当前位置: 安全纵横 > 安全公告

一周安全动态(2011年04月14日-2011年04月21日)

来源:安恒信息 日期:2011-04

2011年4月第三周(04.14-04.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 韩国现代资本遭入侵 数十万顾客信息外泄

韩国现代资本公司(Hyundai Capital)近日遭到黑客袭击,造成42万名顾客的身份证号码和1.3万名顾客的金融密码等个人信息外泄。

据报道,现代资本公司一位负责人表示,具体情况公司正在调查中,可能有更多顾客的个人信息被泄露,但顾客密码等敏感信息不会被泄露。公司方面目前正在对服务器和数据库(DB)进行广泛调查,努力查明其原因。

现代资本还说,公司每年都进行模拟黑客攻击的试验,迄今进行的共4次试验均获得成功,对出现这种情况深感遗憾。

报道指出,韩国国内各银行、信用卡公司、证券公司、保险公司等金融机构目前纷纷采取紧急措施,加强金融安保系统,以防类似事件的发生。

1.2 Flash爆出大漏洞 黑客可利用Word等传毒

病毒安全公司向网民发出安全警报,网民常用的Flash Player存在一个严重的0day漏洞(漏洞编号:CVE-2011-0611)。该漏洞可以被利用在Word中嵌入带毒Flash,用户一旦打开,便会“中毒”,从而造成电脑隐私文件外泄、中毒崩溃甚至被他人控制等严重后果。

安全专家介绍说,Flash被广泛应用于互联网的各个方面,比如开心农场、优酷、QQ游戏等,并可以内嵌入Word、PPT、Excel等常用工作软件中,因此,给黑客和病毒带来很多可以利用的“跳板”。目前截获的案例中,带毒的Word附件已经成为一种重要的攻击手段。除此之外,挂马网页数量以及针对安卓手机进行感染的威胁也在进一步上升。

目前,该Flash漏洞的主要危害范围涵盖了Windows、Macintosh、 Linux和Solaris等系统平台,IE、Chrome等浏览器,以及智能手机的安卓操作系统(Flash Player 10.2.156.12及更早版本都在受害之列)。用户通过装有如上操作系统、浏览器的电脑或者安卓手机浏览含有带毒Flash的网页时,就会自动下载大量木马病毒,而黑客也可以利用这一漏洞对用户电脑进行操控,执行恶意程序、窃取隐私信息乃至造成本地系统崩溃。

作为罕见的能够同时跨越多个平台的漏洞,该漏洞给我国超过90%的网民和超过20%的智能手机用户造成了巨大的潜在“威胁”。安全专家提醒广大用户,不要轻易打开不明链接以及陌生人发来的邮件附件、文件等。同时,安装专业的杀毒软件,按时杀毒,并对下载文件进行及时的病毒查杀。

1.3 黑客精准网络攻击升级 索尼官网难逃黑手

(记者 子山)黑客组织正在全球疯狂袭击企业和国家秘密设施。索尼官网、伊朗核设施等已经遭遇有组织的黑客更加精准的攻击。记者发现,黑客攻击游击性和随意性正在降低,组织性和目的性正在加强,随着他们技术能力的提高,分工明确,社会危害和防治难度将更大。

黑客将索尼大量站点踢下线

在匿名黑客组织威胁打击索尼网站群的声明发布一天之后,索尼旗下的主要站点,包括PlayStation网站、Style网站都出现离线的现象。

据一些聊天室观察项目的人员透露,一些黑客常用的IRC上最近充斥着匿名的黑客成员,有组织地攻击索尼网站。


计算机攻击
黑客组织精准攻击

导致索尼网站群被攻击的导火索是最近公司针对PS3破解黑客做出一系列的法律行动,包括在法院支持下对着名黑客“Geohot”进行的各种资料调取和资源锁定工作,从而引发了黑客群体的不满。

精准网络攻击还将继续增加

“去年出现了一些着名的精准攻击,今年还会更多。”赛门铁克安全战略师塞安·约翰(Sian John)说。由于多数用户都不再点击垃圾邮件中的可疑链接,但却会打开一些看似合法的发件人发来的邮件,这也使得精准攻击有空子可钻。

