当前位置: 安全纵横 > 安全公告

一周安全动态(2011年09月15日-2011年09月22日)

来源:安恒信息 日期:2011-09

2011年9月第三周(09.15-09.22)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 哈药六厂奢华装潢引网友不满 官网屡遭黑客攻击

商报讯(记者 肖玮)“哈药六厂赛皇宫”事件还在继续发酵,网友们的不满已从动口升级为动手。本月11日,哈药六厂官网遭黑客攻击而陷入瘫痪,虽然当晚曾经恢复,但昨日记者发现,其官网再次无法登录,显示“站点访问失败”。

本月11日,一位自称从不攻击企业官网的黑客“破例”攻击了哈药六厂官网,这位署名“军中绿花”的黑客在其官网上留下了200多字宣言。宣言中写道:“我是穷人的孩子,看不起病,也买不起药”、“我们的老一辈宁愿带着疾病去田地里劳累,也不去医病买药,因为那可能需要他在一片田地辛苦耕耘几个月才能换来。一辈子面朝黄土背朝天,入土前连去医院的路都可能不知道怎么走。这就是养育着我们的农民,而其中也有我最亲的亲人”。他的黑客宣言最后说:“建议你们的领导去县镇的医院和广大的农村看看,(看过之后)回到你们那皇宫之后不知道你们会不会有种感觉,一种叫做如坐针毡的感觉?”

从黑客的留言中不难看出,此次哈药六厂官网被攻击与近期引发各界高度关注的哈药六厂奢华装潢事件密切相关。近日,一组题为“哈药六厂豪华赛皇宫”的图片在网上流传甚广,照片显示其主楼是凡尔赛宫的装修风格,走廊内全是实木雕刻,并用金箔装嵌。另据哈药六厂厂长芦传友接受媒体采访时介绍,药厂主楼一共6层,当时建楼加上装修投入9300多万元。

哈药六厂照片曝出后引起网民们的巨大争议。有网友直接把此事与之前哈药总厂污染环境事件联系起来,称“在处理自己的排污问题时说没能力,原来把钱都用在豪华装修上了,不过这也解释了药价为何总是居高不下”。

随后,本报刊登的《哈药六厂回应外界质疑:皇宫装潢不是奢华是艺术》也在网上引发广泛讨论。当时,哈药六厂宣传部相关负责人在接受记者采访时称,“网上的图片确实是哈药六厂主楼照片,但(那里)并非办公地点,而是哈药为了做公益事业而建的中国最大版画博物馆”。

这样的解释反而引来更多质疑的声音。其中一位网友指出,“前不久,哈药集团还频频曝出‘致癌水’、‘污染门’等丑闻。治污‘缺钱’,奢华‘有钱’,你们不觉得心虚吗”?还有网友称,“都不知道中国的药企到底是穷还是富,一说研发就哭穷,结果却拿着近亿元修‘皇宫’”。

针对官网被黑事件,记者昨日致电哈药六厂宣传部门,但电话一直无人接听。随后,一位自称收发室的工作人员向记者表示,由于正处中秋假期,单位没有人上班,一切问题只能等今日才能答复。

 

1.2 Linux基金网站遭黑客入侵 被迫下线

据国外媒体报道,数周前,Linux存档网站kernel.org刚刚遭受黑客攻击;而现在,Linux基金网站也因为黑客入侵而被迫下线。

Linux基金网站上发布的一则通告称,由于在本周四发现了黑客入侵事件,该基金的整个网络架构,包括LinuxFoundation.org和Linux.com及其子网,已全部从网络上撤下,以进行安全维护。

“Linux基金出于谨慎和安全考虑,做出了上述决定。我们相信,这起入侵事件与数周前黑客攻击kernel.org事件有牵连。”该基金称。

以下是Linux基金发布的声明:

