当前位置: 安全纵横 > 安全公告

一周安全动态(2011年07月07日-2011年07月14日)

来源:安恒信息 日期:2011-07

2011年7月第二周(07.07-07.14)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 华盛顿邮报网站遭黑客攻击 百万用户信息泄露

据国外媒体报道,《华盛顿邮报》周三表示,该报纸网站就业栏目页面上周遭到黑客攻击,导致大约127万用户的ID和电子邮件地址泄露。《华盛顿邮报》在网站上发布声明称:“我们发现未经授权的第三方攻击了我们网站的就业栏目页面,获取了部分用户的ID和电子邮件地址。

用户密码等其它个人信息未受影响。我们将非常严肃地对待这一事件。我们迅速找到了漏洞并予以关闭,并正在寻求执法部门的帮助。我们为这一事件给用户带来的不便表达诚挚的歉意。”

该声明称,此次攻击发生于6月27日和28日,但该网站的账户仍然安全。《华盛顿邮报》称,受影响用户可能会收到垃圾邮件,并警告他们对不明邮件提高警惕,这有可能是为盗取用户密码和

 

1.2 美国总统奥巴马竞选网站遭遇黑客攻击

美国总统奥巴马的竞选网站Barackobama.com

北京时间7月6日凌晨消息,据《华盛顿审察者报》报道,美国总统奥巴马的竞选网站Barackobama.com周二遭遇黑客攻击,首页内容遭到篡改。

据报道,黑客在该网站上留下了一篇题为《政治规则》的短文,全文如下:“1、政客及公务员撒谎。2、政客迎合你的胃口,‘免费’提供你想要的东西,以换取选票。3、民众需要为政府买单。”

截至目前,Barackobama.com已经恢复正常。

本周一,福克斯新闻的Twitter账号遭到劫持,黑客发布了“奥巴马遇刺”的虚假消息,一时激起轩然大波。

1.3 用户数据泄漏 黑客目标不仅是信用卡

虽然最新数据泄漏报告显示被泄露的数据数量在过去一年中有所下降,但是安全专家警告说,数据库社区不应该由此认为他们在保护结构化数据存储方面做的不错。实际上,从更深入的数据挖掘来看,数据库安全比以往任何时候都更加重要。

“不要认为泄漏数据下降,我们就不再需要担心数据库安全,”安全公司研究和风险情报主管Alex Hutton表示,“数据库服务器仍然是非常重要的,如果你仔细阅读我们的报告数据,你会发现外部代理仍然‘喜爱’我们的数据库服务器。”

该报告发现,在几种类型的销售点载体后面,数据库仍然是安全报告调查的所有数据泄漏事故中数据泄漏的主要来源。

根据Hutton以及其他安全专家表示,最新调查数据显示攻击者并不只是从大型企业中搜寻信用卡数据。相反的,他们也开始瞄准较小型企业,找寻那些包含更重要(更有利可图的)信息的数据库,而不仅是个人身份信息,这是在过去几年大部分数据库安全专家很关注的部分。

“调查数据清楚地显示,现在的目标已经从大型企业转移到中小型企业,”NitroSecurity公司首席技术官Mel Shakir表示,“这是可以理解的,因为中小型企业更容易被攻击。即使是那些已经部署了数据库工具的企业,他们很容易出现错误配置这样简单的失误,这份报告对他们而言,应该引起警惕。”

Hutton表示赞同,“这些数据表明了这样一个事实,瞄准中小型企业的攻击正在不断上升。”

即使这些企业无法负担昂贵的数据库监控工具,他们也可以从基础开始,因为黑客在占据数据库之前通常需要几个简单的步骤。

“我们在攻击者发动攻击的每个步骤都有机会阻止攻击,来保护数据库,”Hutton解释说,“你不会认为一个Web服务器可以作为控制来保护数据库,但是它确实有这个作用。”

比更多攻击者关注中小企业的趋势更加重要的是,攻击者对不同类型数据的渴求已经有所改变。Hutton表示,阅读这份报告的所有人都应该记住,数据数量并不完全等于丢失数据造成的影响,安全报告也很难分类。

“在我们的数据泄漏报告中,我们真的很想报告风险程度,但是我们只能通过我们认为客户丢失的数据数量来体现风险程度,”他解释说,“很明显看出,泄漏数据造成的影响与数量是完全不同概念。”

不管是大型企业还是小型企业,企业必须对其数据库内存储的数据的所有类型有很好的理解,以预防对企业声誉造成严重影响的数据泄漏事故的发生,例如近日RSA公司遭受的数据泄漏事故,MAD Security公司管理合伙人Mike Murray表示,数据库安全社区不能只是保护PCI合规的数据。

