当前位置: 安全纵横 > 安全公告

一周安全动态(2011年07月14日-2011年07月21日)

来源:安恒信息 日期:2011-07

2011年7月第三周(07.14-07.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 黑客“匿名”公布9万多个美军方电子邮件及密码


黑客入侵

据国外媒体报道,黑客集团Anonymous以AntiSec行动为名,周一推出了约9万笔的美国军方电子邮件帐号及密码,并透过Pirate Bay及其他网站供网友下载。

AntiSec行动是由LulzSec与Anonymous两大黑客集团共同发起的攻击行动,该行动以全球政府网站为目标,在LulzSec疑似避风头而宣布停止网络攻击行动后,Anonymous仍然持续进行AntiSec行动。

Anonymous入侵了专门协助政府制定科技政策的Booz Allen Hamilton顾问公司。Anonymous表示,他们轻而易举就渗透进Booz Allen Hamilton网络中的服务器,由于该公司网络缺乏商常的安全机制,使得他们能够操作自己的应用程序,并取得约9万个军方电子邮件与密码,同时也删除该网站约4GB的程序代码。

此外,Anonymous也进入了Booz Allen Hamilton的其他服务器。Booz Allen Hamilton迄今尚未针对此事发表回应,不过安全专家认为,此次的攻击让Booz Allen Hamilton颜面尽失,亦可能流失该公司的潜在客户。


知名顾问公司博思艾伦Booz Allen Hamilton

博思艾伦在技术和战略咨询两方面都拥有深厚的专长,为众多的公共政府部门提供全面的咨询服务。然而,据黑客集团表示,该公司竟然缺乏安全机制,让他们轻而易举的侵入,顺利拿走美国军方的保密邮件信息。

 

1.2 黑客警告即将发起重大攻击 谁会是下一个目标

7月13日 国际报道:当地时间本周一,黑客组织AntiSec的一个Twitter帐号AnonymouSabu发布一条Twitter信息,内容如下:

请注意:明天Anonymous将发起过去4年内的两次最大攻击。请大家密切关注,这次攻击将是一次史无前例的爆炸性新闻。

AntiSec黑客在线攻击组织公布了约9万个军事电子邮件地址、窃取博思艾伦咨询公司的其它数据后,AntiSec在Twitter上的关注者一直在期待下一次数据转储。

Twitter帐号为AnonymouSabu的黑客被视为AntiSec黑客攻击组织的骨干力量。

博思艾伦咨询公司数据外泄后,AnonymouSabu发布Twitter信息:“情报界请注意:攻击博思艾伦咨询公司只是一个开端。#antisec #anonymous今天全天都非常忙碌。稍后回来。”

英国卫报推测伦敦警察厅极可能成为下一个攻击目标,因为上周《世界新闻报》(News of the World's)代表进入包括名人、政客和谋杀案受害者等在内的新闻主题电话账户,窃听语音信息等。负责出版《世界新闻报》的新闻国际集团服务器在该信息披露后,上周曾遭到调查。

与此同时,泄密网站WikiLeaks创始人朱利安·阿桑奇(Julian Assange)因在瑞典被指控性侵犯后,有关引渡阿桑奇的法庭听证会将于本周二在英国召开。Anonymous组织曾因PayPal、Visa和MasterCard网站封杀向WikiLeaks捐款账户而对之发动攻击,导致上述支付站点瘫痪。

AnonymouSabu曾在Twitter上向半岛电视台的一名记者透露,黑客已入侵中东三大皇室网站。帖子称:“你开始暴露卡塔尔王室、巴林王室和阿联酋王室时,我会告诉你相关信息。我们已经控制了他们的信息。”

在回应外界针对黑客窃取博思艾伦咨询公司数据的批评时,AnonymouSabu发布Twitter信息称:“我认为人们被蒙蔽了眼睛,我们今天的行为是一种非常爱国的行为,我们甚至还不是美国人。”

 

1.3 意大利18所大学遭黑客复仇性攻击

意大利18所大学的网络服务器遭黑客攻击,导致大量信息丢失。有意大利媒体推测,意大利警方日前摧毁黑客组织“匿名者”意大利分部招致了此番“黑客复仇”。

据《晚邮报》报道,意大利米兰、罗马以及都灵等地的18所大学网络服务器遭黑客攻击,导致其储存的大量电邮、密码等敏感个人信息遭窃。黑客通过文件共享的方式将这些数据在网络上公布于众。遭攻击的大学纷纷就此作出解释。米兰比克卡大学称,该校网络服务器的认证体系未被突破,但因校内的心理系网站向全社会公开,因此其部分用户电邮等个人信息遭窃。罗马大学校长路易吉·弗拉迪则表示,“黑客的攻击已被抵制,没有损失重要数据。”

参与本次网络攻击行动的Lulz Storm在推特网站(Twitter)上写道:“对我们而言这是伟大的一天,而对意大利大学而言却是一个令人沮丧的日子。网站满是漏洞,他们却还一直以为一切都是安全的。”“意大利人,怎么可以将资料交给这些蠢货呢?孩子们,快更换密码吧。意大利大学,也提高你们的安全意识吧。我们本可以公布更多的信息,我们本可以摧毁你们的资料库以及你们的网络。你们已准备好了吗?”

意大利信息业律师安东尼奥·波利梅尼认为,此次事件是极为严重,“校方所采取的欠妥安全措施导致个人利益受到侵犯,受害学生有权进行索赔”。

意大利知名门户网站Punto Informatico的报道指出,此番“黑客来袭”是在6日意大利当局逮捕了黑客组织“匿名者”(Anonymous)意大利分部成员之后一天发生的。《晚邮报》的报道则称,因为担心抓捕行动可能触怒黑客组织,引来新一轮的网络攻击,所以内意大利政部将处于最高警戒状态。此轮网络攻击是否为黑客组织的报复行动,意大利有关方面已着手进行调查。

 

1.4 黑客凶猛 是什么让我们的业务不安全

业务安全对于企业的重要性不言而喻。尤其是在当下,各大企业和政府部门以及金融机构都受到了来自黑客的猖獗攻击,而倒在这片战场上的黑客很少,倒下的企业和部门确是数不胜数。而这些在安全问题上栽跟头的企业和部门大多都是财大气粗、实力雄厚的巨人。

按理说业务安全对于这些倒在黑客攻击下的企业来说并不陌生,而他们也大多有一套完备的安全管理流程和价值成百上千万美元的安全设备。那么又是什么让这些本该形成铜墙铁壁的安全措施在黑客面前却成为千疮百孔的筛子呢?

归根结底,业务安全策略和管理成为了业务安全最容易受到攻击的部分。

随着IT技术的发展,通过网络开展业务和服务已经越来越平常,电子商务也成为了许多公司的重要营收手段。但电子商务也有本身的弊病,随着参与服务的设备和人员的增多,出问题的几率必然提高。对于技术,很多公司无能为力,毕竟这些都是专业安全厂商的职责,但我们仍然能够从其他几个方面来讲强业务安全。

首先,建立一个强壮的组织结构能够有效的降低由于管理疏忽和协调不畅造成的安全漏洞。一个优秀的企业组织结构必定是一个具备强大执行力和高效率的团队。这样一个团队能够从上到下很好的贯彻业务安全规章制度,将人为因素导致的安全风险降至最低。而这样的的组织结构再辅以一个合理的安全流程则可以大大提升业务安全性。

其次,业务安全从来都不只是IT部门的问题。业务的开展是一个企业的核心所在,公司上上下下的员工都是这个核心的一分子,所以业务安全也与业务一样,全员有责。在很多时候,企业机密和密码的泄露并不是黑客们真的攻破了防火墙或安全密码,很可能只是因为员工浏览了一个恶意网站或打开了一封带有木马的私人邮件,而导致关键的信息被监听和窃取。所以对企业员工进行业务安全培训非常重要,当员工们将业务安全看作与防火防盗同样重要时,企业的安全盾牌才是坚不可摧的。

再次,正视风险。IT技术也业务对于企业的好处非常多,不仅能够提升效率、降低成本,更可以给企业更大的发展空间。但IT设备和所有的机械一样,都不完美,没有人能够考虑到所有的方面。而由于IT设备所采用的算法和程序都是相对固定的,所以一旦某一算法或程序的漏洞被黑客们发现并流传,整套系统的安全性就变得岌岌可危。而这样的漏洞或缺陷往往非常隐秘,甚至完全无法察觉。因此,企业IT管理人员不能只看到信息化所带来的高效率和低成本,更应该看到IT设备的引入所带来的新风险。而这种风险对于那些刚刚进行IT新喜欢转型的企业来说尤其巨大。

由于IT技术的飞速发展,很多旧有的技术还没来得及完善就被新的技术所取代,而在很多时候一项技术越新就越有可能出问题。所以我们不得不承认,业务安全性永远不可能做到100%,新的威胁总会不断出现,而最危险的情况则在于我们都认为我们拥有完美的业务安全性。所以面对企业业务安全,最好的方法就是推翻以前的老思想,认真思考,因为业务风险和IT技术本身相同,没有不可能。而只有建立一个强大的管理机构并培养优秀的员工和管理层才能尽可能的降低企业业务风险,因为强大的组织和个人跟IT技术一样,没有不可能。

1.5 有组织黑客攻击发展史:到底想要做什么?

看看最近发生的这些大公司被黑客成功攻击新闻,让人不得不想问这个问题。这一连串的受害者都是赫赫有名的大企业,例如Google、RSA、VISA、万事达、花旗银行、EPSILON、美国参议院、英国国家医疗保健服务、Fox,当然还有SONY。然后就在几天前,美国中央情报局的网站也变成分布式拒绝服务攻击的目标。最近大量发生的这些攻击也让很多问题浮上台面:这种集团式的攻击手法是新出现的吗?这是否已成为网络间谍活动,甚至是网络战争了?这对我或是未来的互联网有什么样的影响?

八十年代初期黑客开始组织化

黑客组织的想法肯定不是新出现的,其实早在八十年代初期他们就开始蓬勃发展。在早期的家庭计算机时代,社区成员互相分享信息,学习和比赛计算机技能。早期这些团体会取一些类似军团末日、死牛邪教,或欺骗大师之类的名称,他们的特别之处并不仅仅是造就了初期的网络黑客场景和催生黑客主义,更严重的做法则是盗打电话,滥用公共电话网络。

九十年代的另类黑客团体,组织运作类似研究机构

九十年代则出现了另一种黑客团体,例如L0pht,他们的组织运作比较像是研究机构,提供用作渗透和安全测试的工具软件,以及发布信息安全新闻。这类团体还曾有个知名的举动,他们曾于1998年在美国国会作证,宣称他们可以在30分钟内瘫痪整个互联网。

21世纪初展开全球性企业攻击

随后在21世纪的前十年,我们看到了Anonymous的崛起,以及最近的LulzSec。Anonymous这个团体的形成,一开始是出现在留言板上,例如臭名昭著的4chan,其主要目的是攻击山达基教会,然后在媒体大幅报导之后规模越来越大。他们并不是一个封闭的组织,相反,当Anonymous开始表示对维基解密的支持后,他们积极寻求普通人的参与。数以万计同样感到不满的志愿者下载工具,并参与到针对全球企业的攻击活动中。最新版本的这类工具让用户将他们手上可以当做攻击武器的计算机的控制权交给中央,以便更好地指挥和控制攻击活动。而另一个团体LulzSec则保持了传统的封闭特性,根据他们网站上的介绍,他们并没有特别的动机,只是想表现出无政府状态。

“我们是LulzSec,一群有着开心笑脸的小团队,我们觉得网络社群的无聊会影响到真正重要的事情:乐趣。考虑到现在的乐趣只局限在周五,我们期待着周末,在周末,我们决定采取自己的方式来散播乐趣,乐趣,乐趣,全年无休”。

当然,世界各地逐渐冒出了类似的团体,偏远如巴基斯坦和印度,那里各个团体彼此间的竞争非常激烈。在罗马尼亚的团体,例如HackersBlog已经攻击了许多公司。在中国和俄罗斯,许多黑客都被认为是政府的打手。

窃取资料卖售赚钱

但并非所有黑客都是为了乐趣或是荣誉,有组织的犯罪集团已经出现多年了,在过去12个月内,针对大批量和网络数据的攻击频率明显增加了,如针对SONY、EPSILON,或是花旗银行的攻击,他们窃取数据的目的主要是为了赚钱。只要一次成功的攻击,就可以拿到大量可供出售的个人资料。

在技术和密码学领域的大量进步,其实都是根源于百年来的的间谍活动艺术,我们应该不会惊讶于看到各国的情报部门利用先进的工具和技术,来进一步获取国家或经济利益。

我们知道这些并不代表全球网络在崩溃,或是网络经济和国家安全的终结。其实这就像世界上的其他任何事物一样,我们也渐渐地在进化发展。信息安全公司、个人,以及企业的发展必须跟上步伐,也许从这些家伙这几年来一直对我们的教导中,我们能够学到一些教训。加密您的数据,发展信息安全,正确的设置,有效地测试防御措施,使用复杂的密码,修补您的安全漏洞,以便在这些攻击真正发生之前加固您自己的防御系统。


