当前位置: 安全纵横 > 安全公告

一周安全动态(2011年06月02日-2011年06月09日)

来源:安恒信息 日期:2011-06

2011年6月第一周(06.02-06.09)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 江苏政府网站成为黑客攻击“重灾区”

江苏省通信管理局近日发布了《2010年江苏省互联网网络安全报告》,调查显示:政府网站成为黑客攻击的“重灾区”。这与政府网站安全防护薄弱有直接关系。

根据江苏省互联网应急中心统计,去年遭到簒改的gov.cn网站占被簒改的.cn网站的26.6%,而gov.cn网站数量只占.cn网站的2.8%。

该中心还发现,黑客在“黑站”时,簒改方式发生变化,被改的政府网站中不少被添加了网页链接,很多包含游戏私服、游戏外挂、六合彩、色情内容等,这些暗链在源码可见但在页面上不可见,极具隐蔽性。

除了改网页,病毒传播也“瞅准”了政府网站。例如,“飞客”蠕虫病毒主要感染目标就是政府和重要部门系统主机。去年,江苏省的政府机关、重要信息部门的计算机主机感染“飞客”蠕虫病毒事件81万余起,占全省感染总数的6.87%,有可能造成重大网络泄密事件。

该中心建议,政府和重要部门信息部门应高度重视,增加必要的网络安全防护设备,及早发现,尽快处置,最大限度减少黑客攻击事件。

 

1.2 谷歌疑Gmail遭中国黑客攻击 外交部称不能接受

美国搜索引擎巨头谷歌周三表示,其遭受到疑似来自中国黑客的攻击,目标指向包括美国政府高官、中国活动人士和记者在内的数百名Gmail账户。中方则回应称“不能接受”这样的罪名。

(记者 雷霆)6月2日消息,据国外媒体报道,美国搜索引擎巨头谷歌周三表示,其遭受到疑似来自中国黑客的攻击,目标指向包括美国政府高官、中国活动人士和记者在内的数百名Gmail账户。中方则回应称“不能接受”这样的罪名。

谷歌安全团队的工程负责人Eric Grosse在公司博客上表示,来自中国济南的攻击,试图窃取部分Gmail邮箱账户的密码和监控邮件内容,受影响的用户包括美国政府高级官员、中国政治活动人士、几个亚洲国家(主要是韩国)的政府官员、军界人士以及新闻记者。


谷歌称,公司发现并阻止了这一行为,并已通知受害者和相关政府。

美国政府表示,FBI正在调查所谓黑客试图窃取谷歌邮箱账户的报告,但不相信美国政府的邮件账户在此次事件中遭到入侵。

白宫发言人维特(Tommy Vietor)说:“我们正调查这些报告,正寻求收集证据……我们没有理由相信,美国政府官员的邮箱账户遭到入侵。”

中国外交部回应称,谷歌将电子邮件受黑客攻击的问题归罪于中方是“不能接受的”。外交部发言人洪磊在记者会上表示,指责中国支持黑客活动是毫无根据,背后别有用心。

去年2月,美英媒体曾报道称,谷歌公司及数家美国公司遭遇“黑客袭击”事件与中国两所学校有关,即上海交通大学外和山东蓝翔高级技工学校。这也遭到了中方的否认。

 

1.3 6月2日下午2点金山毒霸官网被黑客攻破

6月2日下午两点左右,本网接读者反应,发现金山毒霸官网博客被黑客劫持,网页内容已面目全非。 (记者 李琳)6月2日下午两点左右,本网接读者反应,发现金山毒霸官网博客被黑客劫持,网页内容已面目全非。

记者在输入金山毒霸官网地址http://blog.duba.net/,已没有金山毒霸关于其产品的介绍及下载,变成了封署名为熊猫烧香致铁军的一封信,信中除了一些莫名其妙,令人费解的怪话外,附加了伟哥产品的图片,实为黑客的恶作剧。

