当前位置: 安全纵横 > 安全公告

一周安全动态(2011年06月09日-2011年06月17日)

来源:安恒信息 日期:2011-06

2011年6月第二周(06.09-06.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 中国政府网站被越南黑客攻击 并留下挑衅言语

国内多家地方政府网站遭黑客攻击,被入侵网站标有“越南黑客是第一”,“越南人民愿意牺牲来保护海洋,天空和国家”“坚决扞卫主权,打烂中国侵略者的狗头!”等挑衅言论。

有网友反映其所在地政府网站遭遇疑似越南黑客的攻击,据了解,该黑客自称“Mr.N - Cubi11”,他在入侵我国地方政府网站后,还在网站中发表留言,叫嚣“越南黑客是第一”,“越南人民愿意牺牲来保护海洋,天空和国家”,“坚决扞卫主权,打烂中国侵略者的狗头!”。

 

1.2 越南外交部网站疑遭黑客攻击 站内放中国国歌

越南外交部网站疑遭黑客攻击

环球网记者李宗泽报道

6月8日,网上有消息称越南外交部网站被“黑”。本网记者当天下午3点许登陆了越南外交部的官方网站,发现该网确实遭到不明身份黑客的攻击,网站首页所有连接均失效,且有五星红旗的图案被放在醒目位置。

据记者观察,自称来自盐城的黑客在越南外交部网站首页上留下了署名“3King”与“小枫”。目前该网站正中央贴着一面五星红旗,网页的左侧及子链接均写有“南沙群岛是中国的!”等字样。网页下方分别用中英文写着“南沙群岛是中国的!过去是 现在是 将来也是!”。与此同时,网站内还在不停地播放着中国国歌《义勇军进行曲》。

截止记者在北京时间6月8日下午4时发稿时,越南外交部的网站仍处于被“黑”状态,没有恢复正常的迹象。

在中国与部分国家发生争议事件时,外国政府网站遭到疑似黑客袭击的事件并不少见。在2010年8月,菲律宾政府网站就遭到疑似中国黑客的攻击,当时该网站内被挂上中国国旗,背景音乐也换成了中国国歌,自称“黑客”的人还要求菲政府就劫持人质事件道歉。同年10月,日本岛根县政府网站也遭到疑似黑客袭击,网站主页上写有攻击日本的中文红色标语。

 

1.3 黑客侵入加拿大执政党网站 谎报总理紧急住院

中新网6月8日电 据“中央社”8日报道,一名黑客7日入侵加拿大保守党网站,称总理哈珀吃早餐时,不慎被食物卡住喉咙住院。这一谎报随即被保守党否认。

这一则看起来像是真的,张贴在保守党网站的新闻稿称,哈珀7日早晨与妻子劳琳及儿女共进早餐吃薯饼时,不慎卡住喉咙。

新闻稿又称,劳琳立刻打紧急求救电话,急救人员在将薯饼自哈珀喉咙清除后,紧急用直升机将哈珀送往多伦多总医院医治。

这一编造的新闻稿在渥太华引起不小的震动,很多人都以为哈珀住院是真的。哈珀办公室连络主任苏达士(Dimitri Soudas)知道此事后,立刻发表声明否认。

苏达士表示,哈珀人在渥太华,早上还送女儿上学。

保守党国会议员亚历山大(Chris Alexander)也上了黑客的当。这位国会议员在读了黑客的新闻稿后,立刻在他的推特(Twitter)博客中,发表这一消息。后来知道真相后,又立刻更正。

 

1.4 黑客第六次拉响对决战 巨人索尼傲慢尽失

现在黑客方得分16分,索尼方得分0分,该你了!”黑客组织在备注中写道。公然挑衅与索尼退去傲慢之后的伤不起形成了鲜明的对比。

据国外媒体报道,黑客集团LulzSec周一表示已获得索尼电脑娱乐开发者网络54MB的源代码和索尼唱片内部网络地图。Sony Pictures俄罗斯网站和Sony Music巴西网站被黑。显然,这已经是黑客第六次对索尼的攻击。

索尼影像娱乐公司总裁迈克尔-林顿发表声明称,“对这次由于黑客入侵给顾客带来的不便表示歉意,同时公司也会就此事深刻反省”。相比被黑客攻击之初,索尼的傲慢已然被今日的低调所代替。


2011年4月27日,索尼被爆出史上规模最大的用户数据外泄案,包括用户的姓名、出生日期、地址、电子邮件和登录密码等信息,遭窃案受影响用户涉及超过1亿人。信息被盗于美国当地时间4月17日至19日,但索尼正式对外宣布则是一周以后。一时间对索尼的指责铺天盖地的降临,同时索尼向众人交待已和FBI合作彻查此事,这一事件成了众多消费者的焦点。

然而,事情远远没有结束。所有人都在关注黑客是否已经被查出,用户将会有怎样的损失,何时能够恢复SPN网络之时,2011年5月3日,日本索尼公司宣布,新发现大约2460万索尼网络服务用户的个人信息疑遭黑客窃取。据悉,此次被披露的SOE hack事件被盗于美国当地时间4月16日至17日,但直到5月2日,该公司网络安全调查人员才发现。

