当前位置: 安全纵横 > 安全公告

一周安全动态(2011年05月26日-2011年06月02日)

来源:安恒信息 日期:2011-05

2011年5月第五周(05.26-06.02)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 陕西宝鸡首个攻击政府网站黑客被依法逮捕

正义网陕西5月26日电(通讯员周健)

近日,宝鸡市渭滨区人民检察院依法批准逮捕了本市首个涉嫌破坏计算机信息系统的犯罪嫌疑人姜吟。

2011年4月12日,宝鸡市人力资源和社会保障局下属的宝鸡人事人才网被自称“小淫侠”黑客蓄意攻击,原网站首页被“观望宝鸡人才网,我知道我不是人才,是一位即将面临社会,却找不到一席之地的,迷惘少年”文字替换。致使网络用户无法正常访问,网站被迫停运,很多注册单位不能进行网上招聘,求职者不能在网站上查询就业信息,网站上注册的招聘单位和求职会员的信息随时有被泄漏的可能,在当地社会造成严重的不良影响。

因《宝鸡日报》报道了此事件,2011年4月15日《陕西日报》、《三秦都市报》、《宝鸡日报》数字版三家网站也因此事受到该黑客攻击,致使网站瘫痪。接到报案后,宝鸡市公安局网监支队随即立案侦查,通过采取技侦手段,于2011年4月20日,发现黑客“小淫侠”在我市红树林网吧出现,公安人员迅速出击,一举抓获正在实施黑客攻击作案的犯罪嫌疑人。经查黑客“小淫侠”真名姜吟,是位年仅21岁的在校技术学院学生,精通网络技术,刚开始出于好奇于2009年在网上自学黑客技术,后来因为毕业就业遇到困难,对社会产生报复心理,遂开始尝试对网络进行攻击,刚开始攻击的是一些影响不大的小网站,随着网络技术的不断提高,其将作案目标瞄准到宝鸡地区有影响的网站,经查犯罪嫌疑人姜吟于2011年3月至4月期间,利用网络漏洞,通过SQL注入、ARP欺骗、植入木马等方法多次侵入陕西日报、三秦都市报、宝鸡日报、宝鸡人事人才网等60余家机关、单位网站。通过删除、修改网站文件,干扰网站正常运行,造成网站无法提供服务,网民不能正常访问,严重损害了党政机关和新闻媒体的公信力,造成了恶劣的社会影响。

犯罪嫌疑人姜吟违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,其行为已触犯《中华人民共和国刑法》第二百八十六条之规定,涉嫌破坏计算机信息系统罪。为维护互联网正常的运行环境,保护广大网民的合法权益,犯罪嫌疑人姜吟被宝鸡市渭滨区人民检察院依法批准逮捕,此案正在进一步的侦查之中。

1.2 微软IE被曝新漏洞 黑客可获得用户网站密码

据路透社报道,一电脑安全研究者近日在微软Internet Exploror发现了安全漏洞,黑客可能会利用Cookie获得用户Facebook、Twitter等网站账户。

他将其原理命名为“cookiejacking”。“任何网站,任何cookie,受限的只有人们的想象。”这名意大利独立的网络安全研究者,罗萨里.瓦洛塔(Rosario Valotta)表示。

据悉,瓦洛塔在一封电子邮件中解释道,黑客可以通过此漏洞得到存储在浏览器文件中的“cookie”,其中就包含了某网站账户的用户名和密码。一旦黑客得到这个cookie,就能得到这个网站的用户账户。这个漏洞在所有版本的IE,包括IE9中均存在。

要利用这个漏洞,在拦截cookie之前,黑客必须说服受害者在电脑屏幕上拖拽某物。而根据瓦洛塔所说,黑客能轻易实现这一任务。为了实验,他在Facebook上建立了一个谜题,需要用户为一名照片上美女将衣服拖拽下来。

“我在Facebook上将这个游戏上线仅不到3天,就有多于80个cookie被发送到我的服务器上,而我的好友只有150人。”瓦洛塔说。

而微软则表示,黑客只有较小可能在实际上成功进行cookiejacking。“对于需要进行的和用户的互动,我们并不认为存在较大风险。”微软发言人杰瑞.布兰特(Jerry Bryant)表示。他还说:“用户需要访问一个恶意网站,点击并拖拽屏幕上的某物,黑客才能获得此网站用户已经登陆的账户信息。”

1.3 八国集团电子论坛遭黑客攻击

国际在线专稿:据法新社5月26日消息,正在法国巴黎举行的“八国集团电子论坛”(eG8 Forum)连续两天遭到不明黑客的攻击,严重扰乱了会议的进行。

“八国集团电子论坛”组委会一名官员透露,从24日开始,该论坛遭遇了一系列场外人士针对记者和代表团的无线网络发起的黑客攻击。虽然网络攻击没有最终切断网络,但却干扰到无线局域网络(Wi-Fi),会场视频信息流时不时地中断。