“我们正在努力维护我们服务的安全性,并争取尽快地恢复这些服务。您在这些网站上使用过的密码和SSH密钥可能已被窃取,为了防止再被入侵,也为了谨慎起见,您应该考虑对它们进行更改。如果您还在其他网站上使用这些密码,请立即进行更改。目前,我们正在审查所有的系统,一有新消息,我们就会立即告知。

“我们为给您造成的不便感到抱歉。我们正在认真地对待此事,同时对您的耐心等待表示感激。Linux基金的网络架构包含有各种服务和程序,包括Linux.com、Open Printing、Linux Mark、Linux基金活动等等,但是不包括Linux内核或其代码存储库。”

早在8月28日,kernel.org网站就被发现有黑客入侵,该网站直到今天仍处于离线状态。

 

1.3 NBC账号遭黑客攻击发恐怖袭击消息 FBI调查

9月13日消息,据国外媒体报道,“9.11”十周年纪念前两天,NBC美国全国广播公司Twitter官方账号遭黑客窃取,用以发布恐怖袭击假消息。最早几条假消息如下:“最新消息!9.11遗址遭袭。5736号航班坠毁此处,疑遭劫机,将跟进报道。”

据报道,FBI网络犯罪部门已着手调查,并与NBC以及Twitter合作搜集证据。FBI不愿透露过多,但一个名为The Script Kiddies的黑客团伙将“NBCNEWS账户遭The Script Kiddies窃取”消息放在NBC的 Twitter官方网站上,宣称窃取了NBC账号。

据悉,The Script Kiddies名不见经传,两月前才首次露面。7月窃取@FoxNewsPolitics的Twitter官方账号,发布奥巴马被杀的假消息。

早期证据表明The Script Kiddies窃取NBC 的Twitter官方账号是通过使用“键盘记录木马”。这一软件神不知鬼不觉安装在肉机上,记录使用者登陆账号密码。

FBI正在Twitter和 NBC紧密协助下进行调查,如有必要将给予起诉帮助。

 

1.4 中国人寿上演史上最大宗错盘 怀疑涉及黑客入侵

据港媒报道,散户爱股之一的中国人寿( 2628),昨日上演史上最大宗错盘,收市前半句钟竟出现一单涉资451亿元的「恐龙级」买盘,令市场震惊!新鸿基金融昨晚承认,系统出现短暂错误令国寿出现错盘交易。作为这个买盘的经手人,新证随时要为「按错一个掣」而付上以千万元计的沉重代价!

不过据了解,今次事件怀疑涉及黑客入侵。昨日港股表现疲弱,不少投资者原本已经无心恋战,但下午三时二十分左右,突然有人高调地以 18.82元挂出超过500个国寿买入牌,涉及约24亿股或451亿元,排买盘的经纪为新鸿基金融(下称新证)。这个「恐龙级」买盘一出,令正在对着股票机打呵欠的投资者为之哗然。据了解,昨怀疑有新证人士「按错掣」,透过公司内的电脑系统发出庞大的国寿买盘指令,发现后企图即时取消指令,但因系统出现故障未能取消,「眼白白」等了 10分钟才恢复运作,结果「成就」了昨日的「壮举」。有经纪指,昨日原本一班在沽国寿的对冲基金发现有庞大买盘,一度提高叫价,不久发现无盘「跟进」,反手沽得更狠。