“攻击者去年在社交网站上发布了100多万条短网址,借此对受害者发动了钓鱼和恶意软件攻击,大幅提升了成功率。”赛门铁克说。随着普及率的增长,社交网站逐渐成为攻击者的一大重要平台。

“主要的移动平台的普及率终于足以吸引攻击者的注意了。攻击者其实是跟着用户走。”赛门铁克说。

1.4 美国联合数据在线营销被黑客窃取资料

中国软件资讯网消息:据外电报道,美国联合数据系统公司今日对外表示,旗下在线营销的艾司隆公司已被窃取资料。这可能是历来规模最大的在线数据窃取行动之一,而且是一次巧妙的网上偷盗行为。联合数据还表示称,艾司隆遭窃数据仅限于客户的姓名和电子邮件地址,而非信用卡数据和社会安全码相关。

联合数据说,艾司隆正与联邦当局和公司外的鉴定专家合作,调查其电子邮件系统遭被窃取资料事件。

在德州艾司隆公司上周承认其电子邮件系统已遭黑客入侵后,全美各大银行、饭店、零售店和公司即不断警告客户,提防收到假电子邮件。

艾司隆每年为2500家公司传输400亿封以上电子邮件,目前尚未指明客户姓名和电子邮件地址遭窃取的公司名称,但已有数十家公司表示遭到侵入。

这些公司包括希尔顿和万豪饭店、威瑞森、药妆连锁店沃尔格林、电视购物网络Home ShoppingNetwork以及零售商百思买和Kroger等。

至于通知客户资料遭窃的银行和金融公司,包括花旗集团、摩根大通、第一资本集团、美国银行、德拉瓦巴克莱银行以及阿默普莱斯金融。

1.5 警惕国家性网络暴力工具

2010年年初,美国国务卿希拉里首次发表关于互联网自由的演讲。她在演讲中指出互联网世界存在着“柏林墙”,一些国家站在互联网自由的另一端。有人将这次演讲称之为希拉里的“铁幕演说”,这一比喻恰如其分。2011年2月,希拉里再次就此议题发表演说,其内容相比上次演说相去不远。但是,结合美国在这一年间各种相关动作来看,其“互联网自由”战略并非应对“谷歌事件”的权宜之计,而有其长期考量。

美国互联网战略中的“三个套路”

希拉里两次互联网演讲均是以热点事件为头、理念阐述为腹、无端攻击为臂、政策行动为尾。对比2010年,2011年演讲中的热点事件从“海地地震”转为“埃及政权更迭”。理论阐述方面,希拉里添加了对网络安全的关注,将安全与自由设为同等高度。在无端攻击中,中国仍是希拉里的首要目标,而维基解密事件则成为一个新靶子。政策行动方面,希拉里除重申2010年演讲中所谈及的几个互联网自由行动外,还更具体的增加了美国资金支持的方向。

从表面来看,希拉里此次演讲仍是打着“互联网自由”大旗,对包括中国在内的一些国家进行无端指责,并试图塑造美国在互联网领域至高无上的道德地位。希拉里也希望借助演讲为其推动的几项外交行动进行宣传,回报那些对其进行全方位支持的企业家和华府人士。这些行动包括“全球网络倡议”和“公民社会2.0”行动,美国大多数网络巨头和非政府组织是这两个协议的参与者。

