当前位置: 安全纵横 > 安全公告

一周安全动态(2011年08月11日-2011年08月18日)

来源:安恒信息 日期:2011-08

2011年8月第三周(08.11-08.18)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 港交所网站疑遭黑客多只股票受影响停牌

据香港文汇报报道,在环球股灾、市场动荡之际,竟有“黑客”入侵港交所 (0388)“披露易”网站,令汇控(0005)等7只正股、1只债券及其419只衍生产品,在下午开市前紧急停牌,市场一度混乱。港府高度关注事件。即日鲜散户被迫持货过夜,可能要蒙受损失。有专家怀疑,有人藉制造恐慌渔利,认为事件暴露出港交所金融基建的漏洞,需提高警觉防范,以免影响香港金融中心的声誉。

入侵事件发生在昨日上午11时45分,港交所“披露易”发生故障,投资者未能查阅上市公司已公布的股价敏感资料,港交所维修至下午开市前仍不能将故障修复,为公平起见,故在下午开市后1分钟,将7间企业及1只债券停牌。警方商业罪案调查科科技罪案组已接手调查事件。

被迫停牌的8只证券,包括3只蓝筹股汇控(0005)、港交所(0388)和国泰(0293),以及大新金融(0440)、大新银行(2356)、中国电力(2380)和华润微电子(0597),以及代号4517的债券,涉及市值约1.5万亿元,合共占恒指比重达17%。上述股份债券的所有相关衍生工具亦全部停牌,涉及15只牛熊证及404只窝轮,街货总值约2.2亿元。

在股份停牌后,由于大部分人都不知股份因何突然停牌,曾引起市场一阵惊慌及混乱。

事发后,署理行政长官唐英年对事件表示非常关注,亲自致电港交所主席夏佳理了解情况。他表示,港交所已向证监会呈交初步报告,指故障是因为网页软件发生技术问题,技术人员正从速抢修,希望尽快恢复正常运作,并找出原因,避免将来再发生同类事件。而财政司司长曾俊华昨被问到港交所是否需对投资者的损失作赔偿时,表示要留待证监会与港交所讨论。港交所表示,有关事件已上报证监会及报警处理。

市场人士相信,投资者即使损失也难以获赔,因为港交所将有关股份停牌,既不能买亦不能卖,故此无法证明对投资者不公平。事实上,过去企业在开市中公布敏感资料,也需要停牌,故难以让法庭相信有损投资者利益。

港交所行政总裁李小加表示,从信息科技部门初步得悉,今次事件可能涉及黑客入侵,该部门仍在调查中。他称,由于有关公司公布的属股价敏感消息,为免部分投资者在下午开市前看不到信息,故要求有关公司停牌。他续说:“停牌对大家都不好,但这是公平的,不会对某些投资者好、某些不好,停牌是合适的做法。”他并称,由于今次事件可能由黑客的恶意攻击引起,所以不能保证未来不会发生类似问题。

至于今日有关股份能否复牌,上市科主管狄勤思表示,若交易所系统在今日仍未能修复,上市公司信息会在该所的后备网页刊出,协助上市公司继续发放信息,交易会如常进行。不过,最坏情况是后备网页亦出现问题,则有可能令部分股份仍要继续停牌。狄勤思指出,披露易与交易系统是分开独立运行,交易系统仍非常安全。

 

1.2 黑客暗渡陈仓破港交所网站漏洞 酿成市场混乱

据香港信报报道,一场“黑客攻击”,令汇控(005)、腾讯(700)等大蓝筹停牌半日,导致市场大混乱,令人惊讶港交所的防护措施竟然不堪一击。有网络保安专家指出,今次只是低层次的“殭尸攻击”,但黑客避开港交所防卫森严的交易系统,反而“暗渡陈仓”偷袭外围的披露易网站,酿成市场混乱。

港交所解释,披露易停用的原因是接收到超高的访问流量,而且是首选和备用网站同时受袭。网络保安公司Websense亚太区技术经理谭伟基认为,这是典型的DDoS(分布式阻断服务)攻击,原理是利用大量计算机,于同一时间访问某个网站,导致流量超出负荷,令其它正常用户无法访问。这手法通常透过全球各地大量被木马软件入侵了的殭尸计算机进行,因此又称为殭尸攻击。

