当前位置: 安全纵横 > 安全公告

一周安全动态(2011年08月04日-2011年08月11日)

来源:安恒信息 日期:2011-08

2011年8月第二周(08.04-08.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 联合国等72家机构遭黑客袭击

北京时间8月3日晚间消息,安全专家目前发现了一项迄今为止规模最大的系列网络袭击,其中包括对联合国等72家组织和机构的网络进行入侵的行为。安全软件开发商McAfee表示,认为在该项网络袭击背后存在操控者(state actor),但McAfee不愿意透露其名字。

目前,被黑客袭击的政府名单包括、美国、台湾地区、印度、韩国、越南、加拿大、东盟、国际奥委会、世界反兴奋剂机构(World Anti-Doping Agency)以及一系列从国防承包商到高科技领域的企业。

McAfee表示,在对联合国袭击的案例中,黑客在2008年就入侵了位于日内瓦的联合国秘书处 ,随后潜伏近两年之久未被发现,一直在非法地窃取秘密数据。

 

1.2 黑帽大会:“战争短信”让黑客开走你的车

iSec Partners的计算机安全研究员称:一些软件允许司机通过移动电话打开车门甚至发动汽车,这会给偷车贼带来可可趁之机。

Don Bailey及其iSec研究员同事Mathew Solnik说道:他们已经弄清软件制造商用以远程控制汽车的协议,而且他们已经制作了一个展示如何通过笔记本电脑打开车门,发动引擎的视频。Bailey声称:搞清怎样截取汽车和网络之间的信息,然后从笔记本上复制这些信息总共只花了两个小时。

Bailey将会在本周于拉斯维加斯举行的黑帽大会上讨论此项研究,但是他不会透露其侵入产品的名字。事实上,他们已经侵入两种产品或者能提供产品运行的全部技术细节(除非软件制造商给打了新补丁)。

其中最著名的产品可能就是OnStar RemoteLink的应用程序了,该程序可以被用以启动和解锁多款最新的通用汽车。相似的软件也可用在奔驰与宝马之上。

Bailey将这个技术称作"战争短信",与名为"战争驾驶" 的黑客技术听起来相类似(该技术要求通过无线网络寻找数据进行环城驾驶)。

战争短信技术上比较复杂:首先,研究员必须辨认正在使用这些移动应用程序的汽车。接着,他们必须找到方法连接这些汽车,有了这些移动汽车应用程序,电话才能连接服务器。然后,服务器会向汽车发送数字密钥以获得授权。但是iSec研究员通过在移动网络中查看汽车与服务器之间的信息往来,想出了处理此问题的方法。Bailey在采访中说道:“我们反向设计了协议,并且建造了自己的工具以使用该协议联系系统。”

iSec研究员相信他们正在揭露一个更为普遍的问题的种种症状。在最近几年中,移动网络被建立到各种各样的设备中——从相框到汽车到智能电表,这让沟通更为便宜简单。但是,安全问题往往事后才被想到,许多产品都可以被侵入和滥用。

而最近几年,随着开源工具给了黑客更加低成本的方式建立其移动电话测试网络,关于此领域的研究也在突飞猛进。

在四月,Bailey曾使用相似的技术侵入Zoombak的个人定位装置。Bailey最后说道:“还有成百的其他相似产品没有被检测,结构缺陷竟然在这么多工程工业中都存在。”

 

1.3 网络安全技术讨论:黑客与白帽的较量

黑客技术正"流行"的今天,关于他们的话题不断,而且每个都是热点,专家们对于他们也抱有很大的兴趣。

英文《中国日报》的报道称:就在美国信息安全专家展示怎样如何让ATM"吐钱"几天之后,他们的中国同行今天在北京开始了一场低调的年度沙龙交流网络安全技术。

"我们不想和所谓的黑客混在一起," 会议组织方XFOCUS的核心会员之一方兴说。

黑客中有两个阵营,一个叫做"白帽"防御网络攻击,另一个叫做"黑帽"进行网络攻击。

"虽然很多人把我们叫做黑客,实际上我们是白帽。我们对黑客技术研究很深,是用来为企业和客户防御黑客攻击的,"方兴说。

方兴说这个安全焦点信息技术峰会纯粹是一群信息安全从业人士为了交流技术的聚会,但也不拒绝黑客来一起讨论技术问题。

法新社报道一群刚刚在拉斯维加斯聚完的美国资深黑客也将来北京参会。

"我们希望两国的黑客文化能彼此理解," 即将参会的美国人科林·埃姆斯说。

"说所有的中国黑客都是邪恶的以及他们为中国政府服务纯属无稽之谈," 他说。

埃姆斯通过电子邮件告诉中国日报他希望了解中国在电脑安全方面所面临的挑战,也许美国也同样面临这些问题。

"相信我们通过互相了解和友谊可以避免一些问题和对彼此不好的猜想。我们可以互相学习,促进两国的安全,"埃姆斯说。

Xcon会议目前已是中国业界最具影响力的安全技术会议,现任南京瀚海源信息技术有限公司总裁方兴仍致力于将其办成"亚洲最专业的安全技术会议".

