当前位置: 安全纵横 > 安全公告

一周安全动态(2011年05月12日-2011年05月19日)

来源:安恒信息 日期:2011-05

2011年5月第三周(05.12-05.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 安全回顾:从拉登之死到索尼泄密,黑客乐了

北京时间5月10日上午消息,一些兜售廉价软件的黑客攻击了多个知名网站,包括美国宇航局(以下简称“NASA”)和斯坦福大学的网站。

目前距离NASA发射“奋进号”航天飞机只有一周时间。NASA已经移除了喷气式推进实验室网站的多个弹出页面。根据谷歌的搜索引擎缓存,这些页面上的信息主要是为了兜售廉价版Adobe创新套装和其他产品。

受此次攻击影响的包括NASA、斯坦福大学、锡拉丘兹大学和美国东北大学网站。NASA已于周一对网站进行了清理,但其他网站目前仍没有采取应对措施。访问这些网站的用户将会看到被攻击的页面。

NASA喷气式推进实验室发言人简恩·普拉特(Jane Platt)表示,访问NASA网站是安全的,但他拒绝对此次攻击事件置评。

思科ScanSafe集团信息安全研究员玛丽·兰德斯曼(Mary Landesman)表示,攻击者试图为在线零售商创造流量,以此来赚钱。在某些被攻击的网站上,访问者会被重定向至在线零售网站。(维金)

1.2 NASA及斯坦福网站遭遇黑客攻击

上周很热闹,五一小长假、英国王室大婚、拉登被击毙、索尼泄密事件,社会热点很多,都很吸引人们的眼球,也让恶意攻击者很高兴,可资利用于发起攻击素材很丰富。让我们回顾下上周的重大安全事件吧。

本周主要安全新闻:

1.五月二日,拉登死亡,国外安全厂商随即传出利用拉登之死传播病毒的案例

病毒传播者非常擅长利用热门新闻事件来传播病毒木马,拉登之死的相关图片、视频等都将被利用。提醒网民宜小心处理电子邮件、QQ聊天消息中与拉登之死有关的任何文件,这些文件极可能是病毒传播者伪造的。

在国外知名社交媒体Facebook上,就有攻击者大量发送有关本拉登死亡的视频链接,点击这些链接就可能下载有害程序。

2.索尼PSN在线服务被黑,7700万用户资料疑被盗的新闻仍在继续发酵

美国当地时间2011年4月17日至19日,黑客侵入索尼公司位于美国圣迭戈市的数据服务器,窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。——有报道认为这是有史以来被公开的最严重的信息泄露事件。索尼可能因此损失数百亿美元,并将面临众多诉讼。
本案对从事电子商务、在线游戏的企业有深远影响,宜对企业收集过多个人信息的行为进行监管。网民也应小心在互联网提交与信用卡、银行储值卡有关的机密信息。一旦发现信息泄露,宜尽快修改相关密码。

3.维基解密创始人朱利安·阿桑奇认为,Facebook是人类发明的最可怕间谍机器

所谓“说者无意,听者有心”,网民经常会在社交网络泄露自己的行踪,这些信息对于有心进行的攻击行为提供了方便,有网民调侃拉登就是在使用iPhone手机后才暴露了藏身之处。

4.网购木马仍然每天在威胁网购人群

最新的报告表明,有近40%的网民会尝试登录购物网站,若在购物时不小心点击了骗子发送的钓鱼网站链接,或者接收了骗子伪装成“购物须知”之类的文件,就可能造成重大经济损失。

有网友就在微博中反映:买家在自己开的网店购物之后,付款时却将货款打到一个不相干的帐户。后查明,是这个买家此前已经中毒。这种情况下,在中毒电脑上进行的所有交易都将给骗子付款。

5.伪装成手机杀毒软件的吸费程序正在通过短信传播

5月4日,金山网络监测到一条恶意欺诈短信,短信谎称用户的手机有病毒,需要下载杀毒软件来清除。若手机用户信以为真,安装这个假冒的手机杀毒软件之后,山寨杀毒软件会装模作样的扫描一番再报告发现几个病毒,要求用户付费清除。

