关于DEDECMS SQL注入高危漏洞被利用发起大规模攻击的情况通报

2014-03-14 17:12:39

安全公告编号:CNTA-2014-0009

近日,国家信息安全漏洞共享平台(CNVD)对国内应用广泛的网站内容管理软件DEDECMS(又称“织梦”CMS) 存在的一个SQL注入高危漏洞进行监测后发现,针对该漏洞的攻击近期呈现大规模爆发趋势,对网站运行安全和用户个人信息安全构成较为严重的威胁。具体情况通报如下:

一、  漏洞情况分析

DEDECMS是由上海卓卓网络科技有限公司生产的一款网站建站系统软件,在国内政府、高校、企事业单位以及个人用户网站中应用较为广泛。2014年2月25日,该软件被披露存在一个高危漏洞(CNVD收录编号:CNVD-2014-01382)。至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播。漏洞存在于/plus/recommend.php页面,由于页面参数未进行严格过滤,存在SQL注入漏洞。

攻击者可利用漏洞直接获得网站数据库信息(包括后台管理员账号和口令信息),进而取得网站后台管理权限,后续可进一步渗透取得网站服务控制权。

二、漏洞影响范围

CNVD对漏洞的综合评级为“高危”。受漏洞影响的DEDECMS 版本包括V 5.7SP1及以下版本。由于漏洞危害大且易于利用,CNVD联合上海交通大学组织开展对该漏洞攻击情况的监测,并加大对存在漏洞的政府和高校网站的处置通报力度。

根据CNVD抽样监测结果,3月3日至9日,互联网上有2668个攻击源IP发起漏洞攻击,其中境外攻击源IP占22%(589个), 境外攻击源IP中自中国香港地区和美国的较多,分别有163个和155个。上述2668个攻击源IP共尝试扫描了48661个网站IP主机,其中474个网站IP因存在漏洞被攻击成功。从时间周期看,如下图所示,在一周之内被尝试攻击的网站数量呈现上升趋势并保持在高位,在3月8日达到峰值,被攻击成功的网站IP达到286个。

根据CNVD成员单位——上海交通大学网络信息中心在华东地区教育网内的监测结果,共有1903个攻击源IP对9972个网站IP发起尝试攻击。如下图所示,从2月26日至3月8日,被攻击网站IP数量总体呈现递增趋势。

针对黑客发起大规模漏洞攻击的情况,CNCERT组织协调全国分中心以及教育网应急组织(CCERT)加大漏洞通报和处置力度, 3月3日至13日共计通报政府、高校和电信行业网站存在DEDECMS漏洞事件超过100起。

三、漏洞处置建议

目前,DEDECMS软件生产厂商已经发布了针对该漏洞的相关补丁。建议用户及时到生产厂商官方网站下载补丁程序及时升级。同时,建议禁止外部无关IP或用户访问网站后台管理地址。

CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站: www.cnvd.org.cn

相关安全公告链接参考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-01382

http://www.freebuf.com/tools/27206.html

http://paper.wooyun.org/bugs/wooyun-2014-051950