来自微软公司的专家也被邀请参加这次以SDL安全流程为主题的会议。

2003年的冲击波蠕虫病毒大爆发后,微软公司指称中国的技术人员是"邪恶的".终于意识到XFOCUS并不是一个黑客组织后,微软公司2005年成为Xcon的赞助方。

沙龙式的Xcon会议由16名核心成员发起于2002年,今年吸引了300多名来自美国、日本、澳大利亚等各地与会者参加。

"这不是中美之间的事情。这个会议把全世界安全领域的研究人员聚集在一起,进行技术交流。"曾经三次作为发言人参与Xcon会议的安全研究员孙冰说。

"这个会议创造了很好的学习和交流的氛围。"

孙冰今年将作为与会者参加会议,他要去"见见朋友,跟他们聊一聊。"

37岁的方兴网名Flashsky.他觉得每年Xcon会议最高兴的就是能够跟朋友们聚在一起。

"大家可以聊聊天,喝喝酒,知道对方新技术成果,也会增加自己对安全行业更进一步的了解和思考。"方兴说。

一位不愿意透露姓名的日本籍与会人员说:"越来越多的黑客出现在世界计算机安全领域,这样的会议是非常必要的。""我是来学习的。"他说。

黑客的技术讨论可以很大的促进技术的应用,主要是促进网络安全技术的进步,起到推波助澜的作用。也希望大家也来关注。

 

1.4 黑客可利用监狱控制系统漏洞打开牢门


加利福尼亚州勒不列瑟的福尔森监狱,囚犯约瑟夫·斯维特用镜子窥视到此参观的加州共和党议员。



一幅展现门控系统使用的可编程逻辑控制器的图表。


美国《连线》杂志刊文称,美国研究人员表示用于控制监狱牢门的电子系统存在可被黑客或者其他人利用的漏洞,允许他们打开牢门,将囚犯放出牢房。

美国安全顾问和工程师约翰·斯特劳克斯表示,超级蠕虫“震网”曾利用同样的漏洞破坏伊朗一座核电站的离心机。他指出美国一些高度设防的监狱存在这些漏洞。在本周于拉斯维加斯举行的Defcon黑客大会上,斯特劳克斯计划就这一问题展开讨论,同时演示黑客如何利用这些系统漏洞。

可编程逻辑控制器存在漏洞

斯特劳克斯是美国100多所监狱、法院大楼和警察局的电子安全系统工程师和顾问,其中包括8所守卫最森严的监狱。他指出监狱利用可编程逻辑控制器(以下简称PLC)控制牢门锁以及其他设施的大门,黑客攻击伊朗离心机时利用的正是PLC的漏洞。他说:“绝大多数人并不清楚监狱如何设计,这也就是为什么没有人关注此事。有多少人知道他们建造的监狱使用与离心机相同的PLC?”

PLC是一台小型计算机,可通过编程控制一系列东西,例如控制转子的旋转,将食品装进装配线上的包装或者打开房门。德国西门子公司制造的两款PLC成为超级蠕虫“震网”的攻击目标。这种精密诡异的恶意程序于2010年发现,在设计上可截获进入PLC的合法指令并使用恶意指令替换。“震网”的恶意指令据信导致伊朗的离心机旋转速度超过或者低于正常速度,破坏其铀浓缩能力。

斯特劳克斯表示,虽然西门子的PLC应用于一些监狱,但在这个市场,他们还只是一个小角色,艾伦-布拉德利、Square D、通用电气和三菱等公司才是主要的监狱PLC供应商。美国共有大约117家联邦教管所、1700所监狱和3000多家看守所。斯特劳克斯指出,几乎所有监狱都使用PLC控制牢门和管理安全系统。

