当前位置: 安全纵横 > 安全公告

一周安全动态(2011年06月23日-2011年06月30日)

来源:安恒信息 日期:2011-06

2011年6月第四周(06.23-06.30)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 巴西政府挫败黑客组织网络攻击

新华网巴西利亚6月22日电(记者 刘彤)巴西总统府22日发表公告说,国际黑客集团日前试图攻击巴西总统府、国家门户网和联邦税务总局的网站。巴西网络安全防护系统及时发现并挫败了黑客的攻击。

公告说,黑客攻击事件发生在21日的凌晨。当时,黑客侵入这些网站的服务器,并尝试修改系统文件。网站安全防护系统及时发现安全威胁后,立即切断了网站服务器与外界的联系,挫败了黑客的攻击行动。但是,这三家网站的主页也在近一个小时内无法访问。

公告还指出,攻击巴西政府网站的应该是近来在国际上活动猖獗的“卢尔兹安全”黑客组织。攻击发生后,该组织在美国社交网站“推特”上发布了他们攻击巴西政府网站的消息。

数日前,“卢尔兹安全”组织的黑客曾侵入巴西军方网站,随后在“推特”上公布了上千名巴西军官的个人信息。总统府的公告说,这一事件促使巴西政府加强了相关网站的保护措施。

“卢尔兹安全”黑客组织成立于2011年。近两个月来,这一黑客组织先后攻击了索尼公司和美国参议院等网站。

 

1.2 黑客联盟扬言攻击全球政府 LulzSec成员英国落网

中国软件资讯网消息 6月23日,据外电报导,攻击过 Sony 公司和 FBI 网站的黑客组织 LulzSec近日再次行动,袭击了与 FBI 有合作关系的安全信息公司 InfraGard 一个分支,窃取该公司过千账户资料。其后,该黑客组织发布了一个网上声明,矢言要袭击全球政府的网站。另外,一名英国青年在联邦调查局和苏格兰场联合移动中被捕,他被怀疑是 LulzSec 的成员之一。

黑客组织 LulzSec 周日在 Twitter 上声明,他们攻击了 InfraGard 与 FBI 方面的合作业务,该公司的网站在美国时间 20 日下午仍处于瘫痪。

香港《大公报》综合外电消息, InfraGard 是一间公私合作的商业学术机构,主要向 FBI 提供保安方面的资料,以对抗针对美国的恶意移动。 LulzSec 在声明中指出,有过千名 FBI 相关的会员账户数据被窃,但他们不会公布这些用户数据,只想用这次“简单黑客移动”让 FBI 颜面扫地。 FBI 发言人称,他们知道这次袭击,并且事先关闭网站作为预防措施。但是拒绝对此次损失作出评论。

此次黑客行动之后, LulzSec 又在网上发表声明称,他们已联合黑客组织“匿名” (Anonymous) 一起对抗各国政府和管制互联网的组织。另外, LulzSec 又号召了其它黑客组织一起打击贪腐,攻击阻碍他们的任何政府和机构,包括银行和一些“上层建筑”的机构。

早前的报导指,“匿名”曾和 LulzSec 闹不和,爆发了瞩目的“黑客内战”。“匿名”曾攻击过 Sony 、 Visa 、万事达和 paypal 的网站,也曾发起一项反对美国科学教派的活动。

另外,英国大都会警察局说,一名被怀疑与 LulzSec 有关的 19 岁男子在埃塞克斯郡维克福德市被捕,并说这是一次“事先计划、由情报部门领导的移动”。当局正在根据《滥用计算机法案》和《诈骗法案》审问他。该名男子目前被拘留在伦敦警察局。

 

1.3 黑客相互结盟锁定世界各国政府网站

6月22日消息,据国外媒体报道,黑客集团Lulz Security与Anonymous已经相互结盟,攻击目标锁定世界各国的政府网站,而此项攻击行动代号称为“反网安行动” (Operation Anti-Security)。