2011年5月7日,索尼宣布推迟恢复PSN网络计划,具体时间尚不能确定。5月1日索尼在东京新闻发布会上表示会在一个星期内分地区逐步恢复PSN等服务。

网络恢复设想落空,雪上加霜的是,2011年5月9日,第三次sweepstakes hack被报道。此次黑客窃取了2500名索尼“sweepstakes”比赛选手的个人资料。

“没有网络是100%的安全,被黑只是未来网络发展道路上的一个小问题而已。”索尼总裁兼首席执行官霍华德·斯金格对外声称。

如此频繁的被黑事件,索尼先是选择了不回应。然而,期待热盼的索尼的合理解释竟然是索尼傲慢的“事后感言”,消费者不禁为其捏一把冷汗。连老大哥苹果和微软都对黑客组织敬畏三分,索尼何出此言?

果不其然,首次被攻击一个月之后,第四次攻击降临,黑客给索尼献上了礼物。2011年5月21日,索尼公司的网络服务部门So-Net周五向用户发出警告称,一名黑客入侵了其系统,并盗走了账户持有者价值1225美元的虚拟积分。

2011年6月1日,黑客的第五次攻击并未停止,黑客组织LulzSec通过SQL注入的方法获得索尼电影公司的账户数据库。此次泄漏的数据有多达100万名账户的资料和密码,还有75000个音乐获取码及350万个音乐优惠券。

历时2个月,FBI调查贯穿始终,但并未有任何结果。面对眼前的六次被攻击事件,索尼有些祸不单行,虽然恢复了美国和欧洲等部分线上服务,正在接受日本本土网继续评估索尼安全措施之时,黑客似乎不想轻易放过索尼,再次加剧索尼负担,并宣战以16:0领先。

黑客组织第五次得手之后表示,“索尼保存用户密码竟然采用的是“简单的纯文本方式,无任何加密,在得意的同时为他们感到羞耻。”

每次被攻击,相关发言人均对外宣称:已经增加更多防火墙、修改安全策略、对系统进行彻底测试等方式来进行全面的安全维护,当然,不应该鼓励和畏惧黑客的不法行为,但是行之有效的方法应该是尽快找对方法,彻底解决和预防下一次袭击事件的发生。黑客数次轻易得手,索尼是否应该深刻反思?

索尼表示,4月份发生的黑客攻击PlayStation Network(PSN)事件将给公司造成1.71亿美元损失。不可否认,索尼可能面临潜在巨额赔偿,但与索尼确切数字的损失相比,索尼像极了“狼来了”的小朋友,失去了用户的信任,数年来建立的品牌形象或将是索尼最严重的受挫。

黑客门事件像马拉松一样至今仍不能盖棺定论。索尼网站的多次沦陷,斯金格口中的“暂时性的小问题”,形成了一个鲜明的对比。作为索尼的领导者,索尼何时彻底终结被攻击,应该是给玩家的最满意的答复。

 

1.5 曝西门子系统新漏洞 中国企业恐受波及

去年因超级工厂病毒(StuxnetWorm)引发的制造业系统安全余波未平,近日全球独立安全检测机构NSS Labs的一项报告,再次把此话题搅热。该机构5月中旬发布报告称,西门子的一个工业控制系统存在新的漏洞,该漏洞易受黑客攻击。

对此,西门子在官网上发布声明称“问题主要是随着因特网应用产生的”,西门子自动化设备受到攻击后,产生的故障和停电产生的故障类似。

新漏洞已在美国被确认

NSS Labs总部设在美国,为独立安全研究和评测机构。据外电报道,5月中旬,两名独立安全测评员和NSS Labs发现西门子的 工业控制系统存在安全漏洞。SCADA(数据采集与监视控制系统)是广泛应用在西门子PLC上的软件。他们发现SCADA存在安全漏 洞,StuxnetWorm(业内人士称为超级工厂病毒、震网等)可以很容易侵入,黑客可以利用漏洞编写恶意软件进行攻击。

上述漏洞得到了美国国土安全部的确认,NSS Labs正积极和美国国土安全部的有关部门共同讨论如何解决这个问题。

考虑到西门子的PLC系统广泛应用于生产企业和电力企业中,甚至包括战舰上,这些测评人员自发停止了对此的一个公开讨论,以防止黑客利用此漏洞。

在西门子官网的公开声明中,公布了存在漏洞的自动化编程控制器的具体名称:SIMATICS7-1200。

在声明中,西门子称“问题主要是随着因特网应用产生的”。根据西门子进行的相关实验发现,这些网络攻击带来的某些情况将会导致设备自己关闭,产生的故障和停电导致的故障类似。

对于西门子的回复,安全测评员并不满意。他们称,西门子为了面子大大减轻了问题的严重性,因为漏洞影响的范围很广,会影响到世界上每一个工业化的国家。

漏洞发现者之一Beresford还公开表示,在和西门子的安全工程师电话沟通了45分钟之后,西门子推荐的安全措施被认定为无效了。

精准的制造业系统杀手

据悉,StuxnetWorm在去年爆发,是世界上第一个可直接破坏现实世界中工业基础设施的恶意代码。截至去年10月,全球已有超过4万个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。

