXPORT加密组件的服务器作为Bleichenbacher RSA padding Oracle攻击方式,可进行TLS会话解密。涉及单位:烟台工程职业技术学院。

请以上安全事件涉及单位确认已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报督办或约谈。各单位务必加强组织领导,明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。

 

 

                    山东省教育厅

                    2020年2月11日