当前位置: 安全纵横 > 安全公告

一周安全动态(2011年04月28日-2011年05月05日)

来源:安恒信息 日期:2011-04

2011年5月第一周(04.28-05.05)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 美媒称中国网络安全堪忧 官网数据库频遭黑客袭击

环球网记者王欣报道,近期以来,互联网安全成为了世界各国热捧的话题。有美国媒体于4月26日发表报道称,尽管此前中国经常被西方疑为“黑客攻击”的发源地,但中国自身的互联网安全状况其实不容乐观。有美籍网络安全专家指出,中国政府的网站频繁遭到攻击,其中的用户资料经常成为黑客窃取的对象。

据美国《华盛顿时报》4月26日报道,在华工作的美籍安全研究员迪尔顿指出,中国负责招聘外籍工作人员的部门中国国家外国专家局(SAFEA)网站在去年饱受侵袭,有超过1.1万人的身份信息、电话及护照号码甚至是心理测试的结果均遭到窃取,其中包括了数以千计的美国用户。此外,有多家中国研究机构的网站安全措施也较为薄弱,黑客有可能利用这些网站监听中国政府部门甚至是军方的机密。

“我发现这些安全漏洞、试图入侵网站并下载整个数据库,只用了20分钟。”迪尔顿在接受采访时表示,“中国网络安全存在的漏洞简直多到令人难以置信。”他还表示,自己并不是第一个进入该数据库的人,因为有证据显示,这些用户信息已经被外人窃取过。

《华盛顿时报》指出,该报在发布本文的同时,已向中国计算机安全官员发送邮件求证迪尔顿所发现的网络安全隐患,并得到了肯定的答复。报道还称,该名官员表示已经注意到这些漏洞,并已着手进行修复。

1.2 FBI:黑客攻入美中小企业帐户 转移资金达1.1亿美元

美国《情报周刊》(InformationWeek)周二发表文章说,美国联邦调查局(FBI)新近公布的一份报告显示,去年网络黑客对美国中小企业成功发动了20多次攻击窃取了这些企业的银行帐户信息并将多达1.1亿美元资金从这些银行帐户上非法转移。
联邦调查局的报告中说,技术人员通过侦察发现在从2010年3月至今年4月初期间网络黑客对美国中小企业的财务网络系统至少成功发动了20次攻击,这些攻击都导致一些企业银行帐户信息被盗。有证据表明,一部分被盗取的资金已经在层层掩护之下汇往了位于中俄边境的数十家贸易公司。报告中说,从表面上看,这些银行转帐似乎都是合法的。

联邦调查局的报告中列出了被攻击的中小企业公司名单以及各自遭受的损失金额。报告中说,从汇入资金的公司名称上看似乎都是一些中国公司,部分公司名称中出现了黑龙江一些港口和城市的名称如饶河、抚远、鸡西市和逊克、同江及东宁等字样,此外许多公司名称中还出现了“贸易”或“商行”等字样。

报告指出,这些资金都是通过多笔转帐划出的,单笔转帐金额通常在5-9万美元之间。黑客似乎对美国的金融监管体系非常了解,因为每一笔转帐的金额都在50万美元以下,这样的小额转帐不受监管。最具有迷惑性的是,这些转帐都附带了贸易合同及相关电子文件,至少从表面看这些转帐似乎都是正常的贸易结算。

1.3 90后黑客用支付平台漏洞 篡改银行账号获利

为了牟取不法利益,两名90后当黑客,利用软件漏洞将别人的收款账户改成了自己的,非法获利1.7万元。今天,重庆沙坪坝区警方披露了这起离奇的网络盗窃案。

据介绍,今年3月25日,广东某网络游戏支付平台的运营商发现,自己发货给了买家,但自己的收款网上银行账户内却没有收到钱。运营商疑惑不解,于是找到了开发这个网游支付平台软件的我市某软件开发公司。公司派出技术人员一查看,发现了被人篡改的痕迹。收款账户改成了另一个人的,而这个人名叫陶某,于是立即向警方报案。沙区警方通过侦查,迅速确定了犯罪嫌疑人的位置,于近日在九龙坡区杨家坪附近一居民房内,抓获了犯罪嫌疑人陶某、孙某2人,查封涉案电脑3台,追缴现金1.7万元。经审讯,陶某交代了犯罪过程。陶某是电脑爱好者,他从一位朋友处拿到了某网游支付平台软件的各种数据后,“刻苦专研”,发现软件中存在有“后门”的漏洞。他发现,通过这个“后门”,可以篡改利用这个平台交易的数据,甚至是银行账号。于是,他将某网游支付平台运营商的收款账号改成了自己的,不料很快被运营商发现,最终被沙区警方抓获。

