当前位置: 安全纵横 > 安全公告

一周安全动态(2011年11月17日-2011年11月24日)

来源:安恒信息 日期:2011-11

2011年11月第三周(11.17-11.24)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 印度国家网络服务器被外国黑客利用

人民网新德里11月17日电 (记者王磊)据当地媒体17日报道,印度政府网络安全调查人员发现,印度国家网络服务器被外国黑客利用,发动对第三方的网络攻击。

据透露,近几个月来,印度国家信息中心的网络服务器被外国黑客渗透,这些外国黑客利用印度服务器发动了对多个国家的网络攻击,其中就包括中国。信息中心官员透露,“我们的服务器被外国机构利用,发动了对多个国家的政府网络的攻击。在这种状况下,被攻击一方会认定是印度政府组织了网络攻击。”

印度官方怀疑,盗用印度国家网络服务器的行为是外国情报机构所为,这种网络攻击的类型很可能已被运用于其他国家。按照这一判断,中国国家网络服务器也被黑客入侵,此前发现的多起“中国网军”攻击印度政府网络的事件,应当也是此类攻击类型,即被他国黑客利用,并非中方有组织的行为。

据中国官方公布的统计数字,今年8月,中国遭受他国网络攻击达25万次,其中8%来自于印度。

 

1.2 爱沙尼亚黑客控制全球百个国家400万台电脑

美国当局指控七名黑客传播恶意软件,劫持操纵世界各地数以百万计的电脑。

七名被告当中有六人是已被当局逮捕的爱沙尼亚人,第七名被告是一名俄罗斯人,他目前仍然在逃。

美国当局指控这几名被告通过传播恶意软件进而操控全球100多个国家的400多万台电脑,黑客通过传播的恶意软件使电脑用户点击网上的在线广告获益。

美方指控说,几名被告获得了广告商按点击率支付的1400万美元。

仅在美国,被黑客软件操控的电脑就有50多万台,其中包括美国国家宇航局的130台电脑。

不过,正是美国国家宇航局首先发现了这些恶意软件的入侵。

美国总检察长巴哈纳纳表示,犯罪嫌疑人设立了自己的伺服器,秘密地令遭恶意软件入侵的电脑用户改变上网地址并点击有关网站,从而令犯罪嫌疑人获得广告收入。

美国当局说,那些本来想上网登陆亚马逊网、Netflix和ESPN网站的网民结果被恶意软件引导至广告网站。

巴哈纳纳表示,这类案件目前还是首次发现。

 

1.3 MySQL.com被黑 黑客挂牌出售其root权限


自从Google极光行动、针对西门子工控系统的Stuxnet木马、RSA SecurID遭窃、Lockheed Martin被入侵…等事件以来,进阶持续性威胁(Advanced Persistent Threat, APT)就像个阴魂不散的网路恶鬼,成为企业最头痛的资安威胁。

安全专家表示,常见APT攻击手法有二种,一是透过SQL injection资料隐码攻击,突破外部服务器弱点,进入企业内网;另一则是寄送恶意邮件,骇客利用社交工程手法,将恶意邮件伪冒成电信业者电子帐单、政府信函、色情邮件、安全厂商的病毒解决通知信…等,再寄送到特定目标信箱,等到攻击目标开启邮件附档(或恶意连结),骇客就能长驱直入到企业IT核心,窃取所需要的资料。

由于第2种方式成功率高、又比较不费力,使得恶意邮件成为最常见的APT攻击手法,这些恶意程式(或恶意连结)并没有标准的行为模式,有些只是窃取邮件或联络人资料,有些则会自动设定邮件转寄,以便骇客持续搜集重要人士的邮件;倘若是针对Webmail的APT攻击,还有可能窃取使用者的Cookie或帐号密码。

因此,对抗APT攻击,企业必须加强侦测、过滤及拦阻恶意邮件,以及建立黑名单阻拦机制,阻挡C&C IP / Domain Name的连线,更重要的是做好社交工程演练,建立员工的危机意识,避免误入社交工程陷阱,然而吊诡的是,APT攻击对象多为高层主管或是IT管理者,然而高层主管往往没有时间接受教育训练,而IT管理者则是不认为自己会成为APT的目标,让骇客有机可乘。

安全专家强调,APT攻击的防御方式,和传统防毒防骇作法不同,因为APT是低调、默默地在企业内部窃取资料,因此要阻挡APT的最好方式,就是增加威胁能见度,企业必须掌握3个W:攻击方式(what)、何时开始攻击(when)、将资料丢到哪里(where),才能有效作好防御。