据悉,“八国集团电子论坛”是由法国总统萨科齐呼吁举行的。出席本届论坛的不仅有八国集团的领导人,还包括全球媒体界的高层人士。

1.4 加拿大索尼网站遭黑客入侵 2000顾客资料外流

据外电报道,索尼再度被入侵,昨日索尼易利信加拿大网站遭黑客入侵,2000名顾客资料外流。

就在前一天,索尼方才宣布希腊的音乐娱乐单位、泰国电子营销网站,以及印度尼西亚索尼音乐网站,分别发现安全漏洞和未授权入侵情形。

自从上个月索尼游戏网络和其它娱乐网络服务被侵入窃取数据,至今公司仍在努力摆脱困境,目前全球已高达1亿名用户受到影响。

公司今日表示,发现未经授权联机情况当下,已立即关闭索尼易利信加拿大网站,站上2000名用户的名称、密码和电子邮件等数据,已被窃取外泄。

然而如同希腊、泰国印度尼西亚的网站入侵事件,加拿大站的顾客信用卡资料也安全无虞。

索尼发言人大曲昌夫称,近期一连串事件,不确定是否和PSN的大型攻击案件有所关联。

1.5 国防部:解放军建"网上蓝军"为提高网络防护水平

5月25日,中华人民共和国国防部举行例行记者会,国防部新闻发言人耿雁生大校发布了国防部长梁光烈出访的有关情况,回答了记者关于解放军海军建设、军队高级将领近期出访活动、地区军事热点等提问。中新社发 宋吉河 摄

新华报业网讯 国防部今日召开新闻发布会,国防部新闻事务局局长、国防部新闻发言人耿雁生大校在谈及解放军建立“网上蓝军”时表示,“这是根据训练的需要,为提高部队的网络安全防护水平而设立的。”

耿雁生大校说,当前网络安全已经成为国际性问题,它不仅影响到社会领域,而且也影响到军事领域,中国也是网络攻击的受害者。

“目前,中国的网络安全防护还比较薄弱。着眼提高信息化能力水平,强化网络安全防护,是军队军事训练的重要内容之一。”他说。


2. 本周关注病毒

2.1 Trojan.DL.Win32.Fednu.ec(木马病毒)
警惕程度 ★★★

病毒通过伪装成色情电影播放器的形式进行传播,用户一旦运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.2 Trojan.Win32.FakeAV.bqy(木马病毒)
警惕程度 ★★★

该病毒会伪造一个国外杀毒软件界面,无论电脑是否染毒都发现病毒,需要注册后才能杀毒,以达到欺骗用户注册付费购买。

2.3 Worm.Win32.FakeFolder.c(蠕虫病毒)
警惕程度 ★★★★

病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

3. 安全漏洞公告

3.1 IBM Lotus Notes多个堆缓冲区溢出漏洞

IBM Lotus Notes多个堆缓冲区溢出漏洞

发布时间:

2011-05-26

漏洞号:

CVE-2011-1512

漏洞描述:

IBM Lotus Notes软件是 IBM Lotus Domino 软件的主要整合客户端,它结合了电子邮件、日程安排和工作调度功能,并为协作应用提供了强大的桌面平台。

IBM Lotus Notes中存在多个基于堆的缓冲区溢出漏洞。攻击者可以通过引诱可信受害用户打开恶意文件,在具有执行应用程序的用户权限下执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/software/lotus/products/notes/

 

3.2 Apache HTTP Server APR 'apr_fnmatch()'无限循环拒绝服务漏洞

Apache HTTP Server APR 'apr_fnmatch()'无限循环拒绝服务漏洞

发布时间:

2011-05-25

漏洞号:

CVE-2011-1928

漏洞描述:

Apache HTTP服务器是流行的开放源代码WEB服务器程序,可使用在Unix和Windows操作系统下。

Apache HTTP Server 2.2.18版本中存在拒绝服务漏洞。该漏洞是由于当处理某些模式时,“apr_fnmatch()”函数中存在的一个错误导致的,远程攻击者可利用该漏洞触发无限循环并导致高CPU消耗。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://apr.apache.org/

 

3.3 Cisco Unified Operations Manager SQL注入漏洞

Cisco Unified Operations Manager SQL注入漏洞

发布时间:

2011-05-24

漏洞号:

CVE-2011-0960

漏洞描述:

Cisco Unified Operations Manager (CUOM) 8.6及早期版本中存在SQL注入漏洞。向iptm/PRTestCreation.do发送的“CCMs”参数和向iptm/TelePresenceReportAction.do发送的“ccm”参数在被用于SQL查询之前还没有经过正确过滤,远程攻击者可以通过注入任意SQL代码,修改SQL查询语句。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://archives.neohapsis.com/archives/fulldisclosure/2011-05/0371.html

 

3.4 Cisco Unified Operations Manager跨站脚本攻击漏洞

Cisco Unified Operations Manager跨站脚本攻击漏洞

发布时间:

2011-05-23

漏洞号:

CVE-2011-0962

漏洞描述:

Cisco Unified Operations Manager(CUOM)8.6及早期版本的Common Services Device Center中的CSCOnm/servlet/com.cisco.nm.help.ServerHelpEngine中存在跨站脚本攻击漏洞。该漏洞是由于向多个脚本输入的多种参数在返回给用户之前还没有经过正确过滤,远程攻击者可以借助tag参数注入任意web脚本或HTML

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://archives.neohapsis.com/archives/fulldisclosure/2011-05/0371.html

 

3.5 Cisco CiscoWorks Common Services 'device'跨站脚本攻击漏洞

Cisco CiscoWorks Common Services 'device'跨站脚本攻击漏洞

发布时间:

2011-05-23

漏洞号:

CVE-2011-0961

漏洞描述:

CiscoWorks Common Services是CiscoWorks应用所共享的通用管理服务集。

Cisco CiscoWorks Common Services 3.3及之前版本中存在跨站脚本攻击漏洞。向Framework Help servlet中的cwhp/device.center.do发送的“device”参数还没有经过正确过滤就返回给了用户,远程攻击者可利用该漏洞在受影响站点的用户浏览器会话中执行任意HTML和脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://archives.neohapsis.com/archives/fulldisclosure/2011-05/0371.html