从深层次分析,希拉里此次演讲的动机更为不纯,显露出美国在互联网自由议题上的三个“固定套路”。

第一个套路是通过热点事件显示美国所推行的互联网自由及美国互联网服务提供商的优越性。2010年,希拉里描述了美国高科技企业所提供的互动式地图是怎样帮助海地儿童获救的。这一事件被希拉里复制为全世界范例,以印证其互联网自由“适用于全人类”。一年后,希拉里将埃及动荡描述为一场由脸谱(Facebook)和推特(Twitter)引发的革命,这两个互联网工具成为当地民众迫使穆巴拉克下台的最终利器。希拉里以此事件认为互联网自由已跨越东西方,成为民主运动的最终选择。希拉里试图构建一个“互联网自由和美国网络企业”与“人类福祉”之间的直接联系,或至少证明前者对世界上各种热点事件均产生影响。从埃及和突尼斯事件来看,世界上很多民众都相信“脸谱”和“推特”是革命发生的决定性因素。一些居心叵测或被美式价值观蒙蔽的人或许就会因此迷信美国新媒体的巨大力量,并进而信奉及捍卫希拉里之“互联网自由”观。然而,希拉里叙事背后却存在着两个背景:一是互联网影响已无孔不入;二是第三世界国家普遍对美国互联网服务存在依赖现象。这两点是诸多热点事件中美国“互联网自由”行动产生巨大影响的真实原因。

第二个套路是将互联网自由与人权议题绑定,塑造美式互联网自由价值观。希拉里再次在演讲中强调互联网自由与普世人权之间的联系,认为互联网自由是新世纪网络世界的通行规则。希拉里将自由表达、自由联接和无权干涉作为其互联网自由价值观的三大支柱,这一阐述比去年演讲更加具体和系统。在国内,美方试图将互联网自由作为其宪法所规定的美国国民言论自由权利的自然延伸。在国际领域,美方试图将互联网自由与《联合国人权宣言》中的言论自由挂钩。通过绑定这两大法律基础,美式互联网自由似乎披上了合法的外衣,获得权威支撑。但是,希拉里有意忽略了自由权的限度。美国最高法院在1940年《格里斯沃尔德诉康涅狄格州》一案中,对自由权加上了“行为有赖于调控以保护社会”的限定。在《联合国人权宣言》,自由也有其前提,即“鉴于对人类家庭所有成员的固有尊严及其平等的和不移的权利的承认”。这两个限定都表明自由权并非绝对。希拉里所提出的互联网自由则不然,她认为不应封杀仇恨或极端的观点,不应遏制互联网上的极端情绪。希拉里此种观点很难被学界或别国政府所接受,但却迎合了极端网民的口味,这正是希拉里鼓吹“绝对”网络自由的目的。从埃及到突尼斯,正是一群激进的年轻人依靠互联网聚合在一起,完成了美国期盼已久的中东民主革命。希拉里希望全世界更多的青年人参与其中,挑战当地政府和权威。

第三个套路是以维护互联网自由和网络安全为名对别国进行指责甚至打击。在2010年的演讲中,希拉里借“谷歌事件”对我国进行无端指责。今年,希拉里的攻击对象又有所扩大。维基解密、外国政府对互联网企业进行的审查和监视皆成为希拉里谴责目标。希拉里将维基事件视为“偷窃行为”,认为此类事件将干扰美实现“促进全世界人权和民主”大业。这段言论不仅彰显其互联网自由宣言的虚伪和双重标准,也受到西方学者批判。有学者指出希拉里正在侵蚀互联网的“网络中立性”原则,而按照美国利益为虚拟世界制定所谓行为准则。2010年演讲中,希拉里提出将发展能力推行其所谓“21世纪外交方略”。2011年,希拉里进一步提出“应对及打击各种威胁”,其推行网络外交战略更是昭然若揭。

美国正加速互联网国力建设

过去一年,美国已全面启动互联网国家战略,与希拉里互联网自由行动互为表里。在经济方面,美国联邦通信委员会(FCC)在2010年3月公布未来10年“互联网蓝图”,将全面提升美家庭宽带速度。这一计划将增强美网络安全硬度,并使美在云计算领域占据领先地位。在2011年国情咨文中,奥巴马公布其4G网络方案,计划在5年内将高速无线网络覆盖98%的国民。这将使美拥有多重网络保障以应对网络突发情况。

在军事方面,美军在2010年5月正式启动其网络战司令部,美国网络军队的组建正式拉开帷幕。按照计划,美国网络战部队将在2030年前组建完毕。美国网络战司令部司令亚历山大指出网络军队将具备网络攻击能力,依靠各种手段瘫痪敌方信息系统。6月,美军进行第六次“施里弗”太空演习,此次演习重点试验依靠太空武器对网络进行攻击的效果。9月,美国联合12个西方国家进行“网络风暴3”演习,演习目的在于检验包括电力、水源和银行在内的重要部门遭大规模网络攻击时的协同应对能力。美国还与以色列共同对伊朗实行“震网”打击,拖慢其核计划。这些行动均使美应对网络战能力显著增强,并重点强化网络战的先发制人功能。