对于金山毒霸官网被黑一事,有分析称这是黑客获取了博客密码所致。

目前,官网已恢复正常。


金山毒霸被黑客攻破截图

 

1.4 资讯安全专家:黑客将向敏感资讯和情报下手

(纽约法新电)资讯安全专家说,继索尼集团PlayStation网络遭到入侵之后,美国军火公司洛克希德马丁的电脑系统也遭黑客侵袭,说明了黑客胆子越来越大,已准备向敏感的资讯和情报下手。

洛克希德马丁公司周六发表声明承认5月21日遭受袭击,但称该公司“几乎立即”就发现到遭入侵,且采取了反制措施。

分析员说,这起攻击将促使洛克希德马丁公司的同行,采取进一步措施来加强网络安全。

过去几年,美国政府已加大了打击网络犯罪的力度,除了加强政府电脑系统的保安之外,也扩大与其他国家的合作,以及改善与私人企业间的协调。奥巴马总统2009年上台后不久,就把网络安全列为他的工作重点之一。

去年五月,五角大楼成立了新的网络战司令部,总部设在国家安全局所在的马里兰州。这显示当局意识到国防部所面对的日益多元化威胁,以及必须更好地协调互联网上的进攻和防卫工作。国土全部也采用一款自动化系统,来保护政府部门的电脑系统。

尽管如此,黑客的袭击持续。今年一月,副国防部长林恩说,有100多家外国情报机构试图入侵美国国防部的电脑网络,他们的目的主要是要窃取军事计划和武器系统设计资料。

私人企业界今年也遭遇更多袭击。三月间,数据储存公司EMC的安全部门RSA就承认其电脑系统遭入侵。RSA制造小型安全仪器,可为要进入企业网络和电邮户头的用户提供不断变更的密码。其系统遭入侵,可能影响到全球一些机密资料的安全。

上个月,索尼的PlayStation网络和其他在线服务也遭入侵,一亿多个网上户头的资料可能外泄。

安全公司Sourcefire的开发部门副总裁休格说,企业现在能够通过所谓的“入侵软件”,侦测到网络上的不寻常活动,从而更快知道系统是否遭袭击。他指出,如果是在五年前,企业根本很难确定是否已经遭到袭击。

尽管科技水平获得提升,但专家认为,网络间谍活动还将持续和进一步演化。安全研究公司Securosisi总裁莫古尔指出,各国政府和国防机构长久以来一直互相展开谍报活动,而电脑网络只是让他们更容易通过电子方式来窃取资料而已。

 

1.5 澳资源公司网络遭袭 黑客可能来自中俄东欧

(悉尼综合电)澳大利亚一些大规模的原产资源公司表示,关注中国和其他国家的黑客对它们的网络展开攻击。在这同时,澳洲政府呼吁这些原产资源公司和其他企业,应加紧防范来自海外的网络攻击。

澳洲最大的石油与天然气公司Woodside Petroleum即将卸任的总裁沃特说,该公司遭受的黑客攻击“来自四面八方,而不仅是中国”。

据《澳洲人报》报道,沃特在德意志银行商界领袖论坛上说:“网络攻击来自四面八方,包括东欧和俄罗斯。别单单盯着中国,威胁来自各处。”

澳洲蚬壳石油公司的主席皮卡德也同意,黑客攻击网络的问题值得关注。

针对沃特的言论,澳洲总检察长麦克莱兰说:“毫无疑问,网络安全威胁越来越严重,我国原产资源公司就几次遭黑客攻击。”

他表示,澳洲政府“非常认真看待网络安全的问题,并且时时刻刻都在采取措施加强网络安全。”

最近,世界各地发生了多起网络攻击事件。美国国防部最大供应商洛克希德马丁公司和其他几家军事承包商的安全网络近日遭到黑客攻击。这些网络含有大量机密信息,包括美国未来的武器系统,及其他军事科技机密资料。