Lulz Security是在部落格公布此项结盟消息,称将发动“立即且不间断的战争”,并在Twitter页面上表示:“#AntiSec攻击行动周一开始启动”。

Lulz Security表示:“优先窃取目标为政府的机密资料,如:电子邮件和文件,而首要攻击目标是银行与其他高级机构”

周一下午,英国重大组织犯罪局(Serious Organized Crime Agency,SOCA)网站便遭到攻击。

SOCA网站是遭到黑客以“分散式阻断攻击(DDOS)”的手法攻击,该攻击手法并不复杂,是一种通过瘫痪流量而封锁网页的有效方法。

Lulz Security并表示:“DDoS并非我们最强而有力的攻击,工具攻击政府网站的行动正蓄势待发”

“分散式阻断攻击(DDOS)”亦为另一黑客集团Anonymous的惯用攻击手法。Anonymous为一组织松散的“黑客激进团体”,常使用电脑连结网络去瘫痪它所反对的企业与其他组织的网站。

Lulz Security以前则是个默默无闻的黑客集团,上月才因成功瘫痪政府网站而一战成名。

 

1.4 那些无处不在的黑客们

最近美国接连曝出大公司和政府机构网站被“黑”的消息,让人感觉我们似乎已经被卷入了一场网络战争。最近几周,花旗集团(Citigroup)、索尼(Sony)和国际货币基金组织(IMF)的网站相继被黑。而就在上周三,美国中情局(CIA)网站也遭到了黑客的攻击。

正如IT服务提供商BT公司的首席安全技术官、网络安全专家布鲁斯·施奈德指出的那样,黑客的确无处不在。虽然近期网络攻击事件频发,但对于黑客界来说,这些攻击只不过是家常便饭。施奈德表示:“这就是黑客行为,几十年来一贯如此。”

施奈德说,老百姓们可能以为,黑客就是像莉丝贝·莎兰德(瑞典作家斯蒂格·拉赫松的惊悚小说《千禧年》三部曲中的女主角——译注)那样的电脑天才,整天到全球各大主要网络里黑来黑去,如入无人之境。但事实上,黑客生活远远没有那么刺激。不过黑客圈子生态环境很微妙,也很难梳理。黑客的队伍十分庞大,既有在自家地下室里搞搞小破坏的电脑怪才,也包括有组织的国家政府部门。黑客究竟在做些什么?他们的行事方式如何?这两个问题往往是人们心中的疑团。不过全球每天都有许多行为被归入“黑客侵入”这柄大伞之下。

独行侠

人们当黑客的根本原因是为了消遣。施奈德指出:“大部分黑客只是普通人。”这意味着他们本身并不属于某个黑客网络,一般只是通过聊天室和在线论坛进行联系。“他们只是一些四处捣乱的普通人。”

这类黑客中的某些人最终投向了企业的怀抱。例如Linux操作系统的核心组件程序是莱纳斯·托瓦兹写出来的,他一度曾是黑客界高山仰止的人物,甚至还与人合写了一本书,名字就叫《黑客的道德准则》(The Hacker Ethic),该书已于2001年出版。另一位知名度颇高的黑客是苹果(Apple)的共同创始人史蒂夫·沃兹尼亚克,他公开坦承自己早年在加州大学伯克利分校(UC Berkeley)学习期间,曾经制作并销售过能够侵入电话网络免费打电话的设备。

“黑客主义”

还有一类黑客专门以获得曝光率为目的。这类黑客出现得相对较晚。哈佛大学伯克曼互联网与社会中心(Berkman Center for Internet and Society)研究员伊桑·扎克曼表示,这类黑客一般都是具有某种政治动机的团体,而他们所进行的黑客攻击,“实际目的是要获得媒体曝光率”。

