安全通告（2018年2月简报）

本期安全公告发布2018年2月的病毒威胁、系统漏洞和国内外安全动态等。请用户及时更新杀毒软件病毒库并且访问各厂商站点获取并安装各漏洞的补丁或升级程序。  

关于Exim SMTP Mail Server存在缓冲区溢出漏洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了Exim SMTP Mail Server缓冲区溢出漏洞（CNVD-2018-04619，对应CVE-2018-6789）。攻击者可利用该漏洞在受影响的应用程序上下文中，通过堆溢出实现代码的执行，若攻击尝试失败仍可导致拒绝服务条件。目前，漏洞利用代码已公开，厂商已发布漏洞修复版本。

一、漏洞情况分析

Exim是一个MTA（Mail Transfer Agent，邮件传输代理）服务器软件，该软件基于GPL协议开发，是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。

该漏洞是源于Exim 4.90.1之前版本中SMTP侦听器'base64d()'解码函数在发送handcrafted消息时存在缓冲区溢出漏洞，由于Exim未能充分检查用户提供的数据。攻击者可利用该漏洞绕过了ASLR、PIE、NX等系统通用系统缓解措施，在受影响的应用程序上下文中执行任意代码，若攻击尝试失败仍可导致拒绝服务。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响Exim版本号在4.90.1之前的版本。

安恒应急响应中心提供的Exim SMTP Mail Server的资产普查数据显示，在全球的分布情况中，美国占比最多（51.32%），其次是德国（4.51%）和荷兰（4.5%），而在我国境内的分布较少（2.01%）。

三、漏洞修复建议

目前，厂商已发布升级新版本以修复该漏洞，建议及时更新到漏洞修复后版本，下载地址：

https://www.exim.org/mirmon/ftp_mirrors.html

关于利用memcached服务器实施反射DDoS攻击的情况通报

近日，利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。针对这一情况，国家计算机网络应急技术处理协调中心第一时间开展跟踪分析，监测发现memcached反射攻击自2月21日开始在我国境内活跃，3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量，3月1日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握，预测近期将出现更多该类攻击事件。memcached反射攻击利用了在互联网上暴露的大批量memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包（stats、set/get指令），使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据（理论最高可达5万倍，通过持续跟踪观察攻击流量平均放大倍数在100倍左右），从而进行反射攻击。

我国境内遭受Memcached服务器反射攻击累计流量分布情况

处置建议：

1、建议主管部门、安全机构和基础电信企业推动境内memcached服务器的处置工作，特别是近期被利用发动DDoS攻击的memcached服务器： 1）在memcached服务器或者其上联的网络设备上配置防火墙策略，仅允许授权的业务IP地址访问memcached服务器，拦截非法的非法访问。2）更改memcached服务的监听端口为11211之外的其他大端口，避免针对默认端口的恶意利用。3）升级到最新的memcached软件版本，配置启用SASL认证等权限控制策略（在编译安装memcached程序时添加-enable-sasl选项，并且在启动memcached服务程序时添加-S参数，启用SASL认证机制以提升memcached的安全性）。

2、建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断，对被利用发起memcached反射攻击的用户IP进行通报和处置。

3、建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源（例如NTP服务器和SSDP主机）开展摸排，对此类反射攻击事件进行预防处置。