1.4 国内安全网站圣盾防御 惨遭黑客入侵


被黑客入侵后

网站原貌


早晨9点30分,国内安全网站“圣盾防御网络安全平台”正式遭受黑客入侵,该网站目前已无法正常访问安全内容,打开页面后扑面而来是一张阴森恐怖的人头像,粗略看一下由数字组成,在黑暗色的屏幕下浅浅微笑,看似是一位西洋军官的头像,难道这是作者自画像?!从页面留下的信息看,该名黑客名叫Ruthless,所属黑客组织叫Virtual Soldiers Team(虚拟士兵队)。

小编对被入侵网站进行访问安全检查

由于“圣盾防御网络安全平台”网站系统已被攻破,黑客极有可能修改页面超链接跳转到挂马网站或者钓鱼网站,也有可能直接在页面中加载木马程序,有必要对页面进行安全性检查,探索黑客真正的目的。

开启某俄罗斯著名杀毒软件,安全级别调整至最高级,没有威胁提示问题。通过国内安全厂商提供的网站地址安全性扫描检测,页面安全最终得到确认,从一些细节上排查,排除了黑客入侵该网站,为了传播木马病毒的可能性。

黑客纯为技术炫耀成最大可能性

黑客此次入侵目标网站,并不隐藏所属黑客组织名称以及个人名称,根据马洛斯需求层次理论这是一种自我实现满足感行为,通常黑客都是在日常生活中很低调,很正常的一批人群,但内心深处藏有一丝阴霾,黑客入侵安全资讯网站能够给予自我内心极大的满足感。

暗指挑战国内安全网站 网站防范需谨慎

这次针对国内安全网站网络袭击事件,为我们同行敲响警钟,作为一家安全内容报道为核心的网站,自身安全性建设必不可少,不然要闹出笑话,警惕共勉。

1.5 黑客组织YGN揭甲骨文网站漏洞 甲骨文感谢

据Networkworld报道,YGN文明黑客集团再次出手报告了供应商网站中的漏洞,这次出项漏洞的是甲骨文旗下www.java.com网站,该漏洞是YGN通过评估扫描获知的。YGN表示,甲骨文对其报告的漏洞迅速做出反应,并修复了该漏洞。

YGN通过邮件告诉Networkworld甲骨文安全警报组感谢YGN向甲骨文报告了在www.java.com中存在的“任意URL重定位漏洞”。YGN在SecLists在线和黑客集团自己的网站上公布了该漏洞的咨询信息。

目前,甲骨文未对此事给出任何官方评论。

YGN把自己定位为年轻的IT专家,该集团位于缅甸,YGN一直很好地把自己保护在公众视线之外,他们表示,安全供应商特别需要在维护网站安全做出更多的工作。YGN强调他们是在自己的伦理范围内揭露网站漏洞的,尽管YGN意识到其扫描监督网站的行为可能已经违背了美国法律。


2. 本周关注病毒

2.1 Trojan.Win32.Nodef.dri(木马病毒)
警惕程度 ★★★★

病毒运行后,将自身拷贝到系统的Windows目录下,感染移动存储设备中的可执行文件,和系统盘下的Program Files和Windows目录中的EXE文件。然后病毒会搜集用户当前运行的进程名、网络适配器、本机IP等信息,并将这些信息进行打包,通过邮件的方式发送黑客指定邮箱中,导致用户个人信息泄露。