其中最出名的黑客团体之一叫作“匿名”(Anonymous)。这是一个松散的黑客网络,经常组织起来对某些网站进行攻击,有时是为了好玩,有时则是为了某些政治目的。通常这个团体会对目标发动一次“阻断服务”(DdoS)攻击,目的是要使某个特定网站瘫痪。“匿名”已经进行了好几次这样的攻击,其中最著名的一次当属2008年对山达基教会(Church of Scientology)网站的攻击。黑客们网上网下两线作战,既发动了阻断服务攻击,又组织其成员戴着面具进行抗议示威。最近,“匿名”还在Youtube上发了一个警告视频,称要对美联储(the Federal Reserve)进行攻击,要求美联储主席本·伯南克下台。不过到目前为止,还没有任何一个美联储的网站被“黑”掉。

另一个叫LulzSec的黑客团体最近也曝出新闻。本周三该组织攻击了美国中央情报局的公共网站cia.gov,导致该网站暂时关闭。LulzSec还宣称对美国公共广播公司(PBS)、福克斯电视台(Fox)和索尼的被“黑”负责。标枪战略研究公司(Javelin Strategy & Research)的高级安全性分析师菲尔·布兰克表示,LulzSec之所以要攻击索尼,仅仅是为了证明索尼的网络安全性低得可怜,而且他们成功了。布兰克说:“这是一次非常基本、非常初级的攻击,任何一家现代企业都不应该抵挡不住这样一次攻击——实在太丢人了。”

扎克曼表示,尽管索尼被轻松拿下,但一般说来,黑客组织的实力还是比较有限的。他注意到,在黑客界内部,阻断服务攻击以及类似的攻击方式只能算是雕虫小技,甚至还不够格被称作真正的“黑”。真正的“黑”是要对一个网络造成真正的危害,而不是暂时关掉一个网站。到目前为止,LulzSec并没有试图对重要的大型基础架构造成危害,“匿名”虽然尝试过,但刹羽而归——如“匿名”曾在2010年12月对亚马逊(Amazon)发起攻击,但未能得手。扎克曼说:“从本质上讲,黑客们关掉的只不过是网站的营销文案。”

黑客间谍

由政府支持的黑客行为就是另一回事了。他们资金更雄厚,而且几乎无法追踪他们的行踪。施奈德表示:“各国相互秘密侦察的做法已经有几千年的历史了。”

复杂、密集的黑客攻击行动背后可能都有政府资助的影子,但要证实这种联系却很困难。本月早些时候,国际货币基金组织(IMF)向其工作人员通报IMF遭受了一次网络攻击,不过并没有公布细节。标枪战略研究公司的高级安全性研究员菲尔·布兰克表示,有人推测这次攻击获得了某个外国政府的资助,但却几乎没有任何公开的证据能证实这种猜测。布兰克说:“如此长距离的远程攻击需要一个庞大的基础架构以及一支庞大的IT工作和研究力量。一般说来,这种攻击超出了大多数个人的能力,而且可能并不是企业的刺探行为。”

最近Gmail的被黑也是如此:谷歌(Google)本月早些时候宣布有人侵入了数百个Gmail用户的个人账户。布兰克表示,需要非常复杂和定向的侵入才能造成这种效果。谷歌追踪到入侵者的IP地址来自中国济南地区,这也是表明本次侵入可能是受政府支持的唯一证据。不过这次侵入之所以看似可疑,还因为被“黑”的用户包括美国政府官员。

这宗谜案也可能和许多其他网络悬案一样,成为人们心中永远的问号。尽管这起网络侵入的规模和其复杂程度能够为我们提供一些线索,但就像施奈德所说的那样:“人们永远无法确切地知道谁是背后主使。总之,你永远不知道这是谁干的,他们为什么要这样做。”

 

1.5 美国国家安全局将联手互联网运营商打击黑客


美国国家安全局(NSA)决定联手互联网运营商,利用他们强大的数据过滤功能打击黑客行为,但此举也引发了人们多方面的忧虑。网络运营商强大的信息过滤能力,加上NSA的专业技术支持,美当局称能在不侵犯个人隐私权的前提下大大提高网络防卫能力。美国国家安全局早有这项计划,只是因各种因素被推迟至今。

保护网络安全、打击黑客固然重要,但是白宫一旦开了公私合作监控先河,以后也许就能通过类似方式得到大量民间通讯信息,恐有触犯隐私法律的嫌疑。在注重隐私权保护的美国,此举必将引发来自民间的反对之声。