日本索尼公司的PlayStation游戏网络上个月也遭黑客入侵,7700万用户的资料可能被盗,当中包括用户姓名和地址,甚至连信用卡资料也可能外泄。

 

2. 本周关注病毒

2.1 Backdoor.Win32.Undef.tcn(木马病毒)
警惕程度 ★★★

病毒通过在内存中两级文件的释放发作,加入无用代码来实现免杀,躲避安全软件查杀。病毒不直接添加自己的开机启动,采用替换的方式实现开机启动。运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现24个后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

2.2 Trojan.Win32.Fednu.dcq(木马病毒)
警惕程度 ★★★

病毒通过伪装成色情电影播放器的形式进行传播,用户一旦运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

 

2.3 Worm.Win32.FakeFolder.c(蠕虫病毒)
警惕程度 ★★★★

病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

3. 安全漏洞公告

3.1 PHP ext/sockets/sockets.c socket_connect函数栈缓冲区溢出漏洞

PHP ext/sockets/sockets.c socket_connect函数栈缓冲区溢出漏洞

发布时间:

2011-06-01

漏洞号:

CVE-2011-1938

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
PHP 5.3.3至5.3.6版本的ext/sockets/sockets.c中的socket_connect函数中存在基于栈的缓冲区溢出漏洞。攻击者可以借助UNIX套接字的超长路径名称,在执行PHP进程中执行任意代码,可能会造成Web服务器的崩溃,拒绝服务合法用户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.exploit-db.com/exploits/17318/

 

3.2 Cisco RVS4000和WRVS4400N Web管理界面信息泄露漏洞

Cisco RVS4000和WRVS4400N Web管理界面信息泄露漏洞

发布时间:

2011-06-01

漏洞号:

CVE-2011-1647

漏洞描述:

Cisco RVS4000\WRVS4400N千兆安全路由器能够以宽带速度,提供网络接入和交换功能,从而可以帮助中小型企业的员工安全地访问到他们所需要的工作资源。
Cisco RVS4000和WRVS4400N Gigabit Security Router中的web管理界面中存在信息泄露漏洞。远程认证用户可以借助未明向量,获取管理员SSL证书的私钥。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b7f190.shtml

 

3.3 Apache Archiva多个跨站脚本攻击漏洞

Apache Archiva多个跨站脚本攻击漏洞

发布时间:

2011-06-01

漏洞号:

CVE-2011-1077

漏洞描述:

Apache Archiva是一个管理一个和多个远程存储的软件。
Apache Archiva 1.3.5之前版本中存在多个跨站脚本攻击漏洞。由于在动态生成的目录中使用用户提供的输入时,Apache Archiva没有正确验证这些输入,攻击者可利用此漏洞窃取基于cookie的认证证书或者控制网站渲染用户的方式。

安全建议:

前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://archiva.apache.org/index.html

 

3.4 Apache Archiva多个跨站请求伪造漏洞

Apache Archiva多个跨站请求伪造漏洞

发布时间:

2011-06-01

漏洞号:

CVE-2011-1026

漏洞描述:

Apache Archiva是一个管理一个和多个远程存储的软件。
Apache Archiva 1.3.0到1.3.4版本中存在多个跨站请求伪造漏洞。远程攻击者可利用这些漏洞执行某些管理员权限的操作并非法访问受影响的应用程序。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://archiva.apache.org/download.html

 

3.5 Webmin跨站脚本攻击漏洞

Webmin跨站脚本攻击漏洞

发布时间:

2011-06-01

漏洞号:

CVE-2011-1937

漏洞描述:

Webmin是一款基于WEB的Unix和Linux操作系统系统管理接口。
Webmin 1.540及之前版本中存在跨站脚本攻击漏洞。本地用户可以借助能够更改real字段(Full Name字段)的chfn命令,注入任意web脚本或者HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.webmin.com/