2.2 Trojan.PSW.Win32.OnlineGame.bfc(木马病毒)
警惕程度 ★★★

这是一个网游盗号木马,病毒运行后会通过键盘记录、读取游戏窗口信息和内存信息等方式盗取多种流行网络游戏的账户密码,对网游玩家威胁极大。

2.3 Trojan.DL.Win32.Undef.tbq(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

 

3. 安全漏洞公告

3.1 PHPYun多个SQL注入漏洞

PHPYun多个SQL注入漏洞

发布时间:

2011-04-27

漏洞号:

CVE-2010-4796

漏洞描述:

PHPYun是一款拥有自主知识产权的中文人才运营系统。
PHPYun 1.1.6版本中存在多个SQL注入漏洞。远程攻击者可以借助(1)向search.php发送的provinceid参数和(2)向resumeview.php发送的e参数执行任意SQL命令。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://phpyun.com/

 

3.2 Joomla! JS Calendar组件SQL注入漏洞

Joomla! JS Calendar组件SQL注入漏洞

发布时间:

2011-04-27

漏洞号:

CVE-2010-4795

漏洞描述:

Joomla! 是一款开放源码的内容管理系统(CMS)。
Joomla!的JS Calendar(com_jscalendar)组件1.5.1和1.5.4版本中存在SQL注入漏洞。远程攻击者可以借助对index.php执行的操作中的ev_id参数执行任意SQL命令。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.joomlaseller.com/

 

3.3 HP SiteScope跨站脚本攻击和脚本注入漏洞

HP SiteScope跨站脚本攻击和脚本注入漏洞

发布时间:

2011-04-27

漏洞号:

CVE-2011-1727

漏洞描述:

HP SiteScope 9.54和10.13版本中存在两个漏洞。恶意攻击者可以利用这些漏洞进行跨站脚本攻击和注入任意脚本。
(1)某些未明输入还没有经过正确过滤就返回给用户。远程攻击者可利用此漏洞在受影响站点的用户浏览器中,执行任意HTML和脚本代码。
(2)某些未明输入在被存储之前还没有经过正确过滤。远程攻击者可利用此漏洞注入任意HTML和脚本代码。当浏览恶意站点时,在受影响站点的用户浏览器中,这些代码就会得到执行。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c02807712

 

3.4 JBoss Enterprise SOA Platform和Application Platform系统访问漏洞

JBoss Enterprise SOA Platform和Application Platform系统访问漏洞

发布时间:

2011-04-22

漏洞号:

CVE-2011-1484

漏洞描述:

JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
JBoss Enterprise SOA Platform和JBoss Enterprise Application Platform中存在系统访问漏洞。该漏洞是由于处理页面exceptions时,JBoss Seam 2没有正确限制对JBoss Expression Language结构的访问。远程攻击者可以借助特制的URL执行任意代码。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://rhn.redhat.com/errata/RHSA-2011-0460.html
https://rhn.redhat.com/errata/RHSA-2011-0461.html
https://rhn.redhat.com/errata/RHSA-2011-0462.html
https://rhn.redhat.com/errata/RHSA-2011-0463.html

 

3.5 Kaspersky Administration Kit "SMBRelay"远程代码执行漏洞

Kaspersky Administration Kit "SMBRelay"远程代码执行漏洞

发布时间:

2011-04-25

漏洞号:

BUGTRAQ ID: 47563

漏洞描述:

Kaspersky Administration Kit 是一套功能强大且弹性的工具,可集中管理企业网路所使用的卡巴斯基实验室安全内容管理解决方案。
Kaspersky Administration Kit由于"SMBRelay"攻击在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用程序中执行任意代码。
Kaspersky Administration Kit 6中默认启用了"Scan IP subnets"功能。此功能可进行ICMP扫描,也可借助服务帐户尝试使用SMB协议,通过服务帐户可进行SMBrelay攻击并完全控制安全网络。默认情况下"Scan IP subnets"每七个小时扫描子网一次。攻击者需要运行SMBRelay工具并等待。因为Kaspersky服务帐户对企业网络中的主机具有管理员权限,这就意味着攻击者可攻击任何具有其权限的服务器或工作站。

安全建议:

厂商补丁:
Kaspersky Labs
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kaspersky.com/