谭伟基表示,这是低层次的黑客手法,只能使目标网站暂时停用,而不能盗取或修改任何数据。这手法早于十多年前兴起,业界已研究出防御措施,即在服务器安装一种防火墙,能够自动过滤可疑或重复的网络地址(IP)访问。

谭伟基认为,港交所不会没有类似的防范,但披露易属于交易系统之外的外围网站,防卫机制相对薄弱,只要黑客发动的殭尸数量超出防火墙的应付能力,网站一样会被攻陷。他相信,黑客知道正面攻击交易系统没有胜算,转而偷袭披露易网站的漏洞;由于黑客透过其它人的殭尸计算机作出攻击,不容易查出真正源头。

港交所是本年第一家被黑客“击破”的主要交易所。纽约泛欧交易所及意大利证交所本月初曾因不寻常的交易讯息量,导致短暂故障,但监管当局判断与黑客无关。Nasdaq OMX则在2月遭黑客试图尝试入侵其系统,但未能得逞。

小资料

披露易浏览量大增

早于2000年,港交所(388)已就改变发布公告的途径进行咨询,之后经过多番讨论,独立于港交所网站、专为上市公司发布讯息的“披露易”网站于2008年2月4日正式推出,标志着上市公司必须在报纸刊登公告的时代过去,并有助缩短因发布股价敏感消息导致停牌的时间。

推出至今,上市公司的数目显著增加,“披露易”的浏览量不断增加,一直保持畅顺运作。怎料昨天出现这一严重事故。

2007年香港报业公会和香港投资者学会曾强烈反对,前者是基于上市公司公告的收入大减,建议实施“双轨制”,后者则认为,新措施歧视非在网上进行交易的传统投资者,其委托中文大学进行调查发现,70%的受访者认为措施减低信息发布的透明度。香港投资者学会主席谭绍兴表示,“披露易”的浏览量极高,容易成为黑客入侵目标,建议网站应由证监会或独立机构运作。

 

1.3 RIM官方博客遭黑客攻击

在声称将帮助英国警方追踪骚乱者之后,RIM官方博客Inside BlackBerry周二遭到黑客攻击。

在英国伦敦近几天的骚乱事件中,一些参与者通过RIM的黑莓Messenger加密通信服务进行联系。RIM周一表示,将帮助英国警方追踪骚乱者。

周二,RIM官方博客Inside BlackBerry即遭到黑客攻击。对Inside BlackBerry实施攻击的黑客组织名为 TeaMp0isoN,该组织在一份声明中称,已经成功入侵RIM数据库,如果RIM执意帮助警方,则TeaMp0isoN将公开RIM的敏感信息。

TeaMp0isoN在致RIM的一份声明中称:“我们已经入侵你们的数据库,里面包含员工的私人信息,如姓名、家庭住址和电话号码等。如果你们真的帮助警方,提供黑莓用户的聊天记录,我们就把你们数据库上的信息公之于众。”

此前有媒体报道称,伦敦骚乱事件愈演愈烈,骚乱者已开始利用Twitter、Facebook和RIM的黑莓Messenger服务对活动进行组织和协调。

 

1.4 黑帽大会&Defcon综述

8月7日,为期5天的黑帽大会&Defcon黑客大会在美国拉斯维加斯闭幕。会上,来自世界各地的安全专家继续粉碎人们不切实际的幻想——他们告诉企业和消费者,目前现有的几乎任何系统都没有安全可言。

安全专家Riley Hassell和Shane Macaulay曝光了安卓应用程序的新威胁,还讨论了安卓系统和安卓市场的已知与未知漏洞。安全专家Matt Johansen与Kyle Osborn声称已经发现Google Chrome大量严重的基本安全设计缺陷,只需轻轻点击鼠标,用户的电邮、联系人、已存的文档就会被暴露。而且,还可以通过窃取其临时cookie盗取其Google账户等等。