瑞星安全专家介绍说,西门子在自动化工业操控体系几乎占有垄断性地位,StuxnetWorm的破坏功能必须依托西门子的操作系统完成。因此,病毒会自动搜索西门子的操作软件进行感染。

瑞星安全专家介绍,StuxnetWorm攻击非常精准,对个人电脑无危害,企业尤其是大的工业企业才是其目标。据他了解,StuxnetWorm目前只出过几个版本的病毒,每个版本只是针对特定的操作系统。

国内千家企业曾被攻击

据业内人士介绍,西门子公司生产的PLC在我国的应用相当广泛,属于市场占有率排名靠前的品牌。由西门子公司开发的类似系统在我国的多个重要行业如能源、电力、通信、交通等领域都有应用。

去年瑞星曾经监测到了StuxnetWorm对中国企业的攻击痕迹。据瑞星监测,中国内地已经有上千家中国工厂以及一些大型工业 行业的龙头企业遭受攻击,在使用的U盘和收到的邮件中,瑞星监测到了相关的攻击痕迹。

西门子是否会对此采取相应的安全提示?对中国使用者是否提示到此项风险?对此,西门子中国并未直接给予回复,称“一切均以总公司的官方声明为准”。


2. 本周关注病毒

2.1 Trojan.Win32.Fednu.dfw(木马病毒)
警惕程度 ★★★

病毒通过伪装成色情电影播放器的形式进行传播,用户一旦运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.2 Trojan.Win32.Fednu.bzx(木马病毒)
警惕程度 ★★★

该病毒是一个经过修改的病毒下载器,病毒运行后将自身改名为系统进程Explorer.exe,通过在系统中开启虚拟桌面的方式,达到隐藏自身的目的。随后,病毒会访问黑客指定的地址http://vip.liangzhuo.com/****下载一个软件列表,之后开始下载大量第三方应用软件到用户电脑中。

2.3 Worm.Win32.FakeFolder.c(蠕虫病毒)
警惕程度 ★★★★

病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

3. 安全漏洞公告

3.1 Adobe Flash Player跨站脚本攻击漏洞

Adobe Flash Player跨站脚本攻击漏洞

发布时间:

2011-06-08

漏洞号:

CVE-2011-2107

漏洞描述:

Adobe Flash Player 是一款高性能的、轻量型且极具表现力的客户端运行时播放器。
Adobe Flash Player 11.0.696.77之前版本中存在跨站脚本攻击漏洞。远程攻击者可利用此漏洞在受影响站点的浏览器中执行任意代码,窃取Cookie身份验证凭证,发动其他攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.adobe.com/support/security/bulletins/apsb11-13.html

 

3.2 Apache Subversion mod_dav_svn信息泄露漏洞

Apache Subversion mod_dav_svn信息泄露漏洞

发布时间:

2011-06-07

漏洞号:

CVE-2011-1921

漏洞描述:

Apache HTTP服务器是流行的开放源代码WEB服务器程序,可使用在Unix和Windows操作系统下。
当SVNPathAuthz short_circuit选项禁用时,分布于Apache Subversion 1.5.x和1.6.17之前的1.6.x版本中的Apache HTTP Server中的mod_dav_svn模块不能为之前已被设置为公开可读的文件正确执行权限。远程攻击者可以借助重新执行REPORT操作获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://secunia.com/advisories/44681

 

3.3 HP LoadRunner .usr文件缓冲区溢出漏洞

HP LoadRunner .usr文件缓冲区溢出漏洞

发布时间:

2011-06-07

漏洞号:

CVE-2011-2328

漏洞描述:

HP LoadRunner是行业标准的性能测试解决方案,是一种适用于各种体系架构的自动负载测试工具。
HP LoadRunner中存在缓冲区溢出漏洞。远程攻击者可以借助带有超长指令的.usr(Virtual User脚本)文件,导致拒绝服务(守护进程崩溃)或者可能执行任意代码。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www8.hp.com/cn/zh/home.html

 

3.4 Cisco Network Registrar默认验证信息绕过漏洞

Cisco Network Registrar默认验证信息绕过漏洞

发布时间:

2011-06-07

漏洞号:

CVE-2011-2024

漏洞描述:

Cisco CNS Network Registrar提供高可扩展性和可靠性的DNS,DHCP和TFTP服务。
Cisco Network Registrar 7.2之前版本包含一个使用默认密码的管理员账户,远程攻击者可以利用此漏洞以管理员权限更改Cisco Network Registrar的设置。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b80121.shtml

 

3.5 Discuz! X1-1.5 notify_credit.php注入漏洞

Discuz! X1-1.5 notify_credit.php注入漏洞

发布时间:

2011-06-02

漏洞号:

 

漏洞描述:

Discuz! X1-1.5 notify_credit.php存在注入漏洞,现已有getshell的exp代码在互联网流传,可以直接写入一句话木马。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.discuz.net/thread-2098834-1-1.html