这是在上周发现伪10086吸费大盗之后的又一个手机恶意软件,其共同特征是通过欺诈手机短信来传播。建议网民不可轻信,看到类似短信时,应立刻删除。

1.3 助理电子商务师辅导之黑客攻击造成雅虎瘫痪

昨日,世界最大和最受欢迎的网站之一----雅虎被黑客攻击,该网站自设立以来破天荒头一次中断服务长达3个小时之久。多方黑客齐攻雅虎公司的发言人告诉传媒,这次攻击雅虎的黑客来自因特网上多个网址,显然是事先约定的。这次攻击是被人称为“拒绝访问”的破坏行为,通常是黑客们以假的交易行为访问网站,结果造成网上交通大阻塞,妨碍了那些真正需要使用网站的用户。

发言人还透露,雅虎网站过去也曾被这种攻击行为破坏过,但雅虎公司每次都采取措施,有惊无险地保证了网站的服务正常运作,然而,在昨日的攻击里,黑客们却正好抓住公司没有设防的机会,再加上来自不同网址的黑客同时进行攻击,雅虎公司一时招架不及只好眼睁睁地看着网站服务中断了3个小时。据悉,雅虎网站目前正在安装过滤器以防止类似的攻击再次得逞。不过,雅虎公司发言人一再强调这次网站并没有被黑客成功入侵,也没有用户的资料被泄露出去。不过,至今仍未找出该应对这次攻击行为负责的人。雅虎还可靠吗?

据悉,雅虎网站这次服务中断时间是从当地时间7日上午10:15至下午1:25。一直以来,雅虎网站是因特网中最可靠的网站之一,而这次攻击行为的轻易成功,就会引起那些一心依靠因特网进行商业交易的人的警觉,即使是最多资源和拥有最好追踪记录的网站也会成为轻易受到黑客攻击,甚至因此中断服务。正如一位电脑专家说,这绝对是一个暗示,无论你准备得怎么充分,无论你的计划里考虑了多少偶然性事故在内,无论你把自己的系统设计得多么好,它总有可能会出点错。

1.4 研究表明网络的脆弱性无法抵御潜在攻击

据国外媒体报道,一项最新的研究报告表明世界上一些重要的基础设施易于遭受网络攻击,除了已知的攻击外,这些基础设施对于潜在攻击的防御能力也较差。这份报告由McAfee公司和CSIS(战略和国际研究中心)共同完成。该报告调查了重要行业公司的漏洞,比如电力,能源,石油,天然气和水。这些公司分布在全球14个国家,来自这些公司的大约200名IT安全主管接受了调查,并协助完善报告。

有70%的主管人员称在系统中发现恶意软件,在电力部门有近50%的人员称在系统中发现了Stuxnet。

中国,日本和意大利的基础设施所有者在安全意识方面最高。中国和日本都设立了相关法律来保护组织不受网络安全威胁。相反,巴西,法国和墨西哥在安全措施方面做的很差。

1.5 报告称加拿大成黑客恶意骗取个人资料的据点

中新社多伦多5月10日电 一份新的报告显示,加拿大目前是第二个拥有最多伪冒网站的国家。这些伪冒网站试图欺骗用者提供个人资料、密码或银行的资料。报告说,在过去12个月,在加拿大伺服器寄存的伪冒网站在数目方面上升了319%,而与此同时大部分国家的数字呈下降趋势。

这份报告说,黑客将活动调离中国及东欧的伺服器,而加拿大正变成网络犯罪的匿藏点。

这份报告是由由总部设在圣地亚哥的网感公司提供的,该公司在加拿大的多伦多、渥太华及蒙特利尔设有办事处。

此间的加通社引述该公司的保安研究高级经理朗奈德话说,在该公司的各种寄存网络罪案行动的总体名单上,加拿大排在最恶劣的第六位,而去年是第十三位。

不过,朗奈德也说,这并不意味黑客在加拿大,也不意味受影响的用户在加拿大,但这意味着有人正在利用加拿大的网络设施。

朗奈德解释,由于网络管理员能够判断可疑的流量的来源地,从而将安全威胁减至最低,黑客正将活动调离海外的伺服器。

郎奈德说,以往黑客多用诸如立陶宛、乌克兰及土耳其等国的伺服器,而现时转往保安声誉较佳的地区,以图令本身的勾当更为容易得逞。

他表示,仍未看见加拿大有很多的高调打击行动,而这可能是黑客将网站调至加拿大的部分原因。

 