来自本届大会的资料显示,使用苹果公司网络服务器的企业,或许比Windows类型网络更容易遭到恶意入侵。有意思的是,Defcon大会上的安全人员同样公布了Windows操作系统安全性的一些问题。黑客发现,保存在Web浏览器和IM等网络工具中的“云密码”可以轻易地被一些计算机取证工具获取,这些数据包括Facebook、GMail账户等。这意味着如果客户的Windows笔记本电脑被盗,那么客户就应当考虑更换所有的密码。

谷歌工程师奥曼迪称,反病毒公司Sophos销售的杀毒产品在签名系统和密码使用上存在漏洞,这些漏洞可导致反病毒软件的完整性遭到破坏,允许恶意软件制作者绕过杀毒扫描或产生虚假的结果。

黑帽大会的研究员还曝光了大多数企业所用路由器协议都存在的一个漏洞,该漏洞可使网络置于受攻击的危险中。攻击主要集中于泄漏数据流、伪造网络拓扑、创建有害的路由器环路。由于攻击者的攻击以及广为使用的开放最短路径协议(OSPF)本身的缺陷,这一漏洞可能带来的危害是难以估计的。OSPF是目前最流行的路由协议,该协议被用于网络所使用的大约35000个独立系统中。通常大企业、大学,还有网络内容提供商(ISP)都在运行独立系统。以色列电子战争研究与仿真中心研究员、该问题的发现者Gabi Nakibly说:“唯一的解决办法是使用另外一种协议,比如RIP或者IS-IS,要不然就改编OSPF以堵住漏洞。”

本届黑帽大会还公布了更惊人的一些研究“成果”,揭示了发电站、化工厂、配水系统和全世界其他工业设施所使用的老旧电脑系统中存在的弱点。专业研究公司NSS实验室发现了德国西门子公司工业控制系统中的一个“后门”,它可以让黑客摧毁核电站、油气管道、水处理系统、制药厂以及其他关键设施。独立黑客们花5 0 0美元在eBay上买了一台二手可编程逻辑控制器,并花2000美元从其制造商西门子购得软件,然后进行了研究。他们找到了安全漏洞并找到了如何利用这些漏洞发动攻击的方法。美国国土安全部近日警告国会说,黑客们很可能正在修改去年风险的“Stuxnet”的代码,制造能够对世界任何地方的工业控制系统发动进攻的新武器。

来自医疗设备的安全同样堪忧,安全研究人员Jay Radcliffe表示,一个具有强大发射天线的攻击者甚至可以在半英里的距离之外通过远程操控自动注射装置杀死患者。他以一个胰岛素注射泵和血糖监测仪来演示了这种状况,无线设备很容易遭到窃听,只要完成对设备的通信逆向工程就可以实现加快注射泵的工作进程,病人很可能就会因为血糖过低而死亡。

大会的研究人员还指出了通过移动电话开车门或启动汽车时给偷车贼以可乘之机,通过人脸照片或可窃取大量私人信息等漏洞。

正如这次大会的主办城市拉斯维加斯给人们的一贯印象一样,高科技从某种程度上来讲,也是一场豪赌,需要资金,需要策略,当然也有失败。黑帽大会的意义就在于,指出症结,提出方案,使整个科技界进步得更快。

 

1.5 黑帽大会的十二个最新技术亮点

同往常一样,将于本周在拉斯维加斯举行的年度黑帽大会无疑是重磅事件。会上,安全专家将会粉碎人们不切实际的幻想--他们会告诉大众高科技行业制造的东西,不会有任何安全可言。

在2011年的黑帽大会上,安全研究人员将会展示50多种产品,其中最密集的是展示设备漏洞:包括USB设备,打印机,扫描仪,iPhone与安卓设备,Chrome,笔记本电脑,行业监控与数据采集系统(SCADA)。

一些关于本次大会的细节已经被提前披露,比如查理米勒在"财富"杂志上写道:已经发现侵入苹果MacBook, MacBook Pro与MacBook Air芯片且控制电池的方法,这样就可以摧毁它们或者在它们上面安装持续的恶意软件。