可编程逻辑控制器eBay上卖500美元

斯特劳克斯曾是美国中央情报局官员,在得知“震网”利用PLC漏洞展开攻击后,他对测试PLC产生浓厚兴趣。几年前,他也为一些监狱安装类似系统。他与身为ELCnetworks公司总裁的女儿蒂凡尼·拉德、独立研究员特古·纽曼合作进行这项研究。他们购买了一个西门子PLC,分析其存在的漏洞,而后与另一名研究院合作。他们一共发现了3个可以被利用的漏洞。拉德指出购买一切所需用具研究可以利用的漏洞仅花费他们2500美元。他说:“短短3小时内,我们就编写了一个可以利用我们测试的西门子PLC所存在漏洞的程序。我们通过合法手段购买这个产品,我们有许可证。在eBay上,你很容易搞到这种装置,价值只有区区500美元。如果有这种想法的话,任何人都可以做到这一点。”

最近,他们与联邦调查局以及其他联邦机构会面,讨论他们发现的漏洞以及即将开始的演示。斯特劳克斯说:“他们认同我们的工作。虽然并不高兴,但仍表示我们所做的工作是一件好事。”监狱PLC基础架构中存在一些漏洞,很多监狱PLC采用梯形逻辑编程和一个没有任何安全保护的通信协议。控制用计算机同样存在隐患,很多计算机立基于Windows系统,监视PLC和下达指令。

可编程逻辑控制器:危险的一控多模式

拉德说:“由于PLC在使用上采用‘一控多’模式,必定会存在这些缺陷。只要获得负责监视、控制和为PLC进行编程的计算机的访问权,你就可以控制PLC。”斯特劳克斯指出,黑客需要做的就是将其恶意程序植入控制用计算机。他们或者通过腐败的内部人员使用感染病毒的U盘进行安装,或者对监狱工作人员进行钓鱼式攻击,因为一些控制系统同样与互联网相连。最近,斯特劳克斯和他的团队受落基山地区一家交管所的邀请,造访监狱的控制室。在控制室内,他们看到一名工作人员正使用与互联网相连的控制系统阅读Gmail邮件。其他在监狱系统中并不扮演重要角色的电脑——例如餐厅和洗衣房的电脑——并不应该连上互联网,但它们有时也会联网,用于控制一些关键功能。

研究人员在他们的论文中指出:“记住,监狱安全电子系统由很多部分构成,并不只是门控系统,例如对讲系统、照明控制系统、录像监控系统、水和沐浴控制系统等等。访问任何一部分时,例如远程对讲站,都可能获得所有部分的访问权。”斯特劳克斯指出,一旦获得PLC的控制权,黑客便可以“为所欲为”。他们不仅可以打开和关闭大门,同时也可以摧毁整个系统,破坏所有电子设。

需要改进 防止攻击

监狱系统拥有一项级联式释放功能,在发生火灾等紧急情况,关押的囚犯需要立即释放时,系统会循环打开牢门,避免因立即全部打开导致系统超负荷。斯特劳克斯表示,黑客可以策划一次攻击,破坏级联式释放功能,同时打开所有房门,导致系统超负荷。

黑客同样可以选择特定的门,打开和关闭,同时切断警报系统,防止打开牢门时发出警报。做到这一点需要掌握一些警报系统知识,同时需要获得目标牢门的指令。斯特劳克斯指出,PLC在每次接到指令时都会向控制系统提供反馈,例如“打开厨房东门”这样的指令。耐心的黑客可以等待控制系统收到这样的反馈,通过收集这些信息绘制所有扇门的地图,进而找到希望打开的牢门。

纽曼表示PLC本身需要改善以消除这些固有隐患,监狱设施同样需要升级,对计算机的使用实施所谓的“可接受使用策略”,防止工作人员将关键系统连上互联网,同时防止安装U盘等移动设备。他说:“如果监狱不采取措施加以防范,我们将距离导致工作人员面临生命威胁的‘震网 ’攻击越来越近。”

 

1.5 初中文化男子用“黑客”攻击电视台网站进行牟利

记者从龙华区检察院了解到,海南省首例破坏计算机信息系统案于20日被该院提起公诉。

经依法审查查明,被告人柏某系一初中毕业生,其通过互联网学到了如何发现网站漏洞的技术,并将其号码为563332298的QQ账户命名为“黑客收徒”,以此进行牟利活动。2010年9月初,被告人柏某利用漏洞扫描软件在互联网上自动扫描时,发现海南省某电视台网站的蓝网服务器存在安全漏洞,便破解了该服务器中的来宾帐户“guest”的密码。

2010年9月6日22时31分,被告人柏某在贵州省安顺市博泰网吧通过3389远程连接的方式,非法利用“guest”帐户登录蓝网服务器,并将该帐户的权限提升为管理员权限,从此获得了该服务器的完全控制权,随后上传了80.rar和Cos.rar两个黑客工具软件到服务器上该帐户的登陆桌面。