能挂出超过 400亿元买盘去买一只股份,如果以个人名义吸纳,全港相信只有李嘉诚、李兆基及郑裕彤才有这样的能耐。不过,投资者哗然之际,也有不少投资者反应奇快,眼见有人以市价大手接下国寿,二话不说便将国寿股份大举抛售。新证最初挂出 24亿股买盘,由于已引来大批沽盘,一时「煞车不及」,未能成功取消交易,于是眼巴巴看着其买盘接下排山倒海的沽盘。该行一度将挂出买盘减少至 16亿股,前后利用了大约 10分钟的时间,才能全身而退。于下午三时二十分至下午三时四十二分,摆乌龙的新证及趁机沽货的投资者,上演一场成交额达 15.8亿元的好戏。当中有约 8000万股,涉及价值 15亿元的国寿股份,于混乱之际落在新证的手上。国寿期间成交额达 15.8亿元,以同一时段港股成交 32.54亿元计算,当时国寿的成交已占去整体港股的成交 48%!可谓非常夸张。异常庞大的成交出现后,股价于 18.82元以下受压。新证明显「消化不良」,于下午三时四十二分后,新证反手在市场抛售国寿,令尾市成交保持高企。该股昨日收市仅反弹 0.22%至 18.62元,较全日高位 18.94元跌 1.68%。全日成交额 34.55亿元,亦较 9月初以来平均每日 9亿元成交,高出接近 3倍。

估计损失金额超过千万元

以国寿最后18分钟平均价计算,新证投资平均止蚀价约为 18.68元。已沽出的部份,不计交易费用,已亏损 560万元。倘连同今日可能以平价清货,损失金额应该超过千万元以上。另国寿昨日的沽空股数亦由 9月初每日大概 500万股以下,大幅增至 1669万股,多出来的大约 1000万股沽空,不排除是有「醒目仔」,趁机沽空,以图从乌龙交易当中获利。

 

1.5 GlobalSign因黑客入侵暂停颁发数字认证

据美国科技资讯网站CNET报道,网络安全与数字认证机构GlobalSign在DigiNotar遭黑客攻击事件曝光以后,已暂时停止数字认证的发放,同时展开全面调查。

一个化名“IchSun”的黑客近期实施了对荷兰数字认证机构DigiNotar的攻击,导致500多份SSL(安全套接层)虚假认证被颁发出去,其中就包括一份被用于攻击谷歌网站Google.com的认证。这名自诩伊朗爱国者的黑客还在今年春天策划了对安全认证机构Comodo的攻击,此人还透露他入侵过其他4家知名度很高的认证机构,其中就包括GlobalSign。

对此,GlobalSign周三在一份声明中回应称,该公司正就此事展开调查。声明称:“GlobalSign非常严肃地看待这种说法,目前正在展开调查。作为一家负责任的认证机构,我们已决定暂时停止各种认证的发放,直至调查结束。我们会随时公布有关此事的最新情况。”GlobalSign还表示,已聘请荷兰安全公司Fox-IT协助调查此事。

最初,外界曾怀疑伊朗政府是这起事件的幕后策划者,指使黑客获取了Google.com虚假认证,以监控伊朗公民的Gmail帐户活动。但“Ichsun”表示,他之所以攻击安全认证机构,是因为他对驻荷兰联合国安全部队未能阻止16年前的斯雷布雷尼察大屠杀进行抗议。至于入侵Comodo事件,他宣称这是在抗议美国的外交政策。

据报道,荷兰政府已接管了DigiNotar,要求有关当局对此展开深入调查。为保护用户安全,最新版本的Internet Explorer、谷歌Chrome和Firefox等浏览器均不再信任DigiNotar所有认证,而微软也表示DigiNotar所有认证都不能相信,并采取其他措施保护Windows用户。DigiNotar发言人拒绝对此发表评论。

Fox-IT周一就DigiNotar遭黑客攻击事件发布调查报告称,共有531份虚假认证被发放,黑客留下了与入侵Comodo时一样的签名:Janam Fadaye Rahbar,大意是“我将为我的领袖牺牲自己的灵魂。”

Fox-IT报告还谈到了DigiNotar存在的安全漏洞,包括在最重要的服务器上发现恶意软件,公共网络服务器的软件过时,缺乏对受影响服务器的杀毒保护。报告最后指出:“域名列表和99%受影响用户身在伊朗的事实表明,黑客们的目标显然是窃取伊朗的私人通讯。”(轩辰)

 