同时,会上也会有一些让人恐惧的展示项目,比如iSEC Partners的研究员Don Bailey和Matthew Solnik将会展示一些"文本指令战争"(War Texting)技巧以发现汽车,然后利用其移动网络的漏洞经由笔记本电脑打开车门,发动汽车引擎。

如果对打印机感兴趣,会上Zscaler的研究员Michael Sutton将会展示:如何通过网络和最近处理的文档集(甚至都不用进入其内部),轻易找到打印机与扫描仪的嵌入式网络服务器。

以下是我们在黑帽大会安排里精心挑选的几项让人不寒而栗的内容(除非展示人胆怯退出,之前有人因为害怕厂商使用这些方法而退会)。尽管一旦研究人员说他们早已告诉厂商问题所在与修正方法,人们的兴奋感就会被降低。但是,在梦幻般的黑帽大会中,以下活动极为可能出现:

1.利用ioS内核:Stefan Esser将会展示iPhone内核级的开发利用。

2.侵入安卓设备以营利:Riley Hassell和Shane Macaulay将会曝光安卓应用程序全新的威胁,还会讨论安卓系统和安卓市场的已知与未知漏洞。

3. 苹果iOS安全评估:漏洞分析与数据加密:,Dino Dai Zovi将会分析在几个关键的安全机制中,就其长处与短处,企业应该考虑什么。

4.侵入Google Chrome OS: Matt Johansen与Kyle Osborn声称已经发现其大量严重的基本安全设计缺陷,只需要轻轻一击鼠标,用户的电邮,联系人,已存的文档就会被暴露。而且,还可以通过窃取其临时cookie盗取其Google账户等等。

5.损坏芯片密码卡:Adam Laurie, Zac Franken, Andrea Barisani与Daniele Bianco四人组,将会展示如何通过在电磁电容世界的信用卡扫描与个人身份号码(PIN)获取,成功侵入基于芯片的支付卡。

6.利用西门子Simatic S7 PLCs:独立研究员,NSS实验室工作人员Dillon Beresford将会以此展示工业数据监控与采集系统(SCADA)的缺陷。

7.获取路由表:Gabi Nakibly计划展示开放路由最短路径优先(OSPF)协议上的漏洞,该漏洞将会使黑客不必获得路由器本身,就可以得到路由器内的路由表。

8.Sophail--Sophos杀毒软件的批判分析:为了分析Sophos声称所拥有的技术,探测已被曝光的丰富的攻击平面,展示其缺陷与漏洞,Tavis Ormandy将会对Sophos的反病毒软件产品进行全面检测,然后进行批判。

9.通过Arduino利用USB设备:Greg Ose将会讨论如何利用Arduino硬件架构中的部件。

10.在SAP J2EE引擎核心上的毁灭性打击:Alexander Polyakov将会展示其漏洞攻击的细节,还会提供一个检测攻击的免费工具。

11.侵入与forensicate甲骨文数据库服务器:资深的数据库安全研究员David Litchfield将会展示此项内容。David曾于过去发现甲骨文产品的关键安全缺陷,这应该引起重视。

12.微软的Vista系统--不再保密的那些好的,坏的,不甚美观的:尽管对我们大多数人来说其只有历史价值,但是安全研究员Chris Paget仍然会会曝光之前Vista安全进程的秘密信息。Chris说他之所以等到现在,是因为为了获取源代码和设计规格,他曾于五年前与微软签订保密协议(NDA),现在刚好赶在黑帽大会之前协定过期了。

当微软的安全社区外联和战略小组首脑Kate Moussouris开始她的谈话"爱从Redmond(微软总部所在地)开始"之时,那听起来似乎像儿女回老家探望。

她将会告诉黑帽大会的出席者(这些人有时对寻找微软Windows产品的漏洞过分热情):当微软于2008年宣布3个战略性的计划时(在升级前分享微软产品的漏洞信息,寻找第三方产品的漏洞,预测短时间内黑客会确实利用哪些漏洞)人们都认为微软失去理智了。