2. 本周关注病毒

2.1 Trojan.Win32.FakeAV.bra(木马病毒)
警惕程度★★★

该病毒会伪造一个国外杀毒软件界面,无论电脑是否染毒都发现病毒,需要注册后才能杀毒,以达到欺骗用户注册付费购买。


2.2 Dropper.Win32.Undef.cdg(木马病毒)
警惕程度★★★

该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。


2.3 Trojan.Win32.Fednu.dad(后门木马结合体)
警惕程度★★★★

该病毒是一个木马、后门的结合体,病毒会将自己伪装成常用软件,以便隐蔽自身。病毒运行后会对系统大肆破坏,导致电脑速度异常缓慢,甚至出现蓝屏死机现象。最终病毒开启后门功能,使用户电脑完全暴露在黑客面前。黑客可完全控制用户电脑,进行如:更改注册表、偷取用户信息、强制关闭电脑、盗走网银账户密码、在桌面创建钓鱼网站快捷方式以及下载黑客指定的木马病毒等总计55种方式。

 

3. 安全漏洞公告

3.1 IBM WebSphere Application Server管理控制台跨站请求伪造漏洞

IBM WebSphere Application Server管理控制台跨站请求伪造漏洞

发布时间:

2011-06-17

漏洞号:

CVE-2010-3271

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere 软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
IBM WebSphere Application Server 7.0.0.11和7.0.0.13版本中存在跨站请求伪造漏洞。远程攻击者可以利用此漏洞在已授权用户会话的上下文中执行某些操作,并非法访问受影响应用程序。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www-01.ibm.com/software/websphere/

 

3.2 Red Hat Network Satellite Server跨站请求伪造漏洞

Red Hat Network Satellite Server跨站请求伪造漏洞

发布时间:

2011-06-20

漏洞号:

CVE-2009-4139

漏洞描述:

Red Hat Network Satellite Server中存在跨站请求伪造漏洞。该应用程序允许用户借助HTTP请求(没有进行适当的有效性检查去验证该请求)执行某些操作。当已登录用户浏览特制的web页面时,远程攻击者可利用此漏洞创建新的用户账户,或者获得用户账户的管理员权限。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://rhn.redhat.com/errata/RHSA-2011-0879.html

 

3.3 Group-Office多个SQL注入漏洞

HP OpenView Storage Data Protector代码注入漏洞

发布时间:

2011-06-21

漏洞号:

 

漏洞描述:

Group-Office 是一个基于Web的办公套件,其功能包括用户管理、模块管理、邮件客户端、文件管理器、日程、项目管理以及客户关系管理等等,可方便与PDF和Outlook进行数据同步。
Group-Office 3.7.23之前版本中存在多个SQL注入漏洞。由于用户提供的输入在被用于SQL查询之前没有经过正确过滤,远程攻击者可利用该漏洞访问或者修改数据。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://freshmeat.net/projects/group-office/releases/333175

 

3.4 IBM Web Application Firewall安全限制绕过漏洞

IBM Web Application Firewall安全限制绕过漏洞

发布时间:

2011-06-21

漏洞号:

BUGTRAQ ID: 48370

漏洞描述:

IBM Web Application Firewall是IBM IPS产品中使用的用于完善IBM安全产品的端到端Web应用安全解决方案。
IBM Web Application Firewall在实现上存在安全限制绕过漏洞,远程攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

安全建议:

厂商补丁:
IBM
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ers.ibm.com/

 

3.5 Linux Kernel重置空指针引用远程拒绝服务漏洞

Linux Kernel重置空指针引用远程拒绝服务漏洞

发布时间:

2011-06-20

漏洞号:

CVE ID: CVE-2011-1093

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel在空指针引用的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成受影响内核崩溃。
dccp_rcv_state_process()在关闭了套接字后仍然允许接受。关闭后重置没有阻止对已经废弃套接字的操作,可造成空指针引用。

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/