3月底思科交换机的IOS及IOSXE系统被曝出存在一个远程代码执行漏洞（CVE-2018-0171），该漏洞允许攻击者向有问题的交换机的TCP 4786端口（默认开启）发送特制的攻击数据包来进行攻击，一旦攻击成功攻击者便可远程控制相应交换机。该漏洞信息公布不久，对应的攻击程序也在网络上被发布。4月第一周我们开始在教育网流量中检测到大量针对该漏洞的扫描及攻击数据，但随后的几周里类似的扫描和攻击数量则呈直线下降的趋势。出现这种结果可能是因为攻击者通过第一周的扫描和攻击已经基本掌握了网络上相关问题交换机的信息，并且可能已经获取了部分有漏洞交换机的控制权限，所以无需在进行扫描了。另外4月的网络流量中仍然能检测到大量的Memcache反射放大攻击的流量，但是单次攻击的流量规模相比之前的要降低很多，随着各大型的云服务商对Memcache服务的加强管理，这类攻击的可利用反射放大源正在逐渐减少。

　　安全投诉事件整体数量较为平稳。

　　近期没有新增影响特别广泛的蠕虫病毒。思科交换机的攻击代码虽然会自主攻击，但是并未发现其包含有传播的功能，因此未被定义到病毒和木马范畴中。

　　近期新增严重漏洞评述：

　　1.微软2018年4月的安全公告修补了其多款产品存在的227个安全漏洞。受影响的产品包括Windows 10 v1709（28个）、Windows 10 v1703（28个）、Windows 10v1607 and WindowsServer 2016（27个）等。用户应该尽快使用Windows自带的Update功能进行更新。

　　2.Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统，用PHP语言写成。Drupal在业界常被视为内容管理框架，而不是简单的内容管理系统，基于它的框架会进行大量的二次开发。3月底Drupal6、7、8多个子版本被曝出存在远程代码执行漏洞，官方也在随后发布的新版本中修补了该漏洞。但不久就有安全研究者发现官方发布的新版本并不能完全解决上述安全问题，攻击者仍然可以采用一些方法来绕过补丁限制去利用相关漏洞，因此4月下旬，Drupal的官方又发布了版本更新来进一步修补相关漏洞。因此对于Drupal的管理员应该尽快检查所使用的Drupal版本是否更新到了最新，最新的版本分别是：7.59、8.5.3及8.4.8.，对于还在使用Drupal6的用户，建议升级到高等级的版本。更多漏洞的信息可参见Drupal的官方公告：https：//www.drupal.org/sa-core-2018-004。

　　3.Cisco的IOS和IOS XE软件发布本年度的安全更新，修补了系统中存在的22个安全漏洞，其中有三个属于高危漏洞，可能导致使用CiscoIOS的网络设备远程被入侵控制或是拒绝服务攻击，三个漏洞分别是：

　　1.Cisco IOS XE软件静态证书漏洞（CVE-2018-0150）；

　　2.Cisco IOS和IOS XE软件服务质量远程代码执行漏洞（CVE-2018-0151）；

　　3.Cisco IOS和IOS XE Smart Install远程代码执行漏洞（CVE-2018-0171）。Cisco公司的详细安全公告请参见：https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-66682。

　　4.Oracle发布了2018年4月的安全更新，修复了其多款产品存在的254个安全漏洞，其中139个为高危漏洞。漏洞涉及的产品包括：Oracle Database Server数据库（2个）、电子商务套装软件Oracle E-Business Suite（12个）等，这些漏洞中需要特别关注的是WebLogic Server WLS核心组件反序列化漏洞（CVE-2018-2628），利用该漏洞，攻击者可以在未经授权的情况下，远程发送攻击数据，通过T3协议在WebLogic Server中执行反序列化操作，反序列过程中会远程加载RMI registry，加载回来的registry又会被反序列化执行，最终实现了远程代码的执行。相关产品的管理员应该尽快检查并升级自己的软件版本。（责编：杨燕婷）（作者单位为中国教育和科研计算机网应急响应组）

　　安全提示

　　本次思科的IOS系列漏洞影响主要影响的是思科的中低端交换机产品（2960、2975、3560、3650、3750、3850、4500等），这类中低端交换机一般多使用在部门的网络边界或是数据中心的交换环境中，这种环境可能没有专门的管理员对交换机设备进行管理维护，导致相关漏洞无法得到及时修补。建议学校应该组织专门的技术力量对自己网络中存在的类似设备进行排查，并协助进行升级，避免带来进一步风险。