然而几年后微软似乎仍然古怪疯狂,Kate保证说道:"2011年我们仍然会继续想出疯狂的点子。"微软还会派她在黑帽大会上说出什么疯狂的东西呢?我们拭目以待。


2. 本周关注病毒

2.1 Trojan.DL.Win32.Undef.tiv(木马病毒)
警惕程度★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.2 Trojan.Win32.Fednu.sww(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.3 Worm.Win32.Autorun.tvs(图片蠕虫)
警惕程度★★★★

此病毒属于Autorun类型,通过可移动设备和微软自带的Outlook Express电子邮件进行传播,病毒为了实现隐藏,更改了注册表的设置,使系统不显示隐藏文件夹和文件后缀名;同时,病毒将后缀为exe和scr的文件图标关联成了图片图标。病毒为了获得运行,创建了大量的映像劫持,使得用户打开扫雷、蜘蛛纸牌、记事本、计算器等常用工具时首先运行病毒文件,最终,病毒会不断下载大量盗号木马到电脑中运行。

 

3. 安全漏洞公告

3.1 多个厂商Router设备OSPF协议远程安全漏洞

多个厂商Router设备OSPF协议远程安全漏洞

发布时间:

2011-08-09

漏洞号:

 

漏洞描述:

多个厂商的Router设备中存在安全漏洞,该漏洞源于OSPF协议规格中的设计错误。远程攻击者可通过欺骗网络中的路由器来接受攻击者控制的路由器的LSA更新。为了成功的执行攻击,攻击者需要连接路由器到受害者的网络中,并为LSA通讯加密秘钥,可借助在网络中创建路由器环导致拒绝服务,并执行非法操作,如重定向网络数据包到攻击者控制的位置

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.networkworld.com/news/2011/080411-blackhat-ospf-vulnerability.html

 

3.2 Microsoft Windows CSRSS 'SrvGetConsoleTitle()'本地信息泄露安全漏洞

Microsoft Windows CSRSS 'SrvGetConsoleTitle()'本地信息泄露安全漏洞

发布时间:

2011-08-09

漏洞号:

 

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows存在与类型转换有关的本地安全漏洞。攻击者可以利用该漏洞导致拒绝服务情况或获得敏感信息的访问

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://windows.microsoft.com/en-US/windows/home

 

3.3 Linux Kernel "net/"子系统"af_packet.c"本地信息泄露漏洞

Linux Kernel "net/"子系统"af_packet.c"本地信息泄露漏洞

发布时间:

2011-08-09

漏洞号:

BUGTRAQ ID: 48986

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel的 "net/"子系统"af_packet.c"在实现上存在本地信息泄露漏洞,本地攻击者可利用此漏洞获取敏感信息。

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

 

3.4 IBM Tivoli Federated Identity Manager产品多个安全漏洞

IBM Tivoli Federated Identity Manager产品多个安全漏洞

发布时间:

2011-08-09

漏洞号:

CVE ID: CVE-2010-4476

漏洞描述:

Tivoli Federated Identity Manager为Tivoli安全家族的新成员,专以解决跨企业的联邦身份管理而著称作为 IBM 身份集成计划的一部分。

IBM Tivoli Federated Identity Manager和IBM Tivoli Federated Identity Manager Business Gateway中存在多个安全漏洞,远程攻击者可利用这些漏洞造成拒绝服务和其他影响。

1)应用程序捆绑了IBM Java的一个受影响版本;

2)管理控制台存在相关的两个未明细节错误。

3)运行时存在相关的不明细节错误。

安全建议:

厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.ers.ibm.com/

 

3.5 Intel Active System Console和多个服务器管理器远程拒绝服务漏洞

Intel Active System Console和多个服务器管理器远程拒绝服务漏洞

发布时间:

2011-08-09

漏洞号:

BUGTRAQID: 49070

漏洞描述:

Intel Active System Console是提供单个服务器上基本服务器硬件健康监控功能的轻量级控制台。Intel Multi-Server Manager可使IT管理员从单个控制台管理多个服务器硬件的健康。

Intel Active System Console和Multi-Server Manager在实现上存在漏洞,远程攻击者可利用此漏洞拒绝服务合法用户。

安全建议:

厂商补丁:

Intel
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://security-center.intel.com/