在规划层面,美国政府在2010年公布《美国国家互联网安全战略》,其内容包括设置专门官员负责全美网络安全事务,并推进相关领域立法工作。2010年6月,资深参议员利伯曼推出《维护网络空间作为国家财产法案》,法案将赋予奥巴马在紧急时刻关闭美互联网服务的权力。

从上述动作来看,美国正加速其互联网国力建设。美国试图率先发力占得先机,尽快赢得网络霸权,从而在国力缓慢衰落的过程中继续维持其在全球的领导地位。

思考及建议


与冷战时期类似,美国互联网战略也分为文化经济斗争和军事斗争两部分。希拉里的演讲以“互联网自由”为皮,行“互联网文化侵略”之实。美国在互联网自由领域信誉不佳是众所周知的事实。许多恶劣的网络举措都源于美国,如过渡保护版权的行为、监视互联网用户和因恐怖主义威胁而执行的强制性IP登录等。这些行为均为世人所不齿,我们毋需高估其“互联网自由”价值的吸引力。希拉里推行“互联网自由”所依靠的是美国在互联网领域的统治地位。一旦第三世界国家摆脱对美国互联网服务的依赖,美国透过互联网进行的文化侵蚀也就难以奏效。因此,美国势必将采取各种手段阻碍包括我国在内的发展中国家发展符合本国特色的互联网服务,更会对其他国家向第三世界推进网络外交倍加警惕。

作为当今世界上网民第一大国和互联网科技强国,我国已基本摆脱对美国互联网服务依赖。从这个角度上来说,大可不必对其推行“互联网自由”过度紧张,我国网民更倾向使用本国服务。我国应进一步支持本国互联网产业发展,尽快为其制定国家发展战略。

另一方面,我国应高度关注美国开启“网络冷战”所带来的安全威胁。美国正在互联网这个原本无界的领域修葺边界,制定游戏规则,确定国家利益,组建暴力工具。这种国家化趋势曾在疆土、海洋、极地和太空领域中发生,如今,它又会在虚拟世界中重演。

在未来世界,对网络安全构成的最大威胁不再是网络恐怖主义或黑客,而是国家性网络暴力工具。现存国际互联网规范将难以约束这股强大的破坏性力量,我国必须采取相应措施加以应对。据此,试提出以下建议:

第一,应尽快制定互联网国家战略。互联网不仅是一个高新产业更具有高度战略意义,其重要性堪比海洋与太空。互联网国家战略应包含基础设置建设、产业建设、文化建设、网络安全和法律规范等一系列内容,全方位囊括互联网发展所涉及的方方面面,充分调动及促进包括政府、民间和军方等各种社会力量的参与。

第二,作为互联网国际舞台角力的主力,我国应积极促进本国互联网企业的发展,为其营造出良好的发展环境,运用专项资金支持互联网技术创新。应鼓励本国企业走出国门,积极为发展中国家提供符合其特色的网络服务,与美国展开良性竞争。

第三,我国应继续积极参与国际互联网规则制定及国际合作,着力提升我国及其他发展中国家在相关国际组织的话语权。我国宜应推动互联网相关国际法律体系的构建,强调互联网领域的主权原则,充分利用国际制度维护互联网世界的和平与安全。

第四,我国应加快发展网络国防力量建设,加强应对别国网络攻击或其他网络安全危机的能力。我国应加强宽带、无线宽带及太空网络建设,形成对网络安全的多重保障体系。应定期排查电力系统、金融系统等国家要害网络的网络安全隐患,谨防类似“震网”的木马攻击。为确保对别国网络攻击产生威慑力,我国国防力量应具备一定程度的网络攻击能力。

(作者系中国现代国际关系研究院美国研究所助理研究员 )