 

1.4 当当网被曝安全漏洞 或致用户资料泄露


当当网漏洞或致用户资料泄露


乌云漏洞报告平台微博截图

新浪科技讯11月10日下午消息,据乌云漏洞报告平台曝光,当当网(微博)存在设计缺陷或逻辑错误,大量用户资料或因此泄露。当当网对此表示,正在与技术部门进行沟通。

第三方安全问题反馈平台乌云平台今日在新浪微博发布消息称,当当网存在设计缺陷,登陆后可通过fuzz此url:
href="http://account.dangdang.com/payhistory/myaddress.aspx?addr_id=10000&cid=1&op=bindselected">

http://account.dangdang.com/payhistory/myaddress.aspx?addr_id=10000&cid=1&op=bindselected得到addr_id=,从而获得所有用户的姓名、联系方式、地址等信息。

报告者称“某处设计不当,不能过于详细,太容易发现了”,并给出审计SQL语句等修复建议。据乌云平台微博透露,所发布的安全漏洞将以认领及邮件方式通知厂商,目前其页面漏洞回应一项显示“未能联系到厂商或者厂商积极拒绝”。

 


金山网络反病毒工程师李铁军转发微博截图

金山网络反病毒工程师李铁军(微博)转发了此条微博,称“有漏洞及时处理,天不会塌下来,不重视安全漏洞,不及时修补才是致命的”。

当当网在与新浪科技的连线中表示,网站不会泄露用户资料,同时正在与技术部门沟通此事。(雅楠)。

1.5 OWASP2011亚洲峰会——0day与防御齐飞

全球顶级Web应用安全组织OWASP在11月8日在中国北京国际会议中心召开了OWASP 2011亚洲峰会,本次大会邀请了政府、金融、互联网、教育、电信、能源等热门行业的CIO代表和国内外知名的应用安全专家、厂商代表。以 “互联网安全新思维”为主题,从“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。

虽然是亚洲峰会,但美国、比利时、加拿大等国家和地区的安全人员均有参与,有的还担任了嘉宾并为大会做了很多工作。


OWASP2011亚洲峰会

 

从大会第一天来的人员比例来看,安全工程师和研究人员占了大多数,市场人员和媒体占了一部分,CIO/CTO/CSO占了一部分。

在开幕辞之后,来自中科院软件研究所的丁丽萍开始了大会的第一个技术主题演讲——《云计算环境下的隐蔽信道分析》。


隐蔽信道分析


云计算安全威胁分析

 

有参会者表示丁丽萍女士讲的挺不错,但这个虚拟机系统安全相关的技术报告有点偏学术。

在上午10点30分左右,OWASP中国副会长、杭州安恒信息技术有限公司总裁范渊给大家带来了《Web安全的今天和明天》。


Web安全的今天和明天

11点开始到12点上场的两位演讲嘉宾分别是Trustwave的Jonathan Werrett和阿里巴巴的吴翰清。演讲题目分别是《Patch first,ask questions later》和《流行应用的加密算法实现缺陷与利用》。

这两位仁兄的议题都很受参会者欢迎,Jonathan Werrett对Web防护进行了不错的理念阐述,阿里巴巴的吴翰清在叙述算法缺陷的同时还顺便爆了一个Discuz!的0day。借用某位参会者的话说,是有图有“洞”有POC。很有诚意。

 


阿里巴巴集团资深安全专家 吴翰清


在第一天会议的后半程,我们发现了刚刚参加完RSA2011中国大会的Imperva高级安全策划师——Noa Bar-Yosef。她给大家带来的是一个前瞻性议题《Hacking 2011:Lesson for 2012》。和其他外籍演讲者不同。这姑娘怕全英文PPT对中国观众不太友好,细心的准备了一份中英文双语PPT。


Noa Bar-Yosef正在演讲中

在她的演讲中,我们可以发现她对国外的Lulzsec、Anonymous等黑客组织的活动颇为关注。但实际上,她不但关注各个国家和地区的黑客活动,而且熟悉黑客攻防和IT审计技术。


Noa Bar-Yosef的双语PPT

但我们也注意到会场内部是没有现场主持翻译的,虽然有同传,但好像很多人不知道。笔者身边英语不佳的朋友面对老外演讲只能对着PPT揣测。有大量外籍讲师是好事,但也希望举办方能体谅一些本土参会者的外语水平。另外,最好增加Q&A的时间,让嘉宾和参会者能够充分的交流。