2010年10月,被告人柏某用“guest”帐户多次远程登录蓝网服务器并上传黑客工具软件,创建了新的帐户“sqldebugger”并提权为管理员权限,随后向该帐户的登陆桌面上传了文件名为“赛过美人.rar”的压缩文件,该压缩文件包含15个黑客工具和辅助工具程序。之后,柏某用“sqldebugger”帐户频繁远程登录蓝网服务器,使用黑客工具软件“赛过美人.exe”对郑州的一个IP地址持续发送数据包进行DDOS溢出攻击。

据介绍,被告人柏某持续大量发送数据的操作造成在此期间蓝网服务器使用的50M网络带宽严重堵塞,网站无法正常访问,后台也无法正常登陆。给蓝网服务器的运行带来严重影响。


2. 本周关注病毒

2.1 Trojan.PSW.Win32.QQPass.fjh(木马病毒)
警惕程度★★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

2.2 Trojan.Win32.Fednu.ste(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.3 Worm.Win32.Autorun.tvs(图片蠕虫)
警惕程度★★★★

此病毒属于Autorun类型,通过可移动设备和微软自带的Outlook Express电子邮件进行传播,病毒为了实现隐藏,更改了注册表的设置,使系统不显示隐藏文件夹和文件后缀名;同时,病毒将后缀为exe和scr的文件图标关联成了图片图标。病毒为了获得运行,创建了大量的映像劫持,使得用户打开扫雷、蜘蛛纸牌、记事本、计算器等常用工具时首先运行病毒文件,最终,病毒会不断下载大量盗号木马到电脑中运行。

 

3. 安全漏洞公告

3.1 Linux Kernel GRO 'skb_gro_header_slow()'拒绝服务漏洞

Linux Kernel GRO 'skb_gro_header_slow()'拒绝服务漏洞

发布时间:

2011-08-01

漏洞号:

CVE-2011-2723

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel GRO的skb_gro_header_slow()函数中存在拒绝服务漏洞。远程攻击者可利用该漏洞导致拒绝服务(应用程序崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=17dd759c67f21e34f2156abcf415e1f60605a188

 

3.2 HP OpenView Storage Data Protector拒绝服务漏洞

HP OpenView Storage Data Protector拒绝服务漏洞

发布时间:

2011-08-01

漏洞号:

CVE-2011-2399

漏洞描述:

HP OpenView Storage Data Protector是可扩展的数据管理解决方案,实现基于磁盘或磁带的高性能备份和恢复功能。
HP OpenView Storage Data Protector 6.0,6.10和6.11版本中存在拒绝服务漏洞。远程攻击者可利用该漏洞使受影响应用程序崩溃,拒绝服务合法用户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02940981

 

3.3 Red Hat Linux Kernel VLAN报文处理远程拒绝服务漏洞

Red Hat Linux Kernel VLAN报文处理远程拒绝服务漏洞

发布时间:

2011-08-01

漏洞号:

CVE ID: CVE-2011-1576

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel在处理VLAN报文的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成内核崩溃,拒绝服务合法用户。

安全建议:

厂商补丁:
RedHat
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.redhat.com/apps/support/errata/index.html

 

3.4 Apache Tomcat "sendfile"请求属性信息泄露漏洞

Apache Tomcat "sendfile"请求属性信息泄露漏洞

发布时间:

2011-08-01

漏洞号:

CVE ID: CVE-2011-2526

漏洞描述:

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能。

Apache Tomcat在处理sendfile请求属性的实现上存在信息泄露漏洞,远程攻击者可利用此漏洞获取敏感信息或使JVM崩溃。

Apache Tomcat 5.5.34之前版本, 6.0.33之前版本和7.0.19之前版本在启用了HTTP APR或HTTP NIO连接器的sendfile时,没有验证某些请求属性,可使本地用户绕过计划的文件访问限制或通过可疑Web应用程序造成拒绝服务。

安全建议:

厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jakarta.apache.org/tomcat/index.html

 

3.5 IBM Lotus Symphony多个拒绝服务漏洞和不明细节漏洞

Apache "mod_authnz_external"模块SQL注入漏洞

发布时间:

2011-08-01

漏洞号:

CVE ID: CVE-2011-2884,CVE-2011-2885,CVE-2011-2886,CVE-2011-2887,CVE-2011-2888,CVE-2011-2893

漏洞描述:

IBM Lotus Symphony是IBM推出的一款免费办公软件。

IBM Lotus Symphony在实现上存在多个拒绝服务漏洞和不明细节漏洞,远程攻击者可利用这些漏洞使受影响应用程序崩溃。

安全建议:

厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/