2. 本周关注病毒

2.1 Trojan.PSW.Win32.Agent.exv(飞马病毒)
警惕程度 ★★★★

病毒运行后检测其所在进程是否为魔兽世界、传奇等知名网络游戏进程。一旦确认,就会通过挂钩函数窃取游戏的用户名密码以及密保信息。然后,病毒会将自身复制到IE、WinRAR、盛大传奇等目录中,增强其隐蔽性。病毒会枚举网络资源,以用户名administrator和123456为密码连接局域网内的所有电脑。连接成功后会查找对方电脑共享文件夹下的所有文件,并将病毒复制进去,不断传播。最后,病毒还会检测被感染电脑是否开启了3389端口,不断向其发送病毒文件,以达到更大的破坏效果。

2.2 Trojan.DL.Win32.Undef.szo(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 Trojan.Win32.StartPage.qfm(木马病毒)
警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

 

3. 安全漏洞公告

3.1 IBM WebSphere Application Server访问权限安全漏洞

IBM WebSphere Application Server访问权限安全漏洞

发布时间:

2011-04-14

漏洞号:

CVE-2011-1683

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
当本地操作系统用户进行注册或者使用RACF适配器的Federated Repository时,基于z/OS平台的IBM WebSphere Application Server (WAS)中存在权限许可和访问控制漏洞。远程攻击者可以借助未知向量访问未明应用程序。
该漏洞存在于IBM WebSphere Application Server (WAS) 6.0.x至6.0.2.43,6.1.0.37之前的6.1.x版本,以及7.0.0.17之前的7.0.x版本。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21473989#solution

 

3.2 ikiwiki 'meta stylesheet'跨站脚本攻击漏洞

ikiwiki 'meta stylesheet'跨站脚本攻击漏洞

发布时间:

2011-04-14

漏洞号:

CVE-2011-1401

漏洞描述:

ikiwiki是一个wiki编译器,可将wiki页面转换为可在网站发布的HTML页面。
ikiwiki 3.20110328之前版本在处理"元样式表"指令过程中,没有确认htmlscrubber插件是否启用。远程认证用户可以借助(1)默认样式表或(2)备用样式表中的特制层叠样式表(CSS)令牌序列,进行跨站脚本攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://packages.debian.org/unstable/source/ikiwiki

 

3.3 GNU C Library ld.so本地权限提升漏洞

GNU C Library ld.so本地权限提升漏洞

发布时间:

2011-04-13

漏洞号:

CVE-2011-1658

漏洞描述:

GNU C 函式库(GNU C Library,又称为glibc)是一种按照LGPL许可协议发布的,公开源代码的,免费的,方便从网络下载的C的编译程序。
当RPATH完全由$ORIGIN动态字符串令牌组成时,GNU C Library(又名glibc或者libc6)2.13及之前版本中的ld.so扩展了该令牌。本地用户可以通过在带有RPATH值的(1)setuid或者(2)setgid程序的任意目录中创建硬链接,从而获取特权。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.gnu.org/s/libc/

 

3.4 Apache Tomcat HTTP BIO连接器响应读取漏洞

Apache Tomcat HTTP BIO连接器响应读取漏洞

发布时间:

2011-04-12

漏洞号:

CVE-2011-0708

漏洞描述:

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Java Servlet和JSP服务程序。
Apache Tomcat 7.0.12之前的7.0.x版本中的HTTP BIO连接器没有正确处理HTTP流水线。远程攻击者可以通过检查HTTP包中的应用数据,为随机环境中的其他客户端读取响应。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://svn.apache.org/viewvc?view=revision&revision=1086349
http://svn.apache.org/viewvc?view=revision&revision=1086352

 

3.5 Apache Tomcat web.xml访问限制绕过漏洞

Apache Tomcat web.xml访问限制绕过漏洞

发布时间:

2011-04-12

漏洞号:

CVE-2011-1183

漏洞描述:

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Java Servlet和JSP服务程序。
当web.xml没有设置登录配置时,Apache Tomcat 7.0.11版本没有遵循安全约束。远程攻击者可以借助对元数据完整的web应用程序的HTTP请求,绕过预设的访问限制。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://svn.apache.org/viewvc?view=revision&revision=1087643