总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2016-0027
根据CNVD白帽子报告的情况,近期CNVD组织专项行动,组织CNCERT各分中心重点对境内1800余个受Java反序列化漏洞(CNVD-2015-07556,对应CVE-2015-4852)影响的Weblogic服务器进行了技术核验和通报处置。现将有关情况通报如下:
一、漏洞报告情况
5月底,CNVD白帽子(ID:z_zz_zzz)提交了漏洞报告。其采用技术检测手段(已进行无害化处理)对境内约12000个采用Weblogic作为容器软件的服务器IP进行检测,存在Java反序列化漏洞的服务器IP为1925个(漏洞影响比例约为16.0%)。此外,白帽子在所述1900余个服务器上对常见网站后门(Webshell)程序进行排查,发现有620余台服务器已被黑客入侵植入网站后门,实施远程控制。CNVD对所述IP服务器进行排查,共核实有1835个IP位于中国大陆地区,按省份位居前十位的分别是:
| 省份 | 报告数量 | 占比 |
|---|---|---|
| 北京 | 380 | 20.7% |
| 广东 | 266 | 14.5% |
| 浙江 | 181 | 9.9% |
| 上海 | 143 | 7.8% |
| 江苏 | 125 | 6.8% |
| 山东 | 120 | 6.5% |
| 安徽 | 66 | 3.6% |
| 湖北 | 58 | 3.2% |
| 辽宁 | 49 | 2.7% |
| 福建 | 43 | 2.3% |
二、漏洞处置情况
接到报告后,CNVD组织CNCERT各分中心启动专项工作。通过对所述1835个IP进行技术核验,共确认1425个服务器IP仍受漏洞影响(验证漏洞不存在的情形受到IP不可达、连接超时或已有防护措施等因素影响)。CNCERT各分中心积极组织当地基础电信企业以及通过自有渠道联系服务器IP所属用户单位进行协调处置,截至6月11日,CNCERT各分中心共组织向1176个IP所属用户单位通报了漏洞情况,并建议用户排查清除后门植入等入侵痕迹。后续CNVD将进一步跟踪和核验用户单位处置情况。
| 省份 | 处置数量 |
|---|---|
| 广东 | 176 |
| 上海 | 139 |
| 山东 | 120 |
| 浙江 | 118 |
| 江苏 | 104 |
| 湖北 | 58 |
| 北京 | 42 |
| 河南 | 41 |
| 安徽 | 40 |
| 陕西 | 31 |
| 天津 | 31 |
附:参考链接: