当前位置: 安全纵横 > 安全公告

一周安全动态(2011年07月21日-2011年07月28日)

来源:安恒信息 日期:2011-07

2011年7月第四周(07.21-07.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 东芝服务器遇袭 用户信息被晒黑客网站

7月19日,据国外媒体报道,知名半导体及电子产品制造商东芝公司承认,该公司在美国地区的网络被黑客袭击,造成了数千名用户的信息被盗。

据悉,黑客袭击了东芝公司美国网络信息系统的服务器,获取了约7000份美国用户的包括电子邮件地址在内的个人信息。不过东芝公司表示,被窃的信息不包括用户的财务及金融信息。

虽然目前暂无任何个人或团体针对此次攻击事件负责,但信息科技企业的用户信息接连被盗已经让众多个人用户疲于应付,因此自信息掌控方——企业的全面防护,才是用户信息安全的首要因素。

据悉,东芝公司是在得知客户信息已经被公开到黑客网站后才发现信息泄露的,目前已经针对此事开展深入调查,东芝公司同时表示,将继续重视信息数据安全,避免此类事件的再次发生。相信类似索尼公司的大规模的用户信息接二连三的泄露,是任何企业都不愿看到的,希望企业能承担更多的用户信息保护责任,避免悲剧重演。

 

1.2 默多克两家报纸网站遭黑客攻击被迫关闭

综合媒体7月19日报道,在遭到据称6月攻击索尼网站黑客组织的攻击之后,新闻集团(News Corp.)在英国的两家报纸,《太阳报》和《泰晤士报》网站不得不关闭。

大约从北京时间6:30开始,访问太阳报主页的用户被链接至推特上的Lulz Security页面,这是一个据称已在6月底解散的黑客组织。之后链接改动被停止,太阳报网站在9点之后关闭。

泰晤士报网站在9点之后也无法工作,据称是遭到另一个匿名黑客组织的袭击。新闻集团旗下的新闻国际表示,已经获悉遭到黑客攻击的事件,技术团队正在进行修复。

Lulz Security推特账户大约在9点时候显示:“亲爱的媒体,这是Lulz Security的杰作。”

Lulz Security以分布式服务攻击闻名,可以在一秒钟内通过潮水般的服务请求导致网站崩溃。该组织在推特的追随者超过30万,是以匿名方式运行,没有公布任何联系方式。

攻击开始之前黑客公布了一份新闻集团主席兼CEO默多克的假讣告,称他已经“吞下大量钯金。”在被引导至Lulz Security推特账户之前,网站访问者被链接至默多克的假讣告。

 

1.3 五角大楼遭最大规模黑客入侵2.4万份敏感文档被泄露

北京时间7月15日早间消息,美国国防部副部长威廉·林恩(William J. Lynn III)表示,今年3月,在“美国国外入侵者”发动的一次黑客攻击中,一家国防承包商的2.4万份敏感文档被泄露。

林恩没有公布这些文档的具体内容,以及发动攻击的黑客来自何方。但根据《纽约时报》的报道,这是“有史以来最严重的一次数字攻击”。美国国防部已经改进了信息安全计划,改变以往的“被动”姿态,将网络作为“组织、训练和装备的一个领域”。

美国国防部的新措施是对近期美国一系列国防安全问题的回应。上月,黑客组织LulzSec攻击了美国参议院和中央情报局的网站,此次攻击只是为了证明成功的攻击是可能的。LulzSec此前还攻击了索尼等公司的网站,导致大量用户数据泄露。

 

1.4 孟山都确认被Anonymous黑客袭击 2500名行业人士信息被公开

农业生物技术巨头孟山都今天证实,他们已经被黑客团体Anonymous袭击,时间是上个月,目标是公司的Web服务器。在提供给媒体的声明中,孟山都表示大约有涉及全球农业产业的2500名个人信息被公开,比之前媒体报道的要多很多,这份名单还包括媒体和部分农业企业的其它详细信息。

孟山都表示已经把攻击信息上报有关政府职能部门,以寻求保护他们的信息系统。

Anonymous则在攻击后迅速表示对此事件负责,以抗议孟山都开发和销售牛生长激素、基因工程的种子和农药,包括橙剂。同时也对“有机奶农”生产出的“不含有生长激素”的孟山都牛予以披露,同时给出了用于诉讼的联系信息。

 

1.5 我们从最近的黑客攻击中学到了什么?

埃克森美孚、壳牌、BP、RSA、EPSILON以及索尼,全都是黑客的攻击目标。2011年会变成数据窃取或数字攻击的一年吗,发生什么事了?