“如果我作为数据库安全人员看到这份报告,我应该会说,‘这不只是我们的信用卡数据,所有数据都可能是有价值的’,”他表示。

在这么多年里发生了这么多大型数据泄漏事故后,攻击者对行用卡数据和其他个人信息数据的“渴求”已经没有那么强烈,在过去每条记录可以获利一美元,而现在只有一美分。

安全公司调查发现64%的数据泄漏事故包含身份验证信息、敏感企业数据、知识产权或者保密信息的盗窃。

1.4 黑客声称能“高考改分” 天津市民一万元打水漂

近日,家住塘沽区康居园小区的陆先生为了让儿子上个好大学而冒险花钱改高分,结果分没改成,还搭进去了1万元的血汗钱。天津市教委相关负责人表示,高考网上阅卷使用的全部是内部专网,不与互联网连接,因此黑客根本接触不到分数系统。

市民爆料:

花钱改分,1万元打水漂

据陆先生介绍,6月8日下午高考刚刚结束,正在陪儿子高考的他还没回到家,手机上就收到了这样一条短信:“您想给您的孩子更改高考分数吗?我们可以按每分300元给您改到一个理想的分数。”

高考成绩也可以改?陆先生当时就有点怀疑,所以也没当回事。后来,因为被儿子告知英语作文没来得及写怕考不上大学,陆先生就试着跟发短信的人联系。对方天花乱坠的叙述和保证成绩绝对过本科线的承诺让陆先生信以为真,便冒险将1万元定金打入了对方的账户。哪知道高考成绩公布后,陆先生发现儿子的成绩距离本科线整整差了12分。随后,陆先生打算打电话将1万元的定金收回,可是之前的号码却再也打不通了。

对话骗子:

可以入侵高考阅卷系统

根据陆先生提供的线索,记者随即展开了调查。根据一些考生家长提供的“黑客”手机号码,记者试着拨通了这些电话,接电话的是一个操着南方口音的男子,记者谎称孩子马上就读高三了,学习成绩一直不太好,想在明年高考的时候修改一下成绩。该男子一听,立马说“交给我们没问题”,并声称他们的队伍成员都是顶尖的黑客,可以侵入高考阅卷系统,轻松改动成绩。

“现在成绩已经公布了我也可以把网上的成绩给改了。”该男子说到。随后,记者借着讨教黑客技术为名跟该男子攀谈了起来,结果在攀谈中却发现,对于简单的电脑技术用语,该男子都不知晓,甚至还追问记者“灰鸽子(黑客的基本技术)是什么东西”。

相关部门:

内部专网黑客没法接触

随后,记者联系了天津市教委相关负责人,他表示,高考网上阅卷使用的全部是内部专网,不与互联网相连接,因此黑客根本接触不到分数系统,更不可能“入侵”。同时,高考是统一考试、统一阅卷,并非高校自行阅卷,到某个高校进行分数修改违背我国高考流程的基本常识,因此黑客修改成绩的广告完全是一场骗局。

1.5 国际网络安全保护联盟在英成立

随着网络技术的日益发展,网络犯罪已成为一个全球性问题,网络犯罪给各国造成的损失逐年增加。为有效打击网络犯罪,在英国政府支持下,一个全球性非营利组织——国际网络安全保护联盟(ICSPA)7月5日在伦敦举行新闻发布会,宣告正式成立。

据ICSPA执行总裁约翰·莱昂斯介绍,ICSPA是一个全球性非营利组织,目前其成员包括迈克菲(McAfee)、趋势科技(TrendMicro)等数家全球知名企业。该组织将致力于整合国际间商业团体、法律执行机构以及各国政府的努力,通过国际网络犯罪援助项目、国家及地区网络犯罪援助项目以及网络犯罪相关法律培训和信息共享机制,提升打击网络犯罪的国际执法能力,保护广大企业及其顾客免受网络犯罪活动侵害。

ICSPA的成立得到了英国政府的大力支持。英国首相卡梅伦对ICSPA的成立表示欢迎。他发表讲话指出,英国政府已经投入6.5亿英镑来改善并保护国家基础设施免受网络犯罪侵害,但这并不足以完全消除网络犯罪对英国利益的威胁。网络犯罪问题已不是一国努力即可解决的,需要全球协作来应对。相信ICSPA会在各国企业、政府部门及执法机构间构建一种新型关系,有力打击网络犯罪行为。

英国内政部主管犯罪与安全事务的部长詹姆士·布罗肯希尔在7月5日的新闻发布会上表示,互联网在带来各种商业机会的同时,也为犯罪分子提供了牟利机会,网络犯罪已成为一个全球性问题,需要国与国间、公私部门间的广泛协作来应对。他在发布会上宣布,ICSPA将与欧洲刑警组织合作,建立战略伙伴关系,这必将提升各国对网络犯罪行为的反应能力,对网络犯罪分子予以更有力的打击。