2. 本周关注病毒

2.1 Trojan.DL.Win32.Undef.tfr(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.2 AdWare.Win32.Undef.gce(木马病毒)
警惕程度 ★★★

这是一个会修改用户浏览器默认主页的木马病毒。病毒运行后,会修改系统文件,并直接将用户电脑中浏览器首页篡改为恶意网址导航站。随后,病毒还会在用户桌面上生成在线电影、网址导航等恶意网址快捷方式,最后病毒会连接黑客指定地址,下载大量木马病毒到电脑中,盗取用户网游,网银账号密码和个人信息。

2.3 Trojan.Win32.StartPage.qgi(木马病毒)
警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

 

3. 安全漏洞公告

3.1 Apache Struts XWork ''错误页面跨站脚本攻击漏洞

Apache Struts XWork ''错误页面跨站脚本攻击漏洞

发布时间:

2011-05-11

漏洞号:

CVE-2011-1772

漏洞描述:

Apache Struts中存在跨站脚本攻击漏洞。当没有定义操作或方法时,借助“”标签(使用bash语法)传递的操作或方法名称再被用于生成错误页面之前,没有经过XWork的正确过滤。远程攻击者可以利用该漏洞执行任意HTML和脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://struts.apache.org/2.x/docs/s2-006.html
https://issues.apache.org/jira/browse/WW-3579

 

3.2 Microsoft .NET Framework JIT编译器访问限制绕过漏洞

Microsoft .NET Framework JIT编译器访问限制绕过漏洞

发布时间:

2011-05-11

漏洞号:

CVE-2011-1271

漏洞描述:

Microsoft .NET Framework是一个流行的软件开发工具包。
当IsJITOptimizerDisabled是伪造的时候,Microsoft .NET Framework 4 beta 2之前版本中的JIT编译器不能准确处理与空字符串有关的表达式。攻击者可以利用特制的应用程序,在投机环境中绕过预设的访问限制。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://stackoverflow.com/questions/2135509/bug-only-occurring-when-compile-optimization-enabled/

 

3.3 Buffalo系列路由器管理屏幕多个跨站请求伪造漏洞

Buffalo系列路由器管理屏幕多个跨站请求伪造漏洞

发布时间:

2011-05-10

漏洞号:

CVE-2011-1324

漏洞描述:

带有1.x版本固件的Buffalo WHR,WZR2,WZR,WER和BBR系列路由器;带有2.x版本固件的BHR-4RV和FS-G54路由器;以及AS-100路由器的管理屏幕存在多个跨站请求伪造漏洞。远程攻击者可以利用该漏洞劫持管理员请求修改设置的认证,如更改登录密码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://buffalo.jp/support_s/20080808/csrf.html

 

3.4 Samsung Data Management Server SQL注入漏洞

Samsung Data Management Server SQL注入漏洞

发布时间:

2011-05-10

漏洞号:

CVE-2010-4284

漏洞描述:

Samsung Integrated Management System的Data Management Server (DMS) 1.4.3之前版本中的集成web服务器的认证表中存在SQL注入漏洞。由于某些未明输入还没有经过正确过滤就被用于SQL查询,远程攻击者可以利用该漏洞执行任意SQL命令。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.dvmcare.com/SRM/dms/download.html

 

3.5 Linux kernel agp子系统拒绝服务漏洞

Linux kernel agp子系统拒绝服务漏洞

发布时间:

2011-05-10

漏洞号:

CVE-2011-1747

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel 2.6.38.5及之前版本中的agp子系统不能通过AGPIOC_RESERVE和AGPIOC_ALLOCATE输入输出控制来正确限制内存分配。本地用户可以通过多次调用这些输入输出导致拒绝服务(内存消耗)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=b522f02184b413955f3bc952e3776ce41edc6355