2. 本周关注病毒

2.1 Trojan.Win32.Fednu.tio(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.2 Trojan.Win32.KillAV.cwk(木马病毒)
警惕程度★★★

该病毒运行后试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。病毒会遍历系统中的可移动存储设备(U盘、MP3、移动硬盘等),并向这些设备中写入自动运行的脚本,用户使用这些带毒设备后就会被感染。

2.3 Backdoor.Win32.Undef.tgh(后门病毒)
警惕程度★★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

3. 安全漏洞公告

3.1 TP-LINK TD-8810无线路由器跨站请求伪造漏洞

TP-LINK TD-8810无线路由器跨站请求伪造漏洞

发布时间:

2011-09-13

漏洞号:

 

漏洞描述:

TP-LINK TD-8810无线路由器中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞更改设备配置并执行其他非法操作。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.tp-link.com/

 

3.2 Microsoft Windows WINS Server "ECommEndDlg()"本地权限提升漏洞

Microsoft Windows WINS Server "ECommEndDlg()"本地权限提升漏洞

发布时间:

2011-09-12

漏洞号:

BUGTRAQ ID: 49523
CVE ID: CVE-2011-1984

漏洞描述:

WINS是Windows上的NetBIOS名称服务器实现。

Microsoft Windows WINS服务器在ECommEndDlg()的实现上存在本地权限提升漏洞,本地攻击者通过恶意WINS网络报文执行任意代码,可能控制受影响计算机。

安全建议:

厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

 

3.3 Microsoft Windows stdout/stdin本地拒绝服务漏洞

Microsoft Windows stdout/stdin本地拒绝服务漏洞

发布时间:

2011-09-11

漏洞号:

BUGTRAQ ID: 49489

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
Windows Server 2008 R1在标准输入输出的实现上存在本地拒绝服务漏洞,本地攻击者可利用本地DoS攻击漏洞造成受影响操作系统崩溃,拒绝服务合法用户。

安全建议:

厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

 

3.4 OpenSSH加密套接字规格信息泄露漏洞

OpenSSH加密套接字规格信息泄露漏洞

发布时间:

2011-09-09

漏洞号:

BUGTRAQ ID: 49473
CVE ID: CVE-2001-0572

漏洞描述:

OpenSSH是用安全、加密的网络连接工具代替了telnet、ftp、 rlogin、rsh 和 rcp 工具。
OpenSSH在加密套接字规范的实现上存在信息泄露漏洞,远程攻击者可利用此漏洞获取敏感信息。
在交互式的SSH会话中,用户的键盘输出可造成SSH客户端发送IP报文到SSH服务器,远程服务器将输入的字符返回给用户,SSH服务器发送IP报文到SSH客户端。此动作可在报文数据中形成可识别的模式,泄露用户活动信息。

安全建议:

厂商补丁:
OpenSSH
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.openssh.com/

 

3.5 Cisco Nexus 5000和3000 Series交换机ACL安全限制绕过漏洞

Cisco Nexus 5000和3000 Series交换机ACL安全限制绕过漏洞

发布时间:

2011-09-07

漏洞号:

BUGTRAQ ID: 49490
CVE ID: CVE-2011-2581

漏洞描述:

Cisco Nexus 5000系列是Cisco Nexus系列数据中心级交换机的一个组成部分,它提供了一个创新架构,通过实施基于标准的高性能以太网统一阵列,简化了数据中心转型。
Cisco Nexus 5000和3000系列交换机在ACL的实现上存在安全限制绕过漏洞,远程攻击者可利用此漏洞绕过访问控制列表,获取受限制资源。
将ACL摘要配置为ACL拒绝语句之前时可触发此漏洞,允许流量绕过设备上配置ACL拒绝语句。

安全建议:

厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20110907-nexus)以及相应补丁:
cisco-sa-20110907-nexus:Cisco Nexus 5000 and 3000 Series Switches Access Control List Bypass Vulnerability
链接:
http://www.cisco.com/warp/public/707/cisco-sa-20110907-nexus.shtml