2. 本周关注病毒

2.1 Dropper.Win32.Undef.cdx(木马病毒)
警惕程度★★★

该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。

2.2 Backdoor.Win32.Undef.teg(后门病毒)
警惕程度★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

2.3 Trojan.Win32.VBCode.fgf(火狐伪装者木马)
警惕程度★★★★

病毒运行后,会释放多个批处理、VBS脚本和exe文件到系统中,并在其中写入大量的垃圾数据,浪费电脑硬盘空间。之后病毒会同时运行上述垃圾文件,造成系统异常缓慢,进入“假死”状态。之后,病毒会留下两个进程互相守护,开启后门功能,使用户的电脑沦为“肉鸡”。最终实现远程监控用户的电脑摄像头、下载盗号木马、窃取机密资料、利用用户的电脑向某网站服务器发动洪水攻击等严重问题。

 

3. 安全漏洞公告

3.1 phpMyAdmin 3.x 多个安全漏洞

phpMyAdmin 3.x 多个安全漏洞

发布时间:

2011-07-05

漏洞号:

CVE ID: CVE-2011-2505,CVE-2011-2506,CVE-2011-2507

漏洞描述:

phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。

phpMyAdmin在实现上存在多个漏洞,可被恶意用户利用泄露敏感信息并控制受影响系统。

1)libraries/auth/swekey/swekey.auth.lib.php中的"Swekey_login()"函数中存在错误,可被利用覆盖会话变量并注入和执行任意PHP代码;

2)传递到libraries/server_synchronize.lib.php中的"PMA_createTargetTables()"函数的输入在调用带有e修饰符的"preg_replace()"函数之前没有正确过滤,可被利用通过URL编码的NULL字节执行任意PHP代码;

3)传递到libraries/display_tbl.lib.php中的"PMA_displayTableBody()"函数的输入在用于包括文件之前没有正确过滤,可被利用通过目录遍历序列包含本地资源中的任意文件。

安全建议:

厂商补丁:

phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.phpmyadmin.net/

 

3.2 Discuz!NT 3.6用户空间跨站漏洞

Discuz!NT 3.6用户空间跨站漏洞

发布时间:

2011-07-05

漏洞号:

Dbapp-20110705

漏洞描述:

Discuz!NT3.6版本的用户空间日志编辑未对用户提交的数据做安全性过滤,导致可以插入恶意代码。攻击者利用该漏洞,可能获取正常用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等

安全建议:

厂商补丁:

Discuz!
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://nt.discuz.net/

 

3.3 Cisco Content Services Gateway畸形ICMP消息拒绝服务漏洞

Cisco Content Services Gateway畸形ICMP消息拒绝服务漏洞

发布时间:

2011-07-05

漏洞号:

CVE ID: CVE-2011-2064

漏洞描述:

Cisco Content Services Gateway Service是与CiscoWorks桌面导航用户界面接口的一组工具,用于执行Cisco CSG配置管理。

Cisco Content Services Gateway Service在处理畸形ICMP消息的实现上存在拒绝服务漏洞,远程攻击者可利用此漏洞重载或挂起受影响设备,拒绝服务合法用户。此漏洞仅影响第二代Content Services Gateway,一代不受影响。

安全建议:

厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20110706-csg)以及相应补丁:
cisco-sa-20110706-csg:Cisco Content Services Gateway Denial of Service Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20110706-csg.shtml

 

3.4 Linux Kernel SSID处理缓冲区溢出漏洞

Linux Kernel SSID处理缓冲区溢出漏洞

发布时间:

2011-07-01

漏洞号:

CVE ID: CVE-2011-2517

漏洞描述:

Linux Kernel是Linux操作系统的内核。

Linux Kernel在SSID的处理上存在缓冲区溢出漏洞,本地攻击者可利用此漏洞以超级用户权限执行任意代码,完全控制受影响计算机,也可能使内核崩溃,拒绝服务合法用户。

在trigger_scan和sched_scan operations中,正确分配值之前会检查SSID长度。因为内存刚刚分配过,检查总是失败,超过32个字符的SSID允许通过,这就造成在复制真实的SSID到恰当位置时造成缓冲区溢出。

安全建议:

厂商补丁:

Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.5 OpenSSH "pam_thread()"远程缓冲区溢出漏洞

OpenSSH "pam_thread()"远程缓冲区溢出漏洞

发布时间:

2011-07-01

漏洞号:

BUGTRAQ ID: 48507

漏洞描述:

OpenSSH(Open Secure Shell)是使用SSH通过计算机网络加密通信的实现。

OpenSSH在pam_thread()的实现上存在远程缓冲区溢出漏洞,远程攻击者可利用此漏洞执行任意代码。

安全建议:

厂商补丁:

OpenSSH
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.openssh.com/