山东云教育服务平台登录入口:http://www.sdei.edu.cn/wcms/wwwroot/sdedu/index.shtml
各市教育(教体)局,各高等学校,厅属各单位:
第二季度,我省教育系统网络运行总体稳定,但部分教育行政部门和学校的信息系统(网站)仍多次出现弱口令、远程命令执行和信息泄露等安全事件,第二季度共监测发现安全事件228起(其中通过网络安全攻防演练发现86起),比第一季度增加70起。对监测发现的安全事件,我厅第一时间通过工作平台(http://gzpt.sdei.edu.cn)进行了通知,对未在规定时间进行处置的进行了书面告知。为进一步加强教育系统网络与信息安全管理,现将第二季度安全漏洞情况通报如下:
一、弱口令漏洞
共发现64次。弱口令指的是仅包含简单数字和字母的口令,例如“abcdef”“123456”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:滨州医学院、山东建筑大学、潍坊学院、山东理工大学、山东大学、济宁医学院、中国海洋大学、山东科技大学、曲阜师范大学、山东商业职业技术学院、山东铝业职业学院、山东海事职业学院、鲁东大学、山东交通职业学院、日照职业技术学院、青岛恒星科技学院、青岛大学、临沂大学、山东现代学院、中国石油大学、烟台职业学院、威海海洋职业学院、泰山学院、山东艺术设计职业学院、山东水利职业学院、山东农业工程学院、山东农业大学、山东化工职业学院、齐鲁医药学院、齐鲁师范学院、枣庄科技职业学院、山东财经大学东方学院、山东凯文科技职业学院、山东信息职业技术学院、山东政法学院、青岛港湾职业技术学院、山东艺术学院、济南市教育局、淄博市教育局、潍坊市教育局、济宁市教育局、青岛市教育局。
二、远程命令执行漏洞
共发现52次。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:滨州医学院、山东建筑大学、山东旅游职业学院、山东理工大学、山东大学、曲阜师范大学、菏泽医学专科学校、山东师范大学、山东服装职业学院、鲁东大学、德州职业技术学院、枣庄学院、泰山学院、山东农业工程学院、青岛农业大学、齐鲁医药学院、山东华宇工学院、滨州职业学院、山东协和学院、烟台大学、济南市教育局、淄博市教育局、泰安市教育局、潍坊市教育局、济宁市教育局、临沂市教育局。
三、信息泄露漏洞
共发现49次。主要是网站发布信息时主动泄露个人身份证号等敏感信息,也包括服务器中源代码等信息可以被直接下载利用导致服务器配置、数据库连接等敏感信息泄露。涉及单位:山东建筑大学、潍坊学院、山东理工大学、山东大学、济宁医学院、山东科技大学、曲阜师范大学、潍坊科技学院、山东师范大学、山东服装职业学院、山东城市建设职业学院、德州职业技术学院、青岛科技大学、青岛黄海学院、青岛大学、临沂大学、淄博职业学院、山东农业大学、山东财经大学、曲阜远东职业技术学院、青岛农业大学、齐鲁师范学院、德州学院、北京电影学院现代创意媒体学院、济南大学、齐鲁工业大学、山东交通学院、山东警察学院、潍坊职业学院、青岛求实职业技术学院、青岛理工大学琴岛学院、山东电力高等专科学校、山东圣翰财贸职业学院、青岛远洋船员职业学院、山东商务职业学院、聊城职业技术学院、青岛工学院、淄博市教育局、泰安市教育局。
四、SQL注入漏洞
共发现16次。即黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:济宁医学院、泰山医学院、山东师范大学、山东交通职业学院、日照职业技术学院、青岛黄海学院、青岛恒星科技学院、山东现代学院、威海海洋职业学院、山东艺术设计职业学院、山东化工职业学院、枣庄职业学院、泰安市教育局。
五、暗链漏洞
共发现13次。暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。暗链往往被链接到黄赌毒、诈骗甚至反动等非法网站,对政府和企事业单位的影响较大。涉及单位:山东铝业职业学院、淄博职业学院、青岛飞洋职业技术学院、济南市教育局、淄博市教育局、潍坊市教育局、菏泽市教育局、德州市教育局。
六、逻辑漏洞
共发现8次。逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。涉及单位:中国海洋大学、山东科技大学、泰山医学院、山东商业职业技术学院、山东财经大学、山东外国语职业学院。
七、任意文件上传漏洞
共发现8次。任意文件上传指攻击者通过上传可执行脚本功能的文件从而获取服务器端可执行命令的权限。恶意攻击者可以利用此漏洞,可获得网站WebShell权限,可任意操作网站及数据信息。涉及单位:中国海洋大学、曲阜师范大学、山东师范大学、山东商业职业技术学院、山东服装职业学院、山东交通职业学院、山东现代学院、山东水利职业学院。
八、跨站脚本漏洞
共发现5次。跨站脚本漏洞(XSS)攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是java script,但实际上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。涉及单位:山东大学、曲阜师范大学、烟台职业学院、曲阜远东职业技术学院、泰山医学院。
九、WebShell漏洞
共发现4次。WebShell是指运行于服务器端的一段网页代码,通过某些危险的操作,可获得敏感的技术信息或者通过渗透提权获得服务器的控制权,一般是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。涉及单位:山东城市建设职业学院、鲁东大学、临沂大学。
十、目录遍历漏洞
共发现3次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。涉及单位:山东理工大学、中国海洋大学、潍坊科技学院。
十一、未授权访问漏洞
共发现3次。未授权访问指需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被越权操作、重要信息泄露。涉及单位:滨州医学院、青岛科技大学、济宁市教育局。
十二、XXE漏洞
共发现1次。XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。涉及单位:山东劳动职业技术学院。
十三、短信轰炸漏洞
共发现1次。短信轰炸指对发送信息功能调用未做任何限制可针对某用户短时间内发送大量垃圾短信,造成短信轰炸攻击;对于企业,每发一条短信,需向运营商交付一些费用,尽管比个人用户费用低,但是一旦被恶意利用大量发送后,可造成较大的直接经济损失。涉及单位:山东大学。
十四、永恒之蓝漏洞
共发现1次。2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具。“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。涉及单位:济宁医学院。
请以上安全事件涉及单位确认已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通报督办或约谈。各单位务必加强组织领导,明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。