难道你不认为这些公司会竭尽所能地保护他们的数字资产?难道你不认为他们有能够大声报警的防火墙、DMZ,以及各式各样的防护机制来阻止这些攻击吗?问题是,这些企业在今天虽然有着很好的防护机制,并可借此对抗传统的黑客,对抗来自外部的攻击。但他们没有考虑到的是,如果有人可以访问内部资源,并让内部服务器或办公计算机将信息传送出来,同时使用加密HTTPS的方式,那么这类攻击就没办法被检测到了。

在SONY的案例中,显然是有一个服务器被黑客专门用于获取信息,并传送出去。在其他案例中,用户被诱骗打开附件文件,然后就莫名其妙地成为受害者,同时自己的电脑也变成了分享数据并外传的“中转人”。

所以我们需要做些什么?我们需要重新考虑现有的安全模型吗?是的,我是这么认为的。因为这些案例证明了过去已经成为标准的,通过建立防线加以保护的思维已经不管用了。

我们更需要将眼光放在数据访问的控制和数据的智能存储方面。我们需要弄清楚谁在什么时候可以访问什么。而且我们需要建立一个人员管控的工作框架,以确保不会有事发生,或在可能发生的状况下,至少能够触发一个早期预警系统并告诉用户:嘿!要小心,这里有事情发生了。


2. 本周关注病毒

2.1 Trojan.Win32.StartPage.qgy(木马病毒)
警惕程度★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.2 Trojan.DL.Win32.Undef.thq(木马病毒)
警惕程度★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 Backdoor.Win32.Undef.tei(北斗星后门病毒)
警惕程度★★★★

病毒获得运行后,会在系统目录释放自己的副本,并在注册表内添加自启动。病毒采用将自身代码直接写入内存的方式启动伪装的IPCONFIG.EXE进程,十分隐蔽,用户很难发现。后门功能成功开启后,黑客能够通过指令的组合,实现各种侵害用户安全的行为,如:上传或删除电脑中的文件、下载病毒、窃取账号密码信息等。

 

3. 安全漏洞公告

3.1 IBM WebSphere Application Server管理控制台本地信息泄露漏洞

IBM WebSphere Application Server管理控制台本地信息泄露漏洞

发布时间:

2011-07-20

漏洞号:

CVE-2011-1356

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere 软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
IBM WebSphere Application Server (WAS) 6.1.0.39之前的6.1版本和7.0.0.19之前的7.0版本的Administration Console中存在信息泄露漏洞。本地用户可利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM42436

 

3.2 IBM WebSphere Application Server 'logoutExitPage'参数开放重定向漏洞

IBM WebSphere Application Server 'logoutExitPage'参数开放重定向漏洞

发布时间:

2011-07-20

漏洞号:

CVE-2011-1355

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere 软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
IBM WebSphere Application Server (WAS) 6.1.0.39之前的6.1版本和7.0.0.19之前的7.0版本中存在开放重定向漏洞。远程攻击者可借助logoutExitPage参数重定向用户到任意web站点并执行钓鱼攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM42436

 

3.3 IBM WebSphere Portal PageBuilder2跨站脚本攻击漏洞

IBM WebSphere Portal PageBuilder2跨站脚本攻击漏洞

发布时间:

2011-07-18

漏洞号:

CVE-2011-2754

漏洞描述:

IBM WebSphere Portal 由用于构建和管理安全的企业对企业(B2B)、企业对客户(B2C)和企业对雇员(B2E)门户网站的中间件、应用程序(称为 portlet)和开发工具组成。
在IBM Web Content Manager (WCM)和其他产品中使用的IBM WebSphere Portal 7.0.0.1 CF006之前的7.x版本中的PageBuilder2(Page Builder)theme中存在跨站脚本攻击漏洞。远程攻击者可借助未明向量注入任意web脚本或HTML.

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21503959

 

3.4 Apache Tomcat sendfile请求属性访问限制绕过漏洞

Apache Tomcat sendfile请求属性访问限制绕过漏洞

发布时间:

2011-07-15

漏洞号:

CVE-2011-2526

漏洞描述:

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Java Servlet和JSP服务程序。
当为HTTP APR或HTTP NIO连接器启用了sendfile时,Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,7.0.19之前的7.x版本没有验证某些请求属性。本地用户可利用不可信web应用程序绕过预设的文件访问限制或导致拒绝服务(无限循环或JVM崩溃)

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html
http://tomcat.apache.org/security-7.html

 

3.5 Oracle Database Target Type Menus远程安全漏洞

Oracle Database Target Type Menus远程安全漏洞

发布时间:

2011-07-18

漏洞号:

CVE-2011-2257

漏洞描述:

Oracle Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。每个Server由一个 Oracle DB和一个 Oracle Server实例组成。它具有场地自治性(Site Autonomy)和提供数据存储透明机制,以此可实现数据存储透明性。

Oracle Database Server在Database Target Type Menus的实现上存在远程安全漏洞,远程攻击者可通过HTTP协议利用此漏洞,造成非法更新、插入或删除Database Target Type Menus中的可访问数据,读取Database Target Type Menus子集的数据并造成Database Target Type Menus的部分DOS

安全建议:

厂商补丁:

Oracle
------
Oracle已经为此发布了一个安全公告(cpujuly2011-313328)以及相应补丁:

cpujuly2011-313328:Oracle Critical Patch Update Advisory - July 2011

链接:
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html