最后希望OWASP在中国有更多的支持者,峰会越办越好。


2. 本周关注病毒

2.1 Worm.Win32.FakeFolder.al(蠕虫病毒)
警惕程度★★★

病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

2.2 Trojan.PSW.Win32.AliPay.pd(木马病毒)
警惕程度★★★

该变种木马将自身伪装成商品图片,骗取用户点击。点击运行后,会关闭Windows自带的系统防火墙,便于其实施木马行为。接下来通过修改注册表键值,实现开机自动启动。当用户访问某些第三方支付平台进行支付时,病毒会自动保存cookie,并在注册表中更改支付软件相关注册表信息。这样在用户使用第三方支付平台的时候,病毒伺机窃取用户账户以及密码,发送到黑客指定的服务器。

 

2.3 Trojan.PSW.Win32.AliPay.pc(网银超级木马)
警惕程度★★★★★

该变种木马将自身伪装成商品图片,骗取用户点击。点击运行后,会关闭Windows自带的系统防火墙,便于其实施木马行为。接下来通过修改注册表键值,实现开机自动启动。当用户访问某些第三方支付平台进行支付时,病毒会自动保存cookie,并在注册表中更改支付软件相关注册表信息。这样在用户使用第三方支付平台的时候,病毒伺机窃取用户账户以及密码,发送到黑客指定的服务器。

 

3. 安全漏洞公告

3.1 Linux Kernel 'journal_get_superblock()' 拒绝服务漏洞

Linux Kernel 'journal_get_superblock()' 拒绝服务漏洞

发布时间:

2011-11-16

漏洞号:

CVE-2011-4132

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel中存在本地拒绝服务漏洞。该漏洞源于"journal_get_superblock()"函数(fs/jbd/journal.c and fs/jbd2/journal.c)中的错误,可通过加载特制的ext3图形触发"BUG_ON()",攻击者可利用该漏洞导致内核崩溃,并拒绝服务合法用户

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.kernel.org/

 

3.2 Cisco 远程认证绕过漏洞

Cisco 远程认证绕过漏洞

发布时间:

2011-11-28

漏洞号:

 

漏洞描述:

Cisco TelePresence System Integrator C Series和TelePresence EX Series devices中存在远程认证绕过漏洞。攻击者可利用该漏洞获取对受影响装置的未授权管理访问权限,成功的利用将会彻底危害受影响设备。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111109-telepresence-c-ex-series

 

3.3 IBM DB2 Tools for z/OS目录浏览CAE服务器信息泄露漏洞

IBM DB2 Tools for z/OS目录浏览CAE服务器信息泄露漏洞

发布时间:

2011-11-14

漏洞号:

CVE-2011-4435

漏洞描述:

IBM DB2 Tools for z/OS支持最新版的DB2 for z/OS,可优化数据性能和管理DB2,包括带XML数据的DB2数据库。

IBM DB2 Tools for z/OS在CAE服务器的Web服务器方面的实现上存在远程目录遍历漏洞。远程攻击者通过HTTP请求获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM41190
http://www.ers.ibm.com/

 

3.4 IBM AIX 拒绝服务漏洞

IBM AIX 拒绝服务漏洞

发布时间:

2011-11-14

漏洞号:

CVE-2011-1375

漏洞描述:

IBM AIX(Advanced Interactive eXecutive)是IBM开发的一套商业性质UNIX操作系统。

IBM AIX 6.1版本和7.1版本中存在漏洞。由于不能限制wpar_limits_config和wpar_limits_modify系统的调用,本地用户可借助一个特制的调用导致拒绝服务(系统崩溃)。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www-01.ibm.com/support/docview.wss?uid=isg1IV10229

 

3.5 Microsoft Windows 多个版本权限绕过漏洞

Microsoft Windows 多个版本权限绕过漏洞

发布时间:

2011-11-14

漏洞号:

CVE-2011-4434

漏洞描述:

Microsoft Windows Server 2008 用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。

Microsoft Windows 多个版本中存在漏洞。由于不能准确实施AppLocker规则,本地用户可借助应用程序中的(1)宏或(2)脚本语言特征绕过预期的访问限制,该漏洞已在Microsoft Office applications和SANDBOX_INERT以及LOAD_IGNORE_CODE_AUTHZ_LEVEL中被证实。这些版本包括:Microsoft Windows Server 2008 R2版本和R2 SP1版本以及Windows 7 Gold版本和SP1版本。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://support.microsoft.com/kb/2532445