2. 本周关注病毒

2.1 Trojan.Win32.FakeIME.t(木马病毒)
警惕程度★★★

该病毒将自己伪装成输入法文件(扩展名IME),并将其注册为系统默认输入法,这样病毒就会随着高级文字服务的开启而启动。病毒运行后,会遍历网络游戏窗口,通过迷惑用户、读取游戏内存的关键信息、保存玩家的游戏截屏的方式,将收集到的信息发送到黑客指定的服务器中,黑客通过收集到的信息,盗取用户的游戏账号,造成虚拟财产的损失。

 

2.2 Backdoor.Win32.Undef.tes(后门病毒)
警惕程度★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

2.3 Backdoor.Win32.Undef.tei(北斗星后门病毒)
警惕程度★★★★

病毒获得运行后,会在系统目录释放自己的副本,并在注册表内添加自启动。病毒采用将自身代码直接写入内存的方式启动伪装的IPCONFIG.EXE进程,十分隐蔽,用户很难发现。后门功能成功开启后,黑客能够通过指令的组合,实现各种侵害用户安全的行为,如:上传或删除电脑中的文件、下载病毒、窃取账号密码信息等。

 

3. 安全漏洞公告

3.1 Joomla! Flash Gallery Extension跨站脚本攻击和跨站请求伪造漏洞

Joomla! Flash Gallery Extension跨站脚本攻击和跨站请求伪造漏洞

发布时间:

2011-07-12

漏洞号:

CNNVD-201107-123

漏洞描述:

Joomla! 是一款开放源码的内容管理系统(CMS)。
Joomla!的Flash Gallery Extension中存在跨站脚本攻击和跨站请求伪造漏洞。远程攻击者可利用该漏洞执行受影响站点上下文用户浏览器中的任意脚本代码,窃取基于cookie的认证证书,泄露或者修改敏感信息,或执行非法操作。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.flash-gallery.com/help/joomla-extension/faq/security-update-0.5.0/

 

3.2 Apache XML Security签名密钥解析拒绝服务漏洞

Apache XML Security签名密钥解析拒绝服务漏洞

发布时间:

2011-07-12

漏洞号:

CVE-2011-2516

漏洞描述:

在Shibboleth 2.4.3之前版本和其他产品中使用的Apache XML Security for C++ 1.6.0版本中存在拒绝服务漏洞。该漏洞源于创建或验证带有RSA,DSA或ECDSA密钥签名文件的XML签名时的off-by-one错误。远程攻击者可借助超大RSA密钥导致应用程序崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://santuario.apache.org/secadv/CVE-2011-2516.txt

 

3.3 Cisco VPN Client本地权限提升漏洞

Cisco VPN Client本地权限提升漏洞

发布时间:

2011-07-08

漏洞号:

CVE-2011-2678

漏洞描述:

Cisco VPN客户端是多个操作系统的软件解决方案,允许运行这些操作系统的用户创建到支持Cisco VPN设备的IPSec VPN隧道。
基于64位Windows平台的Cisco VPN Client 5.0.7.0240和5.0.7.0290版本对cvpnd.exe使用弱许可(NT AUTHORITY\INTERACTIVE:F)。本地用户可通过替换带有任意程序的可执行文件获取特权。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tools.cisco.com/search/JSP/search-results.get?strQueryText=VPN+Client+5.0.7.0240+&Search+All+Cisco.com=cisco.com

 

3.4 Apache Http Components HttpClient敏感信息泄露漏洞

Apache Http Components HttpClient敏感信息泄露漏洞

发布时间:

2011-07-08

漏洞号:

CVE-2011-1498

漏洞描述:

Apache Http Components中的Apache HttpClient 4.1.1之前的4.x版本使用认证代理服务器时会向原始服务器发送Proxy-Authorization头。远程攻击者可通过记录此头获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.apache.org/dist/httpcomponents/httpclient/RELEASE_NOTES-4.1.x.txt

 

3.5 IBM WebSphere MQ CDP证书欺骗漏洞

IBM WebSphere MQ CDP证书欺骗漏洞

发布时间:

2011-07-08

漏洞号:

CVE-2011-1224

漏洞描述:

IBM WebSphere MQ 是提供一种程序到程序的通信方式的中间件。
IBM WebSphere MQ 6.0.2.11之前的6.0版本和7.0.1.5之前的7.0版本不使用CRL Distribution Points (CDP)证书扩展。中间人攻击者可借助客户端,队列管理员或应用程序废弃的证书欺骗SSL伙伴。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?rs=171&uid=swg24029382&wv=1
http://www-01.ibm.com/support/docview.wss?rs=171